信息化进程的加快,使VOIP解决方案得到更多应用,IT管理者不得不需要更多地将注意力放在VOIP上。这个将综合语音整合到IT/IS系统的创举存在很大的安全问题,我们需要正确理解这一过程,才能部署合理的应对措施。本文将讨论如何在遵守安全框架的同时部署VOIP解决方案以及部署VOIP时我们将面临的挑战。
现今的VOIP状况
随着技术的不断发展,解决方案的价格开始下降,而且解决方案所提供的功能也越来越丰富,越来越多的人和公司开始部署这些价格更便宜并且更易于使用的解决方案。但是美中不足的是,安全方面还需要花费一定时间才能跟上解决方案发展的步伐,安全部分总是事后才被附加在解决方案上的。这对于那些合并了VOIP功能的解决方案确实是事实。出于这个原因我们应该考虑部署一个安全框架来保证解决方案的实施。当今的各种设备已经足够强大能够处理当前和将来的加密密码,这就是加密技术成为可行。
身份验证问题
在用户可以使用VOIP服务之前,他们将需要进行身份验证,以确认他们的身份能够使用该服务。这个过程似乎很简单,但是也需要理解一些问题,并且还需要克服一些困难。身份认证机制应该是结构化的,首先设备能够得到确认和验证,其次是用户。只要设备得到确认和验证,那么该设备就可以逻辑化地转移到VLAN上,在这个时候交换机上的安全政策就可以执行加密,这就是说用户提供的任何身份验证凭证都是在加密状况下进行的,从而保障安全状态。
当涉及到身份验证问题时,身份管理是与验证齐头并进的问题。利用现有的认证目录是十分重要的,例如AD或者其他类型的LDAP目录等。这样现有的投资能够得到平衡,并且整合了新技术的原有机制也继续被使用,既节省时间又能改善安全状况,供应商们正在努力加强机制的安全性。
保密
为了解决保密问题,首先技术控制就是继续采用加密技术,这样能够确保通信的安全性并且能够确保未经批准的用户无法进入通信过程。当通信流量跨越多个不受你们公司控制的网关时,这种保密的复杂性就会显露出来。这就是为什么需要充分利用符合标准并且很容易配置的技术的原因,只有这样才能够确保VOIP数据包能够在数据包的整个"人生"中都保持加密状态。
另一件需要注意的事情就是扩展数据包大小可能会导致延迟,你可以通过为运输方式选择不正确的加密类型来实现这一点。
协议
在现代VOIP部署中有这样一些常见的协议,包括RTP, SRTP, ZRTP以及MIKEY等,这些协议使用AES加密技术(后台模式)来保障安全性。
SIP(会议信息协议)作为首选的VOIP协议开始越来越多地被采用,该协议运作的方式可以在会议初始化协议及其功能中找到。使用SIP客户端,用户可以创建一个绑定到SIP服务器的身份认证,这个身份可以用来登陆到服务器,而且可以将它作为一个网关来分配来自内部和外部的呼叫,本地的或者远程都可以实现,这就使远程操控成为可能。利用NISC框架中提出的安全机制,IT专业人士们可以向他们的用户群提供这些功能,然后用户就可以安全登陆,使用SIP客户端来进行通信。供应商如思科、Mitel、Avaya和很多其他供应商都有SIP协议为基础的解决方案,并且同时也在开发SIP基础的解决方案。
在讨论加密技术问题时,密钥管理始终是需要注意的部分,SRTP减轻了密钥管理作为单一万能密钥的负担,密钥管理既要为保密性保护加密材料又要为完整性加密材料,并且同时需要处理SRTP流以及相对应的SRTCP流。在某些情况下单一万能密钥能够同时保护几个SRTP流。
一些新协议如RSIP(域特定协议)将有助于解决NAT/Ipsec复杂性等挑战性问题,下一代IP协议(IPNL)可以在通信双方提供一个沟通渠道的解决方案,这样会使未来的通信过程更加安全、快捷和有效。
提示:
当选择VOIP解决方案或者网关的时候,确保你选择的解决方案能够支持H.323协议
网络
建设一个安全的VOIP网络需要深入研究VOIP硬件和软件,这样才能使VOIP网络本身有实现协调的可能性。为了操作的简便性,将VOIP网络分配进入其孤立的网络要容易得多,只将网络的组件连接到合适的公司数据网络,并且通过一定的安全方式(如应用层防火墙)。这是为了确保VOIP网络中的任何软点都不会轻易被利用,并且严格的访问控制机制能够管理你的企业局域网和VOIP网络间的通信流量。
网络网络对于网络虚拟专用网而言是必不可少的,能够确保网络通信流量的安全性,而且能够保持其完整性。
无线
在讨论安全问题时,大家总会把目光投到无线,VOIP无线加密是强制性的,而且如果不是强制性的也会需要一个妥协来作为保障。在保护无线网络安全问题上,IPSec是一个很好的对策,目前有一些正在运行的项目主要就是在研究VOIP安全问题,如Phil Zimmermann公司的zfone项目。
设备
设备和服务器都需要保持物理上的安全,以确保其不被擅自使用。逻辑上的安全同样也很重要,因为现在解决方案已经开始适用于远程操控。电话账户与任何其他账户一样都是一种资源,我们已经听说过很多关于账户如何通过远程操控被滥用的故事。因为统一身份管理的重要性,你需要确保你的用户能够像安全政策(行政控制)中所描述的一样定期更改他们的密码。
最近英国电视节目中报道了盗贼如何对办公电话进行远程修改,从而偷窃用户的身份验证凭证。
另一种较常见的攻击是,通过模拟服务器来获取用户的身份验证凭证,一旦发生这种情况,用户将会被重定位直合法的服务器, 解决这种攻击的对策是要保持合法服务器物理上的安全以及逻辑上的安全,而且用户在进行身份验证前需要对用户或者客户端软件进行验证。
通讯和存储
对于任何VOIP解决方案,通讯和存储经常是被忽视的组成部分。前几年常见这样一种攻击方式,就是通过在默认网络密码框中输入1234或者0000来远程登录到某人的语音邮箱。这样使你能够访问语音邮箱,但是事实上控制的要素可能将这一功能设置为允许远程控制,对策就是在该服务使用前强行更改密码,这样能够确保该服务的安全运行。存储也可能受到攻击,这会使解决方案变得很容易攻击,应该从物理上以及逻辑上保护存储,需要部署有效的措施来避免任何攻击。
总结
在考虑VOIP安全解决方案时,应该要遵守现有的标准,VOIP技术仍然在不断发展,安全仍然需要不断完善,并且安全还不是解决方案的组成部分。如果VOIP解决方案被合理地部署在网络,最终结果是将会出现一个更加安全更加可靠有效费用更加合理的解决方案。