VoIP网络电话基于SIP协议更加安全|深圳网络电话公司
关键字:网络电话VOIP网络电话深圳网络电话网络电话机网络电话公司Skype网络电话VoIP VoIP公司
文章整理〕:haovoip VoIP网络电话公司:http://www.voipdoor.net
我们曾经讨论过如何保护一个VoIP网络电话免受黑客攻击和侦听——这需要一个多层安全策略。而这么一个策略的重要部件,则是对提供呼叫信号的协议进行保护。
了解风险
下面是这些攻击所能造成的安全风险:
*攻击者可能获取对VoIP网络电话的访问权限,并使用该权限随意拨打电话。
*攻击者可能听取VoIP网络上的私人谈话内容,并从中获取可用于身份诈骗或达到其他不法目的相关信息。
*攻击者可能模仿某人的声音,并假造其语音留言以欺骗他人。
*攻击者可能会导致IP网络电话电话机或整个VoIP网络电话陷入瘫痪状态。
幸运的是,我们还有些安全机制可用于保护SIP网络免受上述这些风险的威胁。
使用TLS保护SIP网络
一般情况下,SIP数据包通过TCP或UDP连接,以纯文本的方式进行传输,所以非常容易受到黑客的伪造和攻击。为此,RFC 3261定义了SIPS(安全SIP,Secure SIP),一种使用TLS(传输层安全,Transport Layer Security)的安全传输方法,而TLS则是SSL(安全端口层,Secure Sockets Layer)的新式改进版本。
根据公钥加密技术,TLS依赖于数字证书进行加密。这里是它的工作模式:
1. SIP客户端连上SIP代理。
2. SIP客户端向代理请求一个TLS会话。
3.代理返回一个有效的公共证书。
4.客户端验证该证书。
5.客户端和代理交换会话密钥
6.以后会话中的所有数据均使用该会话密钥进行加密和解密。
SIPS需要端到端(也就是说,电话到电话)的TLS保护。而在对话机基础上使用TLS也是可以的。另外,你也可以配置那些可使用SIPS的设备仅接收TLS加密过的呼叫。
你的防火墙支持SIP软件么?
当你要呼叫的人应答电话时,他的电话机会返回一个确认信号。该信号会通过控制呼叫信号的端口传回来。由于是通话是由你发起的,所以这个信号可以正常穿越防火墙而返回。但是,你的防火墙却很可能拦截同时进入的语音数据,因为它来自一个完全不同的端口,这样防火墙就正好拦截了打入的电话。
有一种叫做“会话控制器”的设备,可以解决SIP穿越防火墙和NAT设备时所遇到的问题。这是一个在公共网络上的设备,直接为你的VoIP客户端提供一个公共IP地址,并在一台公共服务器上注册。
因此,一台支持SIP协议的防火墙需要能发现SIP在建立会话媒体数据流时所动态赋予的RTP/RTCP端口信息。这意味着该防火墙必须解析SIP的交换过程,以发现哪个数据包中含有媒体数据。而端口信息可以在许多不同的SIP数据包中出现。一台支持SIP的防火墙必须能够了解SIP的交换过程,并从中获得相应的信息。
总结
对主要的VoIP协议来说,当初在设计它们时,安全方面并不是设计主要考虑的一个问题,SIP协议也不例外。这一点和早期的电脑操作系统非常类似——以至于后来部署这些操作系统时人们不得不再为它们添加必要的安全机制,因为它们根本没有提供任何安全方面的内容。
因此,企业部署VoIP时,也必须采取措施来对VoIP协议进行保护。而让SIP网络可以变得更加安全的方法,除了可以使用配备TLS的SIPS(安全SIP)来对VoIP传输信道进行加密以外,还可以使用会话控制工具,以及使用支持SIP软件的防火墙。
龙人计算机研究所作为国内资深的VoIP网络电话设备和软件系统的供应商之一(其中在深圳的分公司是专业的网络电话公司),以“龙人”成熟稳定的产品性能、以贴心专业的服务支持,赢得客户的信赖!
详情登陆:http://www.dragonmen.net
地址:深圳市福田区福虹路世贸广场B座12F /13F
联系电话:余小姐0755-83676296,83757070
