如何讓VoIP變得安全可靠

    當(dāng)語音和數(shù)據(jù)共享同一條網(wǎng)絡(luò)時(shí)，必須采用額外的措施來保證語音的安全。

    很多人至今仍然認(rèn)為，將語音和數(shù)據(jù)融合在同一條網(wǎng)絡(luò)上是不理智甚至是神話般的想法，他們強(qiáng)調(diào)IP網(wǎng)絡(luò)上經(jīng)常出現(xiàn)的蠕蟲病毒或拒絕服務(wù)攻擊會造成企業(yè)通信網(wǎng)絡(luò)的癱瘓。由于存在這樣的擔(dān)心，在進(jìn)行網(wǎng)絡(luò)部署之前，用戶會反復(fù)地問自己同一個問題：真的要把IP網(wǎng)絡(luò)和電話系統(tǒng)融合在一起嗎？

    擔(dān)心的理由是充分存在的。想像一下假如黑客突破了公司的IP PBX網(wǎng)關(guān)，盜打成百上千次長途電話；檢查CFO的語音郵件；或?qū)EO的電話轉(zhuǎn)接給競爭對手。

    還有另外一種可能，公司中某些別有用心的雇員利用TCPdump和隨處可以找到的名為“Voice Over Misconfigured Internet Telephones”（也叫VOMIT）的Unix工具竊聽電話。

    對于發(fā)生在數(shù)據(jù)網(wǎng)絡(luò)上的各種危機(jī)，久經(jīng)考驗(yàn)的我們已經(jīng)習(xí)以為常。但對于電話系統(tǒng)我們更為習(xí)慣的是已經(jīng)存在的高可靠性和安全性，尤其當(dāng)用戶需要撥打重要電話時(shí)。

    現(xiàn)在有很多可以采取的措施，讓電話系統(tǒng)發(fā)生攻擊的可能性大大低于數(shù)據(jù)網(wǎng)絡(luò)中發(fā)生攻擊的可能性。不過，首先用戶必須知道，傳統(tǒng)的PBX也不是對攻擊具有免疫力。

    黑客常常可以通過撥入管理端口或接管已經(jīng)離職但賬戶還沒有撤消的雇員的分機(jī)和語音郵件，進(jìn)入傳統(tǒng)的電話系統(tǒng)。在今天的互聯(lián)網(wǎng)上，只要簡單的搜索就能夠得到很多討論傳統(tǒng)電話黑客活動的網(wǎng)址。這足以說明，這種危機(jī)的普遍存在。

    事實(shí)上，IP PBX更易于受到發(fā)生在數(shù)據(jù)網(wǎng)絡(luò)上的安全漏洞的影響。針對這一點(diǎn)，VoIP設(shè)備廠商隨機(jī)應(yīng)變地推出多種安全特性。

    首先，許多廠商在自己的設(shè)備系統(tǒng)中避免使用Windows作為操作系統(tǒng)，轉(zhuǎn)而采用VxWorks、Linux或其他操作系統(tǒng)，原因是這些操作系統(tǒng)沒有那么多的安全隱患，既沒有其他攻擊記錄、也沒有源源不絕的補(bǔ)丁發(fā)布和系統(tǒng)更新。他們一般加強(qiáng)操作系統(tǒng)，只使用對于應(yīng)用不可缺少的服務(wù)，并且他們的“服務(wù)器”實(shí)際上是預(yù)先配置的專用設(shè)備。

    例如，Cisco在其Call Manager系統(tǒng)中采用加強(qiáng)版Windows NT。大多數(shù)廠商還提供IP LAN或WAN上的語音和呼叫控制加密。Cisco甚至提供通過收購專門的公司得到內(nèi)置的入侵檢測功能。

    保護(hù)您的VoIP LAN安全的最佳途徑之一是將它與數(shù)據(jù)LAN隔離。這種隔離并不意味著需要兩套完全不同的基礎(chǔ)設(shè)施，而是意味著利用交換機(jī)的802.1Q功能，將它們劃分到不同的VLAN中。

    IP電話常常具有自己的交換機(jī)和VLAN功能。將IP PBX放在與其他應(yīng)用服務(wù)器不同的VLAN上，從而在可能時(shí)，利用防火墻保護(hù)包含PBX的網(wǎng)段。在兩個網(wǎng)段相互作用的位置（例如消息系統(tǒng)）上，防火墻應(yīng)當(dāng)提供阻止攻擊的保護(hù)。

    此外，還嚴(yán)格規(guī)定哪些IT人員允許訪問IP PBX服務(wù)器的核心操作系統(tǒng)，并利用入侵檢測和防御系統(tǒng)監(jiān)測語音服務(wù)器和網(wǎng)段。在可能的情況下，避免使用基于PC的IP電話，因?yàn)樗鼈內(nèi)菀资艿讲《镜挠绊?，并且在?shù)據(jù)與語音網(wǎng)段之間建立一條鏈路。實(shí)現(xiàn)語音和數(shù)據(jù)網(wǎng)段之間的網(wǎng)絡(luò)地址轉(zhuǎn)換，同時(shí)為所有的IP電話設(shè)備分配專用地址。

    從只具有已知MAC（媒體訪問控制）地址的電話訪問到個人ID、口令和PIN的各種措施用戶可以阻止某人在網(wǎng)絡(luò)中接入欺詐電話。此外，用戶還應(yīng)考慮在IP電話上使用映射到MAC地址的靜態(tài)IP地址。當(dāng)然，還要保持所有的語音郵件和呼叫處理服務(wù)器上的安全補(bǔ)丁是最新狀態(tài)，確保其具有良好的病毒保護(hù)。

    必須記住，用戶在IP電話上付出的額外努力會產(chǎn)生令人滿意的結(jié)果，并提高整體網(wǎng)絡(luò)的可靠性。