|
|||||||||||||||||||||||||||||||||||
 |
|||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||
但提高VoIP的安全性要双管齐下,除了VoIP厂商要摒弃VoIP安全是一个附加产品的观念,将安全技术一并根植于VoIP产品本身外;对于VoIP使用者而言,要充分意识到,VoIP设备的安全直接影响着整个企业基础网络的安全,作为管理者不要认为采用VoIP产品仅仅是添加了一部网络电话,如果不做好完备的防护措施,它很有可能将成为黑客轻松进入企业内网的一扇门,因此企业应选用来自IT或数据部门的专业人士来管理IP通讯系统,而并非原有的语音部门,这些人必须比管理传统PBX的专业人员更谨慎小心。
可以看出VoIP面临的安全问题实际上大部分是IP网络所面临的问题。因此常规的安全措施是首先要保证的,另外VoIP应用的特殊性使其需要特殊的措施来加强安全性,下面笔者推荐几种防范小措施。这几个措施可能并没有使用什么高深的技术,但采取这几种措施之后可能会帮助你的网络堵住VoIP大漏洞。
VoIP统一到一个VLAN中便于设置QoS策略
笔者见到很多用户部署VoIP时,往往采用VoIP和一般性数据混合在一个网络之中。这种部署方式的最大软肋在于,因VoIP对带宽以及QoS的需求与一般数据并不相同,将直接导致交换、路由器以及网络上诸多安全设备的传输效能大大降低。
将VoIP数据与一般性数据进行甄别之后,分开传输无疑是最恰当的方法。而这一方法也是思科等VoIP设备供应商们的推荐方法之一。
具体方法是,将语音和数据划分到不同的虚拟局域网(VLAN)中分开,让语音和数据在不同的虚拟局域网上传输;将VoIP统一到同一个VLAN中,在同一VLAN中传输的数据对服务质量(QoS)要求相同,可以简化服务质量(QoS)设置。QoS设置简化后,用户只需为VoIP虚拟局域网赋予优先级即可。有一点需要注意,当VoIP如果要通过路由器进行传输,仍需要第三层服务质量。
这种方法带来直接的好处是,两者分开还可以将语音网络从数据VLAN中隐藏起来,可以有效地解决数据欺骗、DoS攻击等,因此没有了可能会发起攻击的计算机,你的VoIP网络就会安全很多。
加固你的VoIP服务器防范窃听
实际上,将VoIP信号统一到同一个VLAN中,除了上述优点之外,还可以大大降低窃听电话现象的发生。如果语音包被人用分析仪获取,重放语音就轻而易举。虚拟局域网可以阻止有人从外面发动攻击。
俗话说"家贼难防",上述方法只能防范外部网络电话的窃听行为,对内部攻击却难以预防。因为内部人员只要将任意一个终端设备接入网络之中,进行适当配置,披上伪装成为VoIP虚拟局域网的一部分,就可以任意窃听。要防止这种破坏,最好的办法就是购买具有强加密功能的VoIP电话,而这种方法要奏效,每只电话都要有加密功能。这种防范方法造价高,其保密效果到底能提升到何种程度,都很难说。
另外一种更为直接有效的方法是"釜底抽薪"。也就是将VoIP服务器从物理上杜绝内部和外部攻击者,以避免别有用心者利用侦听技术来截取VoIP信息。具体方法是,锁定能够访问VoIP管理界面的IP地址和MAC地址,同时在SIP网关前放置防火墙,以达到只允许合法用户才可以进入相关VoIP系统。
譬如说,Ingate公司的防火墙就是为基于SIP的VoIP系统而设计。Ingate最近宣布,如今其产品已通过了认证,能够与Avaya公司的基于SIP的产品协同工作。
确保你实施的VoIP系统基于SIP,那样以后需要安全选项功能时不至于只能求助于你现有的VoIP厂商。
有些用户不仅使用防火墙,还对相关的VoIP数据包进行加密。然而你可知道,仅仅加密发送出去的数据是不够的,还必须加密所有呼叫信号。加密语音数据包可以防止语音插入。例如可以通过实时安全协议(SRTP)来加密节点之间的通信,通过TLS来加密整个过程。
监视跟踪、网络冗余等手段抵御DoS攻击
窃取VoIP帐号是黑客借助VoIP网络伪装成合法客户,进入企业网络最常用的方法之一。为了窃取帐号,黑客可以说是不择手段,甚至是采用暴力破解方法来攻击某一个帐号的密码,试图破解控制它。这势必会引起网络流量骤增,引发DoS攻击几率大大增加。
通过部署合适的监视工具和入侵检测系统,可以帮助你发现试图攻入你的VoIP网络的各种尝试。通过仔细观察这些工具所记录下来的日志,有助于你及时发现各种数据流量的异常状况,从而可以发现是否有人试图使用暴力破解帐号进入网络。
不得不承认,无论你的防范多么严密,总会有攻击的发生,因此请做好准备应对DoS攻击或病毒导致网络瘫痪,其中一个办法就是增加冗余设计,一旦现在运行着的系统遭受攻击或出现意外,可以自动切换到另一套设备上,这样可以最大限度地减少损失,为你发现并解决问题提供充裕的时间。
