IP Phone系統(tǒng)的安全

2002/06/10

　　隨著Internet的日益擴(kuò)大，基于IP技術(shù)的各種應(yīng)用迅速發(fā)展。IP Phone和VoIP是在Internet上實現(xiàn)實時語音傳輸服務(wù)及其他多媒體實時通信業(yè)務(wù)，這是近幾年興起的、極具挑戰(zhàn)性的實用技術(shù)。與傳統(tǒng)的PSTN相比，IP Phone采用了先進(jìn)的數(shù)字信號處理技術(shù)，將原先64kbit/s的話音信號壓縮成8kbit/s或更低碼率的數(shù)據(jù)流，能夠在同一條線路上傳輸比采用模擬技術(shù)時更多的呼叫，并且采用了分組交換技術(shù)，可以實現(xiàn)信道的統(tǒng)計復(fù)用，使得網(wǎng)絡(luò)資源的利用效率更高，更重要的是具有更低的使用成本。

　　但是由于IP Phone系統(tǒng)建立在一個開放的IP標(biāo)準(zhǔn)上，并且連接在公用的Internet或Intranet之中，因此其安全問題也成了不可忽視的方面。通信服務(wù)器和呼叫管理器作為IP Phone系統(tǒng)的核心，對內(nèi)集結(jié)企業(yè)的IP電話和普通電話，向外提供到PSTN和因特網(wǎng)以及其他協(xié)議的接口，承擔(dān)著電話呼叫控制、設(shè)備配置、數(shù)據(jù)配給、撥號方案管理、負(fù)載均衡、遠(yuǎn)程監(jiān)控等功能。該服務(wù)器直接與Internet相連，面對著公用網(wǎng)中的各種危險和攻擊，它是否具有足夠完善的安全機(jī)制、是否能抵御DoS攻擊、是否有增強(qiáng)的口令和訪問控制管理等等都關(guān)系著整個IP Phone系統(tǒng)的安全性能。

　　IP Phone終端設(shè)備是IP Phone系統(tǒng)直接面向終端用戶的部分，它可以是如Netmeeting的軟件，也可以是專用的IP電話機(jī)硬件設(shè)備。已經(jīng)有證據(jù)表明，通過向IP Phone終端設(shè)備發(fā)送大量數(shù)據(jù)包能夠致使其無法工作，甚至重新啟動，這包括了使用大多數(shù)DoS攻擊程序。而一些IP電話機(jī)內(nèi)建了一個Web服務(wù)器來提供調(diào)試和狀態(tài)信息頁面的顯示，這雖然為使用和管理提供了方便，卻也給攻擊者提供了可乘之機(jī)：使用某些特定的無意義參數(shù)的HTTP請求也能使它重啟。在電話重啟過程中，原有的通話就會被中止，而且該電話在重啟和恢復(fù)正常狀態(tài)的這段時間中，電話是無法使用的，因此如果攻擊持續(xù)地進(jìn)行，將導(dǎo)致設(shè)備一直無法使用。

　　因此，針對IP Phone系統(tǒng)，要建立全面的安全體系。首先要使用防火墻，并在通信服務(wù)器和呼叫管理器上使用基于主機(jī)的入侵檢測系統(tǒng)和病毒檢驗程序，保護(hù)系統(tǒng)的安全；同時使用加密和VPN等技術(shù)，保證網(wǎng)間業(yè)務(wù)安全性和保密性；而對于終端設(shè)備，也應(yīng)該使用桌面型防火墻，限制、過濾和阻止不可信源的通信流，以及禁止網(wǎng)絡(luò)中其他設(shè)備對其進(jìn)行Web訪問。

　　上海廣電應(yīng)確信有限公司（www.svanetworks.com）作為專業(yè)的網(wǎng)絡(luò)安全設(shè)備廠商，不僅提供了針對電信級和企業(yè)級的全套以太網(wǎng)安全解決方案，包括防火墻/VPN、入侵檢測系統(tǒng)、病毒防護(hù)系統(tǒng)、訪問認(rèn)證、集中安全管理系統(tǒng)，也提供了針對SOHO和個人用戶的小型網(wǎng)絡(luò)安全應(yīng)用，為實現(xiàn)“everything over IP”掃清網(wǎng)絡(luò)安全的障礙。