VoIP指的是在使用了互聯(lián)網(wǎng)協(xié)議的網(wǎng)絡(luò)上進(jìn)行語音傳輸,，其中的IP是代表互聯(lián)網(wǎng)協(xié)議，它是互聯(lián)網(wǎng)的中樞,，互聯(lián)網(wǎng)協(xié)議可以將電子郵件,、即時信息以及網(wǎng)頁傳輸?shù)匠汕先f的PC或者手機(jī)上。有人說它是電信殺手,，也有人說它是國際事務(wù)中的革命性因素,。總之吹捧甚多,。但是,，也許在你使用這項服務(wù)的時候，也許正有一位黑客竊取你的個人信息甚至搞毀你的網(wǎng)絡(luò),。
  　　所有影響數(shù)據(jù)網(wǎng)絡(luò)的攻擊都可能會影響到VoIP網(wǎng)絡(luò),，如病毒、垃圾郵件,、非法侵入,、DoS、劫持電話,、偷聽,、數(shù)據(jù)嗅探等。唯一的不同是,，我們更樂于采取一些措施來保護(hù)其它的網(wǎng)絡(luò),。對于VoIP，卻鮮有什么具體措施,。事實(shí)上,，只有我們采取一些保護(hù)措施，這項技術(shù)才可能取得真正的成功,。
  　　下面探討25種可以保護(hù)VoIP的方法：
  　　1,、限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋€VLAN上
  　　Cisco建議對語音和數(shù)據(jù)分別劃分VLAN，這樣有助于按照優(yōu)先次序來處理語音和數(shù)據(jù),。劃分VLAN也有助于防御費(fèi)用欺詐,、DoS攻擊、竊聽,、劫持通信等,。VLAN的劃分使用戶的計算機(jī)形成了一個有效的封閉的圈子，它不允許任何其它計算機(jī)訪問其設(shè)備，從而也就避免了電腦的攻擊,，VoIP網(wǎng)絡(luò)也就相當(dāng)安全;即使受到攻擊,，也會將損失降到最低。
  　　2,、監(jiān)控并跟蹤VoIP網(wǎng)絡(luò)的通信模式
  　　監(jiān)控工具和入侵探測系統(tǒng)能幫助用戶識別那些侵入VoIP網(wǎng)絡(luò)的企圖,。詳細(xì)觀察VoIP日志可以幫助發(fā)現(xiàn)一些不規(guī)則的東西，如莫名其妙的國際電話或是本公司或組織基本不聯(lián)系的國際電話,，多重登錄試圖破解密碼，語音暴增等,。
  　　3,、保護(hù)VoIP服務(wù)器
  　　必須采取效措施來保障服務(wù)器的安全以抵御來自內(nèi)部或外部的入侵者用嗅探技術(shù)來截獲數(shù)據(jù)。因?yàn)閂oIP電話機(jī)擁有固定的IP地址和MAC地址,，所以攻擊者易于據(jù)此潛入,。建議用戶限制IP和MAC地址，不允許隨便訪問VoIP系統(tǒng)的超級用戶界面,，并在SIP網(wǎng)關(guān)之前建立另一道防火墻,，這樣就會在一定程度上限制對于網(wǎng)絡(luò)系統(tǒng)的侵入。
  　　4,、使用多重加密
  　　僅僅對發(fā)送的數(shù)據(jù)包加密是遠(yuǎn)遠(yuǎn)不夠的,，必須對所有的電話信號進(jìn)行加密。對話音加密會防止攔截者的語音插入到用戶會話中,。在這方面,，SRTP協(xié)議能夠?qū)Χ它c(diǎn)通信加密，TLS能夠?qū)φ麄€通信過程加密,。應(yīng)該通過在網(wǎng)關(guān),、網(wǎng)絡(luò)、主機(jī)層面上提供強(qiáng)大的保護(hù)來支持語音傳輸加密,。
  　　5,、建立VoIP網(wǎng)絡(luò)的冗余機(jī)制
  　　要時刻準(zhǔn)備著可能會遭到病毒、DoS攻擊,，它們可能會導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓,。構(gòu)建能夠設(shè)置多層節(jié)點(diǎn)、網(wǎng)關(guān),、服務(wù)器,、電源及呼叫路由器的網(wǎng)絡(luò)系統(tǒng)，并與不只一個供應(yīng)商互聯(lián),。經(jīng)常性的對各個網(wǎng)絡(luò)系統(tǒng)進(jìn)行考驗(yàn),，確保其工作良好，當(dāng)主服務(wù)網(wǎng)絡(luò)癱瘓時，備用設(shè)施可以迅速接管工作,。
