使用VoIP路由器的用户都遇到过安全和漏洞问题,于是我研究了一下如何解决路由器安全漏洞和防护问题,在这里拿出来和大家分享一下,希望对大家有用。在这项技术研发伊始,开发者期望它作为传统长途电话的一种廉价的替代方式,因此并未太多在意安全问题。
同时,VoIP路由器技术也是跟随着整个网络市场的发展而发展,太多不同厂家和产品的同时存在导致一时无法提出一个统一的技术标准;VoIP的基础还是IP网络,开放的体系构架不可避免受到了来自网络的负面影响。最大限度地保障VoIP路由器的安全主要的方法有以下几种:
1.将用于话音和数据传输的网络进行隔离
这里所说的隔离并不是指物理上的隔离,而是建议将所有的IP话机放到一个独立的VLAN当中,同时限制无关的PC终端进入该网段。通过很多评测者的反馈信息表明,划分VLAN是目前保护IP话音系统最为简单有效的方法,可以隔离病毒和简单的攻击。同时,配合数据网络的QoS设定,还将有助于提高话音质量。
2.将VoIP作为一种应用程序来看待
这也意味着我们需要采用一些适用于保护重要的应用服务器之类的手段,来保护VoIP设备中一些重要的端口和应用,例如采用北电网络Aleton交换防火墙就可以有效地抵御DoS的攻击。同样的办法也适用于VoIP路由器系统,当两个IP终端进行通话时,一旦信令通过中心点的信令服务进程建立之后,媒体流只存在于两个终端之间;只有当IP终端上发起的呼叫需要透过网关进入PSTN公网时,才会占用媒体网关内的DSP处理器资源。所以,我们需要对信令和媒体流两类对外的地址和端口进行保护。同时,尽可能少的保留所需要的端口,例如基于Web方式的管理地址,并且尽可能多的关闭不需要的服务进程。需要提醒的是H.323/SIP在穿越NAT和防火墙的时候会遇到障碍,这是由于协议本身的原因造成的,但通过启用“应用层网关”(ApplicationLayerGa-teway简称ALG)之后,就可以解决这个问题;随着呼叫量的增长,可以采用外置媒体流代理服务器(RTPMediaPortal)的办法来支持更大规模的VoIP路由器系统。
3.选择合适的产品和解决方案
目前不同厂家的产品体系构架不尽相同,操作平台也各有偏爱。我们无法断言哪种操作系统最为安全可靠,但厂家需要有相应的技术保障来让用户相信各自的产品有能力抵御日益繁多的病毒侵袭。同时,很多厂家的产品也采用了管理网段和用户的IP话音网段在物理上隔离的机制,尽可能少的将端口暴露在外网上。北电网络推出的Succession1000/1000M就采用了这些设计思路,将管理网段和用户网段彻底在物理上隔离,并采用VxWorks操作系统,尽可能多的屏蔽外界对系统的影响。此外,VoIP的安全问题和数据网络的安全本质上是紧密相关的,需要厂家提供的不仅仅是一套设备,更多的是如何帮助用户在现有的网络上提高安全和可靠性的思路和一些技巧。
4.话音数据流的加密
目前H.323协议簇中有一成员-H.235(又称为H.Secure)是负责身份验证、数据完整性和媒体流加密的。更实际的情况是厂家会选用各自私有的协议来保证VoIP路由器的安全性。但即使没有H.235或其他的手段,想要偷听一个IP电话呼叫仍要比偷听一个普通电话要困难的多,因为你需要编解码器算法和相应的软件。即使你获得了软件并且成功连接到公司的IP话音网段,仍然有可能一无所获。因为目前很多企业内部的数据网络都采用以太网交换机的10/100M端口到桌面而不是HUB,因而无法通过Sniffer的方式窃取信息。
5.合理制定员工拨号权限
很多厂家已经将传统交换机的丰富功能移植到了VoIP系统,这些功能将有效地抑制窃取登陆密码进行盗打的现象。给IP电话设定能否拨打长途或特定号码的权限,或者是通过授权码的方式要求拨打长途号码前必须输入正确的若干位密码等方式,可以简单的解决上述问题。
IP网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用,VoIP路由器所面临的一些安全隐患,实际是IP网络上存在的若干问题的延续。只有很好地解决了网络的安全问题,同时配合产品本身的一些安全认证机制,基于VoIP的应用才能够在企业中持久稳定的发挥作用,并成为解决企业话音通信需求的有效方法。