中小企业如何保护VoIP不受威胁
作 者:Joel Dubin  

    确保网络电话(voip)的安全对中小企业来说不再是一个富有挑战性的问题。

    voip主要地是指在因特网上打电话。这种网络电话就正如因特网本身一样,在给人们带来好处的同时其自身也存在着局限。网络电话具备的优点即是:为人们提供了一种可以在已经具有的并且很容易操作的公开网络——因特网上进行廉价和容易的交流方式。缺陷则是:同样具备网络的安全弱点,网络最初不是为安全而设计的——或者也不是为网络电话而设计的。

    但这也并不是那么地让捉襟见肘的以及IT员工有限的中小企业担惊受怕。多数情况下,在voip中需要的调和问题涉及到与加固因特网和贵公司可能已经配置了的网络连接等方面类似的努力。并且,多数工作可以用现有的网络员工来处理,甚至不需要设置专门的信息安全部门。

    即使中小企业没有自己的网站或者是因特网服务,但同大企业一样,中小企业仍然会通过常规路由器等与因特网进行连接。为中小企业解决网络电话问题迫在眉睫。

    安全问题成为首要问题

    在深入探究确保VoIP安全问题的四个最佳操作惯例以及如何应用到中小企业上之前,先要意识到围绕voip的整个安全问题。

    围绕voip主要有三大主要的安全考虑问题,并且一般而言,它们与IP交通产生的安全问题几乎完全相同。这些问题是:

    1.缺乏认证。

    2.诳骗以及把没有加密的数据暴露在外面。

    3.类似垃圾邮件的不需要的交通,这在voip的世界里被叫做SPIT,或者叫通过网络电话传播的垃圾邮件。

    VoIP同样充当了进入公司的一个入口,正如任何一种其他的网络连接一样,如病毒、间谍软件和恶意软件。但这些都不是VoIP的特殊问题。通过网络电话来拒绝服务(DoS)攻击同样已经成为可能,但同样,这也只是一般意义上的IP协议问题,并不是voip所关注的。

    IP信息流没有经过验证。它可以在因特网上自由移动,也可以来自任何地方。这是TCP/IP协议固有的难题。对网络电话而言,这意味着一个恶意的用户可以通过造假诳骗贵公司的IP地址,并以信赖的客户的身份作为一个访客出现。这就是众所周知的语音网络钓鱼诈骗手法。如同电子邮件一样,这种手法是为了在客户打电话过程中套出客户的保密性帐户信息,并将这些信息发给以贵公司员工身份出现的小偷们。

    IP信息流可以毫无嫌疑地自由移动。这些信息流很容易被传统的数据包嗅探器,比如网络嗅探工具(以前叫开源网络数据包分析软件Ethereal)、口令嗅探器(dsniff)、交换环境下的嗅探器(Ettercap)等类似的工具监听到。在全新的看起来光泽耀人的VoIP网络电话上进行的任何交谈都可能被嗅探器偷听到,从而偷听到在因特网上移动的所有未加密的信息流。这不同于平常的电话线路,平常的电话线路需要经过一定的努力才能探听到打电话的公司的信息,而voip则通过因特网就能潜在地将中小企业的保密信息暴露在整个世界中。

    并且,正如垃圾邮件通过电子邮件传播一样,垃圾语音邮件信息可以通过VoIP进入到贵公司,用SPIT来堵塞中小企业电话网络。这又是一种对公司进行的拒绝服务攻击,正如来自因特网的其他攻击一样,只不过这是通过voip连接进行的。

    因此,中小企业应当如何保护自己voip不受威胁呢?这里有四条建议:

    1.首先,在一个分离的因特网连接中进行所有的VoIP信息流,并且把语音和数据信息流与企业自身的网络部分分离开来。采用虚拟局域网(VLAN)来分离语音和数据。这可以防止如下情况的攻击:将因特网上的数据流泄露到您的语音系统中,并采用VoIP网络攻击你的主要网络。建立一个专门为了VoIP信息流的分离的服务器,并采用防火墙将这些服务器与您网络的其他部分分离开来。对于不同建筑物之间的voip连接,采用虚拟专用网(VPN)来验证用户以阻止诳骗。

  • 上一条文章: 
  • 下一条文章:
  • 分享到: