纵论VoIP

　　如果语音和数据共存于同一网络，就要另外采取措施以确保语音的安全。

　　设想黑客闯入你的IP PBX或者网关，大肆盗打长途电话、查阅贵公司CFO的语音邮件或者把发给贵公司CEO的呼叫转给竞争对手；又或者内部员工使用tcpdump和随手可得的一款Unix工具（例如呼叫偷听器）偷听呼叫，你该如何是好？人们已逐渐接受了数据网络上的各种新颖应用，但也习惯了享用电话系统所具有的高可靠性和高安全性。

　　采取诸多措施可以降低网络数据遭受攻击的可能性。但首先你要知道传统PBX并不是不会受到攻击，黑客往往通过拨号进入管理端口；或者如果员工已被解雇，但账户还没有被禁用，只要接管他们的分机和语音邮件，就可以获得访问权，最直接的问题是，有许多网站专门介绍常用的电话黑客手段。

　　也就是说，IP PBX 极有可能受到数据网络上发生的事件的影响。VoIP厂商认识到这一点后，纷纷推出各种安全解决方案。首先，许多厂商避开Windows，改用VxWorks、Linux或者病毒和其他攻击相对较少、不必过于频繁打补丁的操作系统。为了加强OS的安全，它们只使用应用所必需的服务，“服务器”其实只是预先经过配置的设备。譬如，Cisco在其CallManager系统中采用了加强安全的Windows NT，大多数厂商还为IP LAN或者WAN提供语音和呼叫控制加密功能，Cisco甚至还提供了从Okena收购而来的内置的入侵检测功能。

　　保护VoIP LAN的最佳办法之一就是把它与数据LAN隔离开来。这种隔离不是说需要两套全然不同的基础设施，而是使用到交换机的802.1Q功能，把它们放在不同的虚拟局域网（VLAN），IP电话往往有自己的交换机和VLAN功能，把IP PBX和其他应用服务器放在不同的VLAN上，尽量利用防火墙保护含有PBX的部分，在两个部分的交汇处，譬如消息传送系统，防火墙应当能够提供防范攻击的作用。

　　一定要注意哪些IT人员可以获准访问IP PBX服务器的核心操作系统，考虑采用入侵检测和防护系统监控所有语音服务器和网段。尽量不要使用基于PC的IP电话，因为它们容易受到病毒攻击。另外，应当在数据部分和语音部分之间建立一条链路，并在两个部分之间实行网络地址转换，同时让所有IP电话设备都采用专用的地址空间。

　　为了防止有人在网络上安置未授权电话，需要采取一些验证措施，无论验证手段是指只允许拥有已知媒体访问控制（MAC）地址的电话进行访问，还是指个人身份、口令和个人身份识别号（PIN）。IP电话采用静态IP地址并映射到MAC地址的做法也值得考虑。当然，还要随时更新所有语音邮件和呼叫处理服务器上的安全补丁，确保拥有良好的病毒防护机制。你为IP电话系统付出的努力会得到回报，进而提高整个网络的可靠性。

计算机世界网(www.ccw.com.cn)