作者:hacker发布时间:2022-07-18分类:破解邮箱浏览:324评论:4
实际上,没有什么简单的解决方法可以有效确保VoIP的绝对安全,不过还是有些办法可以尽量减小风险、改进整体的安全策略。
安全问题对语音服务而言根本不是什么新鲜事。几十年来,传统电话系统就饱受话费欺诈之困扰。如今,一些企业出于对安全问题的担忧而对安装IP语音(VoIP)系统犹豫不决,而另一些企业却在没有解决安全问题的前提下贸然行事。大多数行业的分析师估计,今年企业新安装的语音电话至少有一半将会是VoIP手机,这意味着你可能很快就会面临语音安全问题,如果不正视这些问题,你的系统就会随时遭到攻击。
说到如何有效地确保VoIP 安全,根本没有灵丹妙药,但必须把这方面的安全作为整体安全策略的一部分来考虑。因为如今VoIP应用已成为IP网络的一部分,如果IP网络已经落实了良好的安全措施,整个网络安全系数越高,那么攻击者进行窃听、发动拒绝服务(DoS)攻击或者闯入VoIP系统中的操作系统或者应用系统的难度就会越大。
一开始就让安全小组参与VoIP项目也非常重要。语音小组和数据小组也根本犯不着卷入地盘之争。毕竟,现在它们应当作为一个团队开展工作。
遵守一系列的严格规定
主要的VoIP安全策略很简单: 首先,在你确保各种VoIP部件和因特网之间没有任何通信之前,不要把这些设备接入网络。其次,不要允许与因特网及VoIP系统进行联系的PC之间有任何通信。这是因为,PC特别容易受到攻击,可能会被用来闯入VoIP系统,或者对语音应用发动拒绝服务攻击。它们还会强行利用VoIP电话从事话费欺诈、暗中窃听或者冒充他人等勾当。
如果你无法遵守这项策略,就要确保每个人都知道其中的风险,并且落实了相应的对策以缓解风险。这就要求清楚地知道安全、系统架构以及有关的VoIP协议。
要实施安全策略,第一步就是把所有VoIP电话放在单独的虚拟局域网(VLAN)上,并且使用不可路由的RFC 1918地址。大多数VoIP电话都有内置的交换机,支持802.1p/Q虚拟局域网标准。这样一来,就有可能在桌面系统和距离最近的布线室交换机之间建立虚拟局域网,而布线室交换机可以通过网络进行延伸。
如果语音用户的PC被接到电话的交换机上,你就可以自始至终地让语音和数据在不同的虚拟局域网上传输。记住一点: 虚拟局域网无法彼此联系,除非彼此之间有路由,所以这是确保语音和数据分开的一个办法。你还可以使用访问控制列表(ACL)防止虚拟局域网之间进行通信,作为保护语音的另一道安全层。让语音和数据在不同的虚拟局域网上传输,还可以简化为VoIP流量配置服务质量(QoS)。随后只是为VoIP虚拟局域网赋予优先级的问题而已,如果你通过路由器传输,仍需要第三层服务质量。
服务质量通常与确保性能联系在一起,不过它在安全方面也起到关键作用。在不同逻辑虚拟局域网上传输的语音和数据仍使用相同的物理带宽。这意味着,即便PC被病毒或者蠕虫感染、这些PC进而向网络发送大批流量,VoIP流量仍能够在共同的物理带宽上获得优先权,因而就不会沦为拒绝服务攻击的受害者。与此同时,ACL和防火墙可以阻止VoIP系统访问因特网,反之亦然。
虚拟局域网还可以缓解有人窃听电话的现象。如果语音包被人用分析仪获取,重放语音就轻而易举。IP具有的移动性和灵活性使得它容易受到“中间人攻击”,即地址解析协议(ARP)被用来强制流量通过某台PC传输,然后就能获取这些流量。虚拟局域网可以阻止有人从外面发动攻击,但内部攻击比较难以预防。内部人只要把某台PC接入墙上的插座,对PC进行配置,成为VoIP虚拟局域网的一部分,就可以发动攻击。要防止这种破坏,最好的办法就是购买具有强加密功能的VoIP电话,而这种方法要奏效,每只电话都要有加密功能。
你还需要在电话和通向公共交换电话网络(PSTN)的网关之间进行加密。如今VoIP电话厂商开始把媒体加密和信令加密功能融入各自的设备当中。譬如说,Avaya声称它的所有电话现在都支持加密功能; 而北电网络公司声称,它的电话很快也具有同样的功能。加密还可以挫败需要对基础设施获得物理访问权的其他类型的窃听,譬如利用交换机的端口镜像,或者利用以太网接头接入某条以太网连接线。
当然,加密以增加时延为代价。这对普通局域网来说不成问题,但对广域网来说可能会成问题。要考虑的另一个因素就是,如果对电话之间传输的信号进行加密(这在应用层实现),工作在应用层的防火墙就很难对加密信号进行解密。