  　　6,、將設(shè)備置于防火墻之后
  　　建立分離的防火墻，這樣通過VLAN邊界的通信僅限于可用的協(xié)議,。萬一客戶端受到感染的話,，這會防止病毒、木馬擴(kuò)散到服務(wù)器,。建立分離的防火墻后,，系統(tǒng)安全策略的維護(hù)也會變得簡單。當(dāng)需要時,，必須正確配置防火墻以便開放或關(guān)閉某些端口,。
  　　7、定期更新補(bǔ)丁
  　　VoIP網(wǎng)絡(luò)的安全性,，既依賴于底層的操作系統(tǒng)又依賴于運(yùn)行其上的應(yīng)用軟件,。保持操作系統(tǒng)及VoIP應(yīng)用軟件補(bǔ)丁及時更新對于防御惡意程序或傳染性程序代碼是非常重要的。
  　　8,、將內(nèi)部網(wǎng)絡(luò)與Internet分開
  　　將電話管理系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)置于國際互聯(lián)網(wǎng)絡(luò)直接訪問之外是一個不錯的選擇,，將語音服務(wù)與其它服務(wù)器置于相分離的域中，并限制對其訪問,。
  　　9,、將軟終端電話(softphone)的使用減至最少
  　　VoIP軟終端電話易于遭受電腦黑客攻擊，即使它位于公司防火墻之后,，因?yàn)檫@種東西是與普通的PC,、VoIP軟件及一對耳機(jī)一起使用的。而且,，軟終端電話并沒有將語音和數(shù)據(jù)分開,，因此，易于受到病毒和蠕蟲的攻擊,。
  　　10,、定期進(jìn)行安全審查
  　　對于超級用戶和一般用戶的活動進(jìn)行檢查可以發(fā)現(xiàn)一些問題。一些“釣魚”企圖可以被阻止,，垃圾信息可以被過濾,，入侵者也可以被阻斷。
  　　11,、對于實(shí)際安全性進(jìn)行評估
  　　要確信只有經(jīng)過鑒別的設(shè)備和用戶,，才可以訪問那些經(jīng)過限制的以太網(wǎng)端口。管理員常常被欺騙,，接授那些沒有經(jīng)過允許的軟終端電話的請求,，因?yàn)楹诳蛡兡軌蛲ㄟ^插入RJ44端口輕易地模仿IP地址和MAC地址,。
  　　12、使用提供數(shù)字安全證書的商家
  　　如果IP電話商能夠提供證明書來對設(shè)備進(jìn)行認(rèn)證,，用戶基本上可以確信其通信是安全的,，并且不會廣播到其它設(shè)備。
  　　13,、確保網(wǎng)關(guān)的安全
  　　要配置網(wǎng)關(guān),，使那些只有經(jīng)過允許的用戶才可以打出或接收VoIP電話，列示那些經(jīng)過鑒別和核準(zhǔn)的用戶,，這可以確保其它人不能占線打免費(fèi)電話,。通過SPI防火墻、應(yīng)用層網(wǎng)關(guān),、網(wǎng)絡(luò)地址轉(zhuǎn)換工具,、SIP對VoIP軟客戶端的支持等的組合，來保護(hù)網(wǎng)關(guān)和位于其后的局域網(wǎng),。
  　　14,、分別管理服務(wù)器
  　　VoIP電話服務(wù)器常常是攻擊者的靶子,，因?yàn)樗鼈兪侨魏我粋€VoIP網(wǎng)絡(luò)的心臟,。服務(wù)器的一些內(nèi)在的致命弱點(diǎn)包括其操作系統(tǒng)、服務(wù)及它所支持的應(yīng)用軟件,。要將黑客對服務(wù)器的攻擊降至最小程度,，就要對VoIP傳輸信號的不同服務(wù)器分別進(jìn)行管理。
  　　15,、對SIP(會話初始協(xié)議)通信進(jìn)行排序
  　　徹底檢查網(wǎng)絡(luò)SIP通信,，檢查那些不正常的信息包及通信模式，這些措施有助于切斷那些非常短小的虛假會話,。SIP信號中的語法和語義的異常,、不規(guī)則事件、順序錯亂會指明攻擊正在或?qū)⒁_始,。
