如何让VoIP变得安全可靠

    当语音和数据共享同一条网络时，必须采用额外的措施来保证语音的安全。

    很多人至今仍然认为，将语音和数据融合在同一条网络上是不理智甚至是神话般的想法，他们强调IP网络上经常出现的蠕虫病毒或拒绝服务攻击会造成企业通信网络的瘫痪。由于存在这样的担心，在进行网络部署之前，用户会反复地问自己同一个问题：真的要把IP网络和电话系统融合在一起吗？

    担心的理由是充分存在的。想像一下假如黑客突破了公司的IP PBX网关，盗打成百上千次长途电话；检查CFO的语音邮件；或将CEO的电话转接给竞争对手。

    还有另外一种可能，公司中某些别有用心的雇员利用TCPdump和随处可以找到的名为“Voice Over Misconfigured Internet Telephones”（也叫VOMIT）的Unix工具窃听电话。

    对于发生在数据网络上的各种危机，久经考验的我们已经习以为常。但对于电话系统我们更为习惯的是已经存在的高可靠性和安全性，尤其当用户需要拨打重要电话时。

    现在有很多可以采取的措施，让电话系统发生攻击的可能性大大低于数据网络中发生攻击的可能性。不过，首先用户必须知道，传统的PBX也不是对攻击具有免疫力。

    黑客常常可以通过拨入管理端口或接管已经离职但账户还没有撤消的雇员的分机和语音邮件，进入传统的电话系统。在今天的互联网上，只要简单的搜索就能够得到很多讨论传统电话黑客活动的网址。这足以说明，这种危机的普遍存在。

    事实上，IP PBX更易于受到发生在数据网络上的安全漏洞的影响。针对这一点，VoIP设备厂商随机应变地推出多种安全特性。

    首先，许多厂商在自己的设备系统中避免使用Windows作为操作系统，转而采用VxWorks、Linux或其他操作系统，原因是这些操作系统没有那么多的安全隐患，既没有其他攻击记录、也没有源源不绝的补丁发布和系统更新。他们一般加强操作系统，只使用对于应用不可缺少的服务，并且他们的“服务器”实际上是预先配置的专用设备。

    例如，Cisco在其Call Manager系统中采用加强版Windows NT。大多数厂商还提供IP LAN或WAN上的语音和呼叫控制加密。Cisco甚至提供通过收购专门的公司得到内置的入侵检测功能。

    保护您的VoIP LAN安全的最佳途径之一是将它与数据LAN隔离。这种隔离并不意味着需要两套完全不同的基础设施，而是意味着利用交换机的802.1Q功能，将它们划分到不同的VLAN中。

    IP电话常常具有自己的交换机和VLAN功能。将IP PBX放在与其他应用服务器不同的VLAN上，从而在可能时，利用防火墙保护包含PBX的网段。在两个网段相互作用的位置（例如消息系统）上，防火墙应当提供阻止攻击的保护。

    此外，还严格规定哪些IT人员允许访问IP PBX服务器的核心操作系统，并利用入侵检测和防御系统监测语音服务器和网段。在可能的情况下，避免使用基于PC的IP电话，因为它们容易受到病毒的影响，并且在数据与语音网段之间建立一条链路。实现语音和数据网段之间的网络地址转换，同时为所有的IP电话设备分配专用地址。

    从只具有已知MAC（媒体访问控制）地址的电话访问到个人ID、口令和PIN的各种措施用户可以阻止某人在网络中接入欺诈电话。此外，用户还应考虑在IP电话上使用映射到MAC地址的静态IP地址。当然，还要保持所有的语音邮件和呼叫处理服务器上的安全补丁是最新状态，确保其具有良好的病毒保护。

    必须记住，用户在IP电话上付出的额外努力会产生令人满意的结果，并提高整体网络的可靠性。