用户在从传统语音向IP电话系统迁移过程中,应该注意到融合网络平台存在着的安全性问题,在进行产品选型、系统设计时均充分考虑到IP网络平台的安全威胁,并对此进行全面的优化设计。下面将对IP电话安全架构的具体实现进行详细的说明。
图1 IP电话安全架构示意图
IP语音服务器采用强化的操作系统
IP电话的语音服务器是整个系统运作的核心,而操作系统又是语音服务器的基础平台,因此采用一个经过安全强化设计的操作系统,将尽可能减少网络上病毒和黑客对IP语音运行的影响,比如尽可能采用网络病毒和黑客对其攻击相对较少的操作系统;仅仅运行必要的服务和应用;具有一定的入侵检测功能,可以很好的监控系统和配置的变化,并会产生相应的告警;通过内嵌级防火墙提供对运行在服务器上相应服务增强的安全性接入。
安全的管理配置
IP电话系统的各个组成部分通过以下方式进行安全的管理:
通过安全的Telnet (SSH),、FTP (SFTP)、文件拷贝(SCP)进行远程管理;
通过SSL/TLS-HTTPS进行远程Web管理;
采用更安全的SNMP v3进行网络管理;
尽可能不采用缺省的SNMP通信字符串;
避免采用明文的方式交换密码;
保证不存在后门密码可以进入系统;
尽可能少的用超级用户、密码;
语音服务器和语音网关之间控制信令加密
通过将IP电话语音服务器和语音网关之间的控制信令传输网络和普通数据网络在物理或逻辑上进行隔离,将尽可能少的接口暴露在相对不安全的开放网络平台上,从而减少网络中越来越多的DoS攻击和网络病毒对系统的影响。
而如果控制语音服务器和语音网关的控制信令与普通的数据应用运行在一个开放平台上,应该通过相应的加密认证机制,对控制信令传输的私密性、数据完整性等进行保护。
DoS攻击保护
IP电话的各个组成部分从语音服务器、语音网关到IP电话都能够对DoS攻击具有相应的保护功能:
丢弃非正常的、恶意攻击的数据包/帧;
在受到Ping Flood、SYN Flood等DoS攻击时具有相应的自我保护能力,仍然可以正常工作。
通过VLAN实现IP语音和普通数据逻辑隔离
目前各个厂商的系列IP话机均提供2个以太网端口,一个连接网络交换机,一个可以连接用户PC,与网络交换机连接端口支持802.1Q/p,可以实现IP语音和用户PC划归不同的VLAN,而且IP语音包会带上第二层和第三层的优先级标记,可以和客户具有QoS支持的数据网络平台结合,提高IP话音质量。
图2 用VLAN保护语音安全
RTP媒体流加密
IP电话系统的语音服务器、语音网关以及IP终端通过支持对RTP语音媒体流进行加密传输实现IP语音交换的私密性保护。语音服务器、语音网关以及IP终端在IP语音呼叫信令建立过程中,会对媒体加密进行协商,如果决定对一个呼叫进行加密,它们之间会交换加密的相关关键参数,比如使用什么加密算法,使用什么加密密钥。
RTP媒体流加密在以下设备之间实施:
IP话机-语音网关
IP话机-IP话机
语音网关-语音网关
目前一些对安全比较重视的IP语音设备厂商已经部分和全部实现上述功能。
呼叫控制软件的安全功能
运行在语音服务器内的呼叫控制软件,应当具有丰富的控制和限制功能。例如通过服务等级、限制等级的设定,可以将不同的功能和呼叫权限分配给不同等级的用户,而且用户在拨打长途或特定号码前必须输入正确的密码,才能获得相关服务。而在IP电话系统中通过以下技术手段加强接入的安全性:
集中式的用户认证机制;
采用一次性口令加强用户接入密码的保护;
IP电话系统可以通过工业标准的RADIUS、数字证书实现对用户、设备的认证和授权。