虽然防火墙必不可少,但别以为它们能够胜任各项工作。VoIP协议很难过滤。尽管会话初始化协议(SIP)是VoIP信号传输标准,但许多厂商采用的却是专有的信令协议,而防火墙必须理解这些协议。
实时协议(RTP)用于传输实际的语音媒体,不过有一系列众多的端口动态分配给了每路呼叫。信令协议会表明应使用哪个RTP端口用于某路呼叫。一款好的防火墙会从信令协议处接到该指示,随后开启某个端点的IP地址所必需的那个端口。然而,不是所有的防火墙都具有这种功能。有些只是开启某段范围的端口,所以要确保你对防火墙的运行情况了如指掌。
有些防火墙必须处理专用地址和网络地址转换(NAT),这样一来,保护VoIP的安全难度就更大了,如果处理的请求是针对采用专用地址的某个端点,更是如此。了解信令协议的防火墙能跟踪用户注册登记的最新地址,然后相应地为请求安排路由。Check Point软件技术公司声称,其最新款的FireWall-1具有这种功能,可以提供最低程度的安全接入。
另一个办法就是把防火墙放置在专门为IP语音设计的VoIP系统前面。譬如说,Ingate公司的防火墙就是为基于SIP的VoIP系统而设计。Ingate最近宣布,如今其产品已通过了认证,能够与Avaya公司的基于SIP的产品协同工作。确保你实施的VoIP系统基于SIP,那样以后需要安全选项功能时不至于只能求助于你现有的VoIP厂商。
另外还要当心,防火墙可能会带来时延,从而成为性能方面的一个瓶颈。
支持VoIP的服务器每个都有各自的操作系统,而这些操作系统又存在许多相关漏洞,所以你必须确保把服务器放到你的网络上之前,它们都已打上了补丁。注意时时打上最新补丁,还要认真限制对它们的访问。每个IP电话其实也是一台电脑,有着自己的应用软件和操作系统,所以对你的电话也要采取同样的防范措施,并确保电话带有良好的补丁管理系统。
一些例外情况
有些应用可能会让你考虑打开语音虚拟局域网和数据虚拟局域网之间的通信通道。譬如说,大多数VoIP厂商提供的桌面客户系统能够管理VoIP电话,并且提供丰富的用户状态信息。许多厂商提供的客户端还可以让你监控其他系统用户的电话和即时通信(IM)状态,并且发布你自己的状态信息。这些特性需要桌面系统和VoIP系统之间进行一定的直接联系,所以你要想办法安全地实现这项功能。
说到这里,使用防火墙最为稳妥。做法是,提供最低程度的接入权限,不允许PC在无意中成为用来搜寻VoIP系统中存在漏洞的平台。但如果蠕虫占用了网络上的大量带宽,PC和布线室之间的连接上所用的这些应用就无法得到保护,因为数据来自PC,因而会在数据虚拟局域网上传输。不过好消息是,VoIP电话的通信将得到保护,只要你实施了服务质量。但如果你在PC上使用的仅仅是软电话,就没有办法为PC和布线室交换机之间的语音包提供服务质量。
如果你的远程办公人员要通过因特网访问IP PBX,虚拟专用网(VPN)显然是防止窃听的解决办法。Zultys科技公司等VoIP厂商提供的产品旨在便于通过VPN访问IP PBX。Zultys的有些电话可以直接在电话到PBX之间建立一条VPN隧道。北电公司的Contivity VPN PC客户机则可以通过连接的PC,为其电话建立VPN隧道。
你最不希望把IP PBX暴露于因特网面前。如果你提供只能访问相关端口的功能,而且通过VPN进行验证,那么就可以尽量减小这个风险。当然,你还会希望在IP PBX和VPN网关之间安装一只防火墙,只允许访问被认为绝对有必要的端口。
另外,也很有必要落实相应机制,以保护你的VoIP系统免受针对应用的拒绝服务攻击。如果需要从虚拟局域网进行额外的一道验证,应当不会面临来自外部的重大危害; 但如果有人获得了访问权,从内部发动攻击可能会是个问题。譬如说,利用SIP,发送大量的“注册”请求会导致服务器无力处理请求。入侵防护系统(IPS)可以缓解这个问题,而如果IPS或者入侵检测系统(IDS)能理解SIP,就可以检测这些攻击。一款好的IPS还能够防止基于SIP的中间人攻击,以免通过另一个设备改变流量传输方向。
可以访问VoIP系统的任何桌面系统都必须加以保护。如今许多厂商提供集中管理的防火墙以及可以检查操作系统补丁及病毒更新状况的软件。这对使用IP软电话的远程办公人员来说尤为重要。
所以不要被VoIP安全问题捆住了手脚。有了可*的IP语音安全策略以及合理搭配的安全工具,没有理由错过VoIP具有的诸多优点。
现在用户使用的网络没有安全和管理解决方案,或者部署了一些零散的、有效性差的措施,比如:划分VLAN、防ARP的双绑措施、PPPOE,还有一些用上网行为管理、封堵QQ,P2P等进行内网的安全与管理。这跟真正的内网安全管理不是一回事。
