縱論VoIP

　　如果語音和數(shù)據(jù)共存于同一網(wǎng)絡，就要另外采取措施以確保語音的安全。

　　設想黑客闖入你的IP PBX或者網(wǎng)關，大肆盜打長途電話、查閱貴公司CFO的語音郵件或者把發(fā)給貴公司CEO的呼叫轉(zhuǎn)給競爭對手；又或者內(nèi)部員工使用tcpdump和隨手可得的一款Unix工具（例如呼叫偷聽器）偷聽呼叫，你該如何是好？人們已逐漸接受了數(shù)據(jù)網(wǎng)絡上的各種新穎應用，但也習慣了享用電話系統(tǒng)所具有的高可靠性和高安全性。

　　采取諸多措施可以降低網(wǎng)絡數(shù)據(jù)遭受攻擊的可能性。但首先你要知道傳統(tǒng)PBX并不是不會受到攻擊，黑客往往通過撥號進入管理端口；或者如果員工已被解雇，但賬戶還沒有被禁用，只要接管他們的分機和語音郵件，就可以獲得訪問權，最直接的問題是，有許多網(wǎng)站專門介紹常用的電話黑客手段。

　　也就是說，IP PBX 極有可能受到數(shù)據(jù)網(wǎng)絡上發(fā)生的事件的影響。VoIP廠商認識到這一點后，紛紛推出各種安全解決方案。首先，許多廠商避開Windows，改用VxWorks、Linux或者病毒和其他攻擊相對較少、不必過于頻繁打補丁的操作系統(tǒng)。為了加強OS的安全，它們只使用應用所必需的服務，“服務器”其實只是預先經(jīng)過配置的設備。譬如，Cisco在其CallManager系統(tǒng)中采用了加強安全的Windows NT，大多數(shù)廠商還為IP LAN或者WAN提供語音和呼叫控制加密功能，Cisco甚至還提供了從Okena收購而來的內(nèi)置的入侵檢測功能。

　　保護VoIP LAN的最佳辦法之一就是把它與數(shù)據(jù)LAN隔離開來。這種隔離不是說需要兩套全然不同的基礎設施，而是使用到交換機的802.1Q功能，把它們放在不同的虛擬局域網(wǎng)（VLAN），IP電話往往有自己的交換機和VLAN功能，把IP PBX和其他應用服務器放在不同的VLAN上，盡量利用防火墻保護含有PBX的部分，在兩個部分的交匯處，譬如消息傳送系統(tǒng)，防火墻應當能夠提供防范攻擊的作用。

　　一定要注意哪些IT人員可以獲準訪問IP PBX服務器的核心操作系統(tǒng)，考慮采用入侵檢測和防護系統(tǒng)監(jiān)控所有語音服務器和網(wǎng)段。盡量不要使用基于PC的IP電話，因為它們?nèi)菀资艿讲《竟�擊。另外，應當在�?shù)據(jù)部分和語音部分之間建立一條鏈路，并在兩個部分之間實行網(wǎng)絡地址轉(zhuǎn)換，同時讓所有IP電話設備都采用專用的地址空間。

　　為了防止有人在網(wǎng)絡上安置未授權電話，需要采取一些驗證措施，無論驗證手段是指只允許擁有已知媒體訪問控制（MAC）地址的電話進行訪問，還是指個人身份、口令和個人身份識別號（PIN）。IP電話采用靜態(tài)IP地址并映射到MAC地址的做法也值得考慮。當然，還要隨時更新所有語音郵件和呼叫處理服務器上的安全補丁，確保擁有良好的病毒防護機制。你為IP電話系統(tǒng)付出的努力會得到回報，進而提高整個網(wǎng)絡的可靠性。

計算機世界網(wǎng)(www.ccw.com.cn)