IP電話安全戰(zhàn)

陳蔚 2004/07/27

圖1 IP電話安全架構(gòu)示意圖

IP語音服務(wù)器采用強(qiáng)化的操作系統(tǒng)

　　IP電話的語音服務(wù)器是整個系統(tǒng)運(yùn)作的核心，而操作系統(tǒng)又是語音服務(wù)器的基礎(chǔ)平臺，因此采用一個經(jīng)過安全強(qiáng)化設(shè)計的操作系統(tǒng)，將盡可能減少網(wǎng)絡(luò)上病毒和黑客對IP語音運(yùn)行的影響，比如盡可能采用網(wǎng)絡(luò)病毒和黑客對其攻擊相對較少的操作系統(tǒng)；僅僅運(yùn)行必要的服務(wù)和應(yīng)用；具有一定的入侵檢測功能，可以很好的監(jiān)控系統(tǒng)和配置的變化，并會產(chǎn)生相應(yīng)的告警；通過內(nèi)嵌級防火墻提供對運(yùn)行在服務(wù)器上相應(yīng)服務(wù)增強(qiáng)的安全性接入。

安全的管理配置

　　IP電話系統(tǒng)的各個組成部分通過以下方式進(jìn)行安全的管理：

• 通過安全的Telnet (SSH),、FTP (SFTP)、文件拷貝(SCP)進(jìn)行遠(yuǎn)程管理；



• 通過SSL/TLS-HTTPS進(jìn)行遠(yuǎn)程Web管理;



• 采用更安全的SNMP v3進(jìn)行網(wǎng)絡(luò)管理；



• 盡可能不采用缺省的SNMP通信字符串；



• 避免采用明文的方式交換密碼；



• 保證不存在后門密碼可以進(jìn)入系統(tǒng)；



• 盡可能少的用超級用戶、密碼；

• 丟棄非正常的、惡意攻擊的數(shù)據(jù)包/幀；



• 在受到Ping Flood、SYN Flood等DoS攻擊時具有相應(yīng)的自我保護(hù)能力，仍然可以正常工作。

圖2 用VLAN保護(hù)語音安全

RTP媒體流加密

　　IP電話系統(tǒng)的語音服務(wù)器、語音網(wǎng)關(guān)以及IP終端通過支持對RTP語音媒體流進(jìn)行加密傳輸實現(xiàn)IP語音交換的私密性保護(hù)。語音服務(wù)器、語音網(wǎng)關(guān)以及IP終端在IP語音呼叫信令建立過程中，會對媒體加密進(jìn)行協(xié)商，如果決定對一個呼叫進(jìn)行加密，它們之間會交換加密的相關(guān)關(guān)鍵參數(shù)，比如使用什么加密算法，使用什么加密密鑰。

RTP媒體流加密在以下設(shè)備之間實施：

• IP話機(jī)－語音網(wǎng)關(guān)



• IP話機(jī)－IP話機(jī)



• 語音網(wǎng)關(guān)－語音網(wǎng)關(guān)

• 集中式的用戶認(rèn)證機(jī)制；
  
• 采用一次性口令加強(qiáng)用戶接入密碼的保護(hù)；


• IP電話系統(tǒng)可以通過工業(yè)標(biāo)準(zhǔn)的RADIUS、數(shù)字證書實現(xiàn)對用戶、設(shè)備的認(rèn)證和授權(quán)。

網(wǎng)絡(luò)世界(cnw.ccw.com.cn)
分類信息:     文摘