这种方法带来直接的好处是,两者分开还可以将语音网络从数据VLAN中隐藏起来,可以有效地解决数据欺骗、DoS攻击等,因此没有了可能会发起攻击的计算机,你的VoIP网络就会安全很多。
加固你的VoIP服务器防范窃听
实际上,将VoIP信号统一到同一个VLAN中,除了上述优点之外,还可以大大降低窃听电话现象的发生。如果语音包被人用分析仪获取,重放语音就轻而易举。虚拟局域网可以阻止有人从外面发动攻击。
俗话说\"家贼难防\",上述方法只能防范外部网络电话的窃听行为,对内部攻击却难以预防。因为内部人员只要将任意一个终端设备接入网络之中,进行适当配置,披上伪装成为VoIP虚拟局域网的一部分,就可以任意窃听。要防止这种破坏,最好的办法就是购买具有强加密功能的VoIP电话,而这种方法要奏效,每只电话都要有加密功能。这种防范方法造价高,其保密效果到底能提升到何种程度,都很难说。
另外一种更为直接有效的方法是\"釜底抽薪\"。也就是将VoIP服务器从物理上杜绝内部和外部攻击者,以避免别有用心者利用侦听技术来截取VoIP信息。具体方法是,锁定能够访问VoIP管理界面的IP地址和MAC地址,同时在SIP网关前放置防火墙,以达到只允许合法用户才可以进入相关VoIP系统。
譬如说,Ingate公司的防火墙就是为基于SIP的VoIP系统而设计。Ingate最近宣布,如今其产品已通过了认证,能够与Avaya公司的基于SIP的产品协同工作。确保你实施的VoIP系统基于SIP,那样以后需要安全选项功能时不至于只能求助于你现有的VoIP厂商。
有些用户不仅使用防火墙,还对相关的VoIP数据包进行加密。然而你可知道,仅仅加密发送出去的数据是不够的,还必须加密所有呼叫信号。加密语音数据包可以防止语音插入。例如可以通过实时安全协议(SRTP)来加密节点之间的通信,通过TLS来加密整个过程。
监视跟踪、网络冗余等手段抵御DoS攻击