  　　16,、檢查應(yīng)用層的呼叫設(shè)置請求
  　　VoIP 電話易于被外部的那些可以訪問網(wǎng)絡(luò)的人劫持，管理員需要設(shè)置安全策略,，這樣,，只有呼叫請求與已有策略一致時才可以被接受。
  　　17,、隔離語音通信
  　　對于外部通信來說,，要依靠虛擬私有網(wǎng)絡(luò)(VPN)。分離語音與數(shù)據(jù)通信以阻止那些竊聽用戶談話的企圖,。思科有關(guān)專家建議,，要阻止PC端口訪問語音VLAN。
  　　18,、使用代理服務(wù)器
  　　通過使用代理服務(wù)器來處理進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù),，借以保護(hù)用戶的網(wǎng)絡(luò)。
  　　19,、只運(yùn)行需要提供和維持VoIP服務(wù)的應(yīng)用軟件
  　　事實(shí)上，VoIP應(yīng)用軟件使用加密的數(shù)據(jù)，也可能招致DoS攻擊,。攻擊者可以隱藏在加密的掩護(hù)之后來避免其活動遭到監(jiān)視。思科專家認(rèn)為,，信號在用戶代理和SIP代理之間傳輸時,，要通過集成SSL通道和SIP代理的方法確保認(rèn)證完整性。
  　　20,、配置應(yīng)用程序防止濫用或誤用
  　　通過準(zhǔn)備一個被允許呼叫的目的地列表,，來防止網(wǎng)絡(luò)被濫用于長途電話、“釣魚”欺詐和非法電話,。
  　　21,、增加端點(diǎn)安全層
  　　使用網(wǎng)絡(luò)準(zhǔn)入技術(shù)和IEEE
  802.1X基于端口網(wǎng)絡(luò)訪問控制(NAC)，將那些沒有經(jīng)過LAN或WLAN授權(quán)的設(shè)備排除在外,。NAC應(yīng)用程序有思科的NAC,，微軟的NAP，還有TCG的TNC等,。
  　　22,、根據(jù)某種標(biāo)準(zhǔn)限制訪問
  　　VoIP網(wǎng)絡(luò)管理員可以建立嚴(yán)格的準(zhǔn)入標(biāo)準(zhǔn)，防止用戶訪問具有潛在危險的設(shè)備,，當(dāng)這些設(shè)備被發(fā)現(xiàn)感染了病毒或蠕蟲時,，或沒有打上最新的補(bǔ)丁，或沒有安裝適當(dāng)?shù)姆阑饓?，都使系統(tǒng)潛藏著危險,。這些設(shè)備可以被定向到完全不同的網(wǎng)絡(luò)，并將危險傳入到要害網(wǎng)絡(luò),。
  　　23,、避免遠(yuǎn)程管理
  　　如果可能，最好避免使用遠(yuǎn)程管理和審計,，但若是需要的話,，可使用SSH或IPsec來保證安全?？蓮囊粋€物理上安全的服務(wù)器訪問你的IP PBX,。
  　　24、使用IPsec隧道而非IPsec傳輸加密
  　　隧道和傳輸加密是兩種不同的加密模式,，都支持IP層的數(shù)據(jù)包交換,。使用IPsec傳輸加密只對數(shù)據(jù)進(jìn)行加密,，并隱藏源IP地址和目標(biāo)IP地址。這會防止管理員在分析數(shù)據(jù)通信時找出是誰初始化了會話,。
  　　25,、保障VoIP平臺的安全
  　　支持客戶端的VoIP平臺建立在操作系統(tǒng)基礎(chǔ)之上，操作系統(tǒng)就“加固”,，用以保護(hù)網(wǎng)絡(luò)的完整性并將網(wǎng)絡(luò)攻擊阻擋在網(wǎng)絡(luò)之外,。禁用那些非必要的服務(wù)，并使用基于主機(jī)的檢測方法,。
  　　保障VoIP網(wǎng)絡(luò)的安全是一項艱巨的任務(wù),，特別是考慮到缺少適當(dāng)?shù)臉?biāo)準(zhǔn)和程序的情況下。一個網(wǎng)絡(luò)安全性依賴于硬件和軟件的正確選擇,。毫無疑問,，如果采取了恰當(dāng)?shù)拇胧琕oIP通信比普通的PSTN交互可以做得更安全,、更可靠,。因此讓我們行動起來，對我們的網(wǎng)絡(luò)做出今人刮目相看的改變吧,。