VoIP网络的安全性很大程度上取决于网络内设备的操作系统和运行在其上的各种应用。及时维护操作系统和VoIP应用系统的补丁,对于防范来自恶意软件或病毒的威胁是非常重要的。事实上,很多攻击都是利用了系统的漏洞。这一点与IP网络的安全防御是一致的。
制定一个计划,把自己的角色转换成一个黑客的身份,那么尝试用各种办法来攻击你的VoIP系统吧,尽管找不到攻击入口并不代表你的VoIP系统就是安全的,但是如果能找到入口,那么别人也可以,赶快采取办法来堵住这个漏洞。
加固VoIP网络的办法绝不仅如此,本文只捡一些必要的几点进行介绍。然而这并不是最重要的,比这更重要的是,我们要正确面对VoIP存在的安全问题,既要承认它的存在,又要相信通过合理、良好的设计和良好的安全习惯,我们可以把其安全风险控制在可以接受的范围之内。
关键字:网络电话,VOIP,VOIP网络电话,深圳VOIP电话公司,深圳网络电话公司,RJ45网络电话,深圳VOIP网络电话公司,RJ45网络电话
龙人计算机研究所简介: [深圳VOIP网络电话公司-龙人计算机]
深圳龙人计算机应用研究所属北京龙人计算机系统工程有限公司之关联企业,在电信领域是资深的专业电信设备制造和软件开发商之一,公司同国内外各大电信运营商、设备制造商以及知名半导体供应商均保持着良好的合作与伙伴关系,产品和服务在制造业、流通业、服务业、金融业、政府机构以及传媒出版等行业得到了广泛的应用,拥有数万家的电信级用户,同时也是专业网络电话机、语音网关及其关联设备和系统供应商之一。为了加快我国网络电话的普及速度,让国人提前享受Internet给我们带来的便利和实惠,我们整合了公司在技术开发上的优势,推出了二款功能强大的新型VoIP网络电话机,即DMR-CN02QH和DMR-CP01MB,特价提供给广大热忠于互联网新技术的用户,同时也面向代理商和经销商提供VoIP网络电话机ODM/OEM的生产服务。
二、VoIP网络电话和传统电话的原理简介: [深圳VOIP网络电话公司-龙人计算机]
VoIP网络电话业务和技术的发展,实现了电话通信领域中的重大突破和技术革命,VoIP网络电话又称为IP电话,它是通过互联网协定(Internet Protocol)来进行语音传送。传统的国际电话是以类比的方式来传送,语音先会转换为讯号,通过铜缆将声音传送到对方。网络电话则是将声音通过网闸(gateway)转换为数据讯号,并被压缩成数据包(packet),然后才从互联网传送出去,接收端收到数据包时,网闸会将它解压缩,重新转成声音给另一方聆听。
三、VoIP网络电话的性能简介: [深圳VOIP网络电话公司-龙人计算机]
VoIP网络电话机DMR-CN02QH和DMR-CP01MB是二款性价比极高的、基于互联网通话的优秀解决方案:技术国际领先、产品成熟稳定、制造工艺精良,并完成了在欧美市场销售的认证: FCC、CE,可以拨打国内外任意一部手机、固定电话、市话通、网络电话,另外还提供一个WAN接口,一个LAN接口,可以一边打电话,一边上网...
四、特价提供的产品和服务: [深圳VOIP网络电话公司-龙人计算机]
1、DMR-CN02QH,RJ45 VoIP网络电话机
2、DMR-CP01MB,RJ45 PSTN网络电话机
3、通话的话费,最低国内长途低至每分钟8分钱,美国长途1角8分。
五、我们的关联技术能力和在业界的地位: [深圳VOIP网络电话公司-龙人计算机]
近年来,深圳龙人计算机应用研究所整合了公司在技术开发上的优势,潜心研究了国内外VoIP网络电话的技术动态和发展趋势,除了研制出了DMR-CN02QH和DMR-CP01MB二款新VoIP网络电话机之外,还在国内最先研制出U盘VoIP网络电话和MP3VoIP网络电话(被港资公司买断),使龙人计算机研究所成为国内资深VoIP网络电话设备和软件系统的专业供应商之一,我们一直以先进的技术,成熟稳定的产品性能,赢得客户的长期青睐!
网 址: http://www.dragonmen.net
地 址:深圳市福田区福虹路世贸广场B座12层12F /13F
李小姐:0755-25327150,25737151,25327575 蒋先生:0755-83757007,83676396
丁先生:0755-83346919,83346939,83676369 江先生:0755-83005097,83676296
张小姐:0755-83690800,83003609,83676396 任小姐:0755-83757070,83000896
余小姐:0755-83676323,83000991,83676393 夏先生:0755-83662100,83690619
传 真:0755-83676377,83346949 E-mail:beijingshenzhen@126.com