如何保护VoIP系统安全

尽管鲜闻VoIP系统遭受安全入侵的事件，但是企业机构依然不能掉以轻心，因为VoIP也是黑客和恶意软件作者的攻击目标。

为了说明使用不安全的VoIP系统的企业可能面临的危害，Voice over IP Security Association (语音IP电话联盟Voipsa)发布了一批可公开获得的以VoIP应用为目标的工具。这表明黑客正将他们的注意力转向VoIP，而且大部分安全评论员都相信第一次主要的袭击将会在未来的六到十二个月内发生。

这表明尽管对VoIP系统的保护并非强制，但是所有的企业都需要保护他们的VoIP基础设施。

VoIP已经被纳入IT部门保护伞之下的现实对提高VoIP的安全性有所帮助。尽管由于使用了私人所有的操作系统，PBX实际上面临着大量的安全威胁。一般只需要少量的专业知识不用费太多力气就可以进入VoIP系统。

尽管VoIP系统使得能够进入机构电话系统的人数增加了，但是用来保护电话系统的工具和人才也得到了增加。

VLAN

提高VoIP安全性的第一步就是遵守数据网络最佳实操规范。Ovum公司分析专家Graham Titterington说：“VoIP的安全问题绝大多数与网络安全和管理相关。”

企业应将数据流量中携带的语音流量加载在一个单独的虚拟局域网上（VLAN）。这将有助于在数据网络上发生拒绝服务入侵时保护语音服务。

Falmouth学院网络经理Chris Whitwood具有实施IP电话系统的经验，他说“拒绝服务入侵对于VoIP来说是一种特别的入侵，会导致整个电话服务遭到完全的破坏。为了防止这种入侵，企业需要使用入侵防护系统这样的防御方法，或者使用VLAN技术将网络进行妥善的划分。”

VLAN的机构处理得当能够防止VLAN之间的相互影响。不过，即使如此，黑客入侵工具依然能够实现不同VLAN之间的跨越。额外运用的工具能够帮助网络在发生任何入侵时进行入侵检测和系统防护，会扫描恶意进入的信息包，防病毒软件能够直接防止任何已知入侵扰乱网络。

另外还有一项非常适用于语音系统的实操需要就是修改所有系统内组成部分的默认密码。以电话为例，如果电话的密码未经过修改，那么他们就能为黑客提供很多进入点，成为网络的上的缺陷。另外，企业应该去除VoIP系统内所有不必要的应用，如telnet和网络服务器许多IP电话都安装有网络服务器，因此能够通过PC屏幕对其进行配置管理，这样就容易使其暴露在互联网上。

打补丁是另外一个关键的安全措施。由于现在的VoIP就是运行在商业操作系统上的一个应用，因此它也需要和其他IT资产一样定期打补丁。入侵渗透测试公司SecureTest公司管理总监Ken Munro说：“企业需要确保VoIP系统所有的固件都是最新的。现在每隔几天就会发现新的VoIP系统缺陷，因此需要制订严格的定期补丁升级机制。

加密

尽管有关VoIP窃听危害程度的争论还没有得出结论，企业也应该考虑使用加密手段来保护VoIP呼叫。当存在无线网络或远程用户等可能给窃听带来机会的因素，企业应该毫不犹豫的采用加密手段。有些安全专家甚至提议对整个网络进行加密。

PBX生产厂家Mitel公司IP技术总监和Voipsa总监Dan York说：“对于VoIP来说最好的加密方法就是secureRTP。这个方法不需要提前进行太多的工作。这只是一款轻量级的加密方法，可能更适合用户数量不超过1000人的小型企业。SecureRTP使用高强度加密，有不少VoIP应用厂商都采用这个技术。

远程用户由于在防火墙以外旅行，所以需要额外一层安全保护。一种方法就是采用IPSec VPN，但是前期工作会影响语音服务的质量。另外一个选择可能就是SSL技术在防火墙开一个通道，供VoIP系统使用，这样对呼叫质量影响较小。

Falmouth学院的Whitwood说：“总有人在担心远程工作人员所进行的谈话会被截获。为了防止这种情况的发生，我们在用户和VoIP服务器之间搭建了一个VPN通道。对于登录电话系统的用户需要使用VPN是因为从外部世界无法使用VPN。

最后，为了确保所有为了提高安全性所做的努力不会付之东流，组织机构需要执行一个关于VoIP的用户安全规范。这个规范应该能够清楚的规定出用户所承担的责任。例如，保证密码的保密性，以及他们能够下载何种应用等。

对清晰的安全政策的坚决贯彻应该能够防止用户沦为网络钓鱼欺骗和忽视安全措施的社会工程人员的受害者。