如何讓VoIP變得安全可靠

    當語音和數(shù)據(jù)共享同一條網(wǎng)絡時，必須采用額外的措施來保證語音的安全。

    很多人至今仍然認為，將語音和數(shù)據(jù)融合在同一條網(wǎng)絡上是不理智甚至是神話般的想法，他們強調(diào)IP網(wǎng)絡上經(jīng)常出現(xiàn)的蠕蟲病毒或拒絕服務攻擊會造成企業(yè)通信網(wǎng)絡的癱瘓。由于存在這樣的擔心，在進行網(wǎng)絡部署之前，用戶會反復地問自己同一個問題：真的要把IP網(wǎng)絡和電話系統(tǒng)融合在一起嗎？

    擔心的理由是充分存在的。想像一下假如黑客突破了公司的IP PBX網(wǎng)關，盜打成百上千次長途電話；檢查CFO的語音郵件；或?qū)EO的電話轉(zhuǎn)接給競爭對手。

    還有另外一種可能，公司中某些別有用心的雇員利用TCPdump和隨處可以找到的名為“Voice Over Misconfigured Internet Telephones”（也叫VOMIT）的Unix工具竊聽電話。

    對于發(fā)生在數(shù)據(jù)網(wǎng)絡上的各種危機，久經(jīng)考驗的我們已經(jīng)習以為常。但對于電話系統(tǒng)我們更為習慣的是已經(jīng)存在的高可靠性和安全性，尤其當用戶需要撥打重要電話時。

    現(xiàn)在有很多可以采取的措施，讓電話系統(tǒng)發(fā)生攻擊的可能性大大低于數(shù)據(jù)網(wǎng)絡中發(fā)生攻擊的可能性。不過，首先用戶必須知道，傳統(tǒng)的PBX也不是對攻擊具有免疫力。

    黑客常?？梢酝ㄟ^撥入管理端口或接管已經(jīng)離職但賬戶還沒有撤消的雇員的分機和語音郵件，進入傳統(tǒng)的電話系統(tǒng)。在今天的互聯(lián)網(wǎng)上，只要簡單的搜索就能夠得到很多討論傳統(tǒng)電話黑客活動的網(wǎng)址。這足以說明，這種危機的普遍存在。

    事實上，IP PBX更易于受到發(fā)生在數(shù)據(jù)網(wǎng)絡上的安全漏洞的影響。針對這一點，VoIP設備廠商隨機應變地推出多種安全特性。

    首先，許多廠商在自己的設備系統(tǒng)中避免使用Windows作為操作系統(tǒng)，轉(zhuǎn)而采用VxWorks、Linux或其他操作系統(tǒng)，原因是這些操作系統(tǒng)沒有那么多的安全隱患，既沒有其他攻擊記錄、也沒有源源不絕的補丁發(fā)布和系統(tǒng)更新。他們一般加強操作系統(tǒng)，只使用對于應用不可缺少的服務，并且他們的“服務器”實際上是預先配置的專用設備。

    例如，Cisco在其Call Manager系統(tǒng)中采用加強版Windows NT。大多數(shù)廠商還提供IP LAN或WAN上的語音和呼叫控制加密。Cisco甚至提供通過收購專門的公司得到內(nèi)置的入侵檢測功能。

    保護您的VoIP LAN安全的最佳途徑之一是將它與數(shù)據(jù)LAN隔離。這種隔離并不意味著需要兩套完全不同的基礎設施，而是意味著利用交換機的802.1Q功能，將它們劃分到不同的VLAN中。

    IP電話常常具有自己的交換機和VLAN功能。將IP PBX放在與其他應用服務器不同的VLAN上，從而在可能時，利用防火墻保護包含PBX的網(wǎng)段。在兩個網(wǎng)段相互作用的位置（例如消息系統(tǒng)）上，防火墻應當提供阻止攻擊的保護。

    此外，還嚴格規(guī)定哪些IT人員允許訪問IP PBX服務器的核心操作系統(tǒng)，并利用入侵檢測和防御系統(tǒng)監(jiān)測語音服務器和網(wǎng)段。在可能的情況下，避免使用基于PC的IP電話，因為它們?nèi)菀资艿讲《镜挠绊懀⑶以跀?shù)據(jù)與語音網(wǎng)段之間建立一條鏈路。實現(xiàn)語音和數(shù)據(jù)網(wǎng)段之間的網(wǎng)絡地址轉(zhuǎn)換，同時為所有的IP電話設備分配專用地址。

    從只具有已知MAC（媒體訪問控制）地址的電話訪問到個人ID、口令和PIN的各種措施用戶可以阻止某人在網(wǎng)絡中接入欺詐電話。此外，用戶還應考慮在IP電話上使用映射到MAC地址的靜態(tài)IP地址。當然，還要保持所有的語音郵件和呼叫處理服務器上的安全補丁是最新狀態(tài)，確保其具有良好的病毒保護。

    必須記住，用戶在IP電話上付出的額外努力會產(chǎn)生令人滿意的結果，并提高整體網(wǎng)絡的可靠性。