在这种网络中,VOIP无法做到语音清晰连贯、OA系统时常短暂失效、视频难以建立连接、VPN断开连接不上、重要信息轻易泄漏。。。严重时整网掉线,网络系统彻底停止服务。
造成此问题的原因在于以太网本身的先天缺陷——协议漏洞和不擅长管理,但是用以太网上网已经普及了,而且用户还在上面增加各种各样的应用,就像一栋大楼越盖越高,可是大楼地基的脆弱越来越明显。
普通网络无法保证现代企业的信息化进程,影响企业的发展,甚至为企业造成不可估量的损失。目前,一些信息化程度较高的企业已经遇到了这个问题,并且苦寻无方,现实中有很多活生生的案例。随着中国企业信息化的发展,这些问题将会越来越普遍,越来越突出,所以,这并不是危言耸听。
在组网基本结构基础上,加载免疫网络解决方案,全面支撑网络上的信息化应用,保障企业网络的正常运行,构成可靠的免疫网络。
1、检查一下载开VOIP的时候是否有人在用软件下载导致网络不够
2、检查设备是不是有问题,接触不良
3、检查一下内网那个是否用攻击都只掉线、卡、慢的现象
据统计80%以上的网络安全威胁来之内网攻击,目前内网内ARP攻击、骷髅头、DDOS、超大Ping包……一系列内网攻击都能导致内网掉线,甚至像ARP这样的攻击又不好查出来,杀毒软件也没办法解决,又没法根除。这也是重装系统过后,无法解决内网掉线的主要原因。
这些内网攻击都出自下面的网卡,咱们只要在网卡上实施拦截就可以保证内网的稳定。网络问题还得网络解决。
目前免疫网络解决方案是唯一能解决内网病毒攻击导致的掉线、卡滞、慢的现象,有效地解决1、开网页卡、打游戏卡、视频卡、 2、这网掉线、个别掉线、局部掉线、突然上不去网 3、OA、VOIP、ERP、等连不上,连接不正常的问题还能监控整个内网每一台电脑上网的状况,有异常情况提出报警,甚至自动处理。
软件本身是不收费的,只收流量费,给你推荐两个比较好的,Fring和talkonaut,这个两都可以语音通话的。
基于IP的语音传输(英语:Voice over Internet Protocol,缩写为VoIP)是一种语音通话技术,经由网际协议(IP)来达成语音通话与多媒体会议,也就是经由互联网来进行通信。
其他非正式的名称有IP电话(IP telephony)、互联网电话(Internet telephony)、宽带电话(broadband telephony)以及宽带电话服务(broadband phone service)。
VoIP可用于包括VoIP电话、智能手机、个人计算机在内的诸多互联网接入设备,通过蜂窝网络、Wi-Fi进行通话及发送短信。
扩展资料:
特点
1、无需电脑。不会像电脑一样,因为中病毒,或者操作系统故障,导致不能正确使用。
2、适合保障长时间在线。内网互打,关键是要保持在线。
3、加密通讯。
4、音质清晰。语音处理采用国际先进的语音处理芯片,有效解决回音消除,数据包丢失、网络抖动产生的问题。比软件电话的音质普遍要高。
5、 成本价格低廉,可以随意改号,显示号码。
6、可监控,可录音,支持三方通、密语、来电转接等功能。
标签:流量攻击软件voip
已有4位网友发表了看法:
访客 评论于 2022-07-18 03:41:32 回复
统之间进行一定的直接联系,所以你要想办法安全地实现这项功能。说到这里,使用防火墙最为稳妥。做法是,提供最低程度的接入权限,不允许PC在无意中成为用来搜寻VoIP系统中存在漏洞的平台
访客 评论于 2022-07-18 09:33:12 回复
以增加时延为代价。这对普通局域网来说不成问题,但对广域网来说可能会成问题。要考虑的另一个因素就是,如果对电话之间传输的信号进行加密(这在应用层实现),工作在应用层的防火墙就很难对加密信号进行解密。虽然防火墙必不可少,但别以为它们能够胜任各项工作。VoIP协议很难过滤。尽管会话初始化协
访客 评论于 2022-07-18 06:56:22 回复
灵丹妙药,但必须把这方面的安全作为整体安全策略的一部分来考虑。因为如今VoIP应用已成为IP网络的一部分,如果IP网络已经落实了良好的安全措施,整个网络安全系数越高,那么攻击者进行窃听、发动拒绝服务(D
访客 评论于 2022-07-18 03:41:12 回复
解决一下!!!4、手机软件:移动VoIP软件中文版5、VOIP是什么意思?详细介绍一下VOIP的本地落地网关?实际上,没有什么简单的解决方法可以有效确保VoIP的绝