轻松几步确保VoIP安全

确保网络电话(VoIP)的安全对中小企业来说不再是一个富有挑战性的问题。

VoIP主要地是指在因特网上打电话。这种网络电话就正如因特网本身一样，在给人们带来好处的同时其自身也存在着局限。网络电话具备的优点即是：为人们提供了一种可以在已经具有的并且很容易操作的公开网络——因特网上进行廉价和容易的交流方式。缺陷则是：同样具备网络的安全弱点，网络最初不是为安全而设计的——或者也不是为网络电话而设计的。

但这也并不是那么地让捉襟见肘的以及IT员工有限的中小企业担惊受怕。多数情况下，在VoIP中需要的调和问题涉及到与加固因特网和贵公司可能已经配置了的网络连接等方面类似的努力。并且，多数工作可以用现有的网络员工来处理，甚至不需要设置专门的信息安全部门。

即使中小企业没有自己的网站或者是因特网服务，但同大企业一样，中小企业仍然会通过常规路由器等与因特网进行连接。为中小企业解决网络电话问题迫在眉睫。

安全问题成为首要问题

在深入探究确保VoIP安全问题的四个最佳操作惯例以及如何应用到中小企业上之前，先要意识到围绕VoIP的整个安全问题。

围绕VoIP主要有三大主要的安全考虑问题，并且一般而言，它们与IP交通产生的安全问题几乎完全相同。这些问题是：

1.缺乏认证。

2.诳骗以及把没有加密的数据暴露在外面。

3.类似垃圾邮件的不需要的交通，这在VoIP的世界里被叫做SPIT，或者叫通过网络电话传播的垃圾邮件。

VoIP同样充当了进入公司的一个入口，正如任何一种其他的网络连接一样，如病毒、间谍软件和恶意软件。但这些都不是VoIP的特殊问题。通过网络电话来拒绝服务(DoS)攻击同样已经成为可能，但同样，这也只是一般意义上的IP协议问题，并不是VoIP所关注的。

IP信息流没有经过验证。它可以在因特网上自由移动，也可以来自任何地方。这是TCP/IP协议固有的难题。对网络电话而言，这意味着一个恶意的用户可以通过造假诳骗贵公司的IP地址，并以信赖的客户的身份作为一个访客出现。这就是众所周知的语音网络钓鱼诈骗手法。如同电子邮件一样，这种手法是为了在客户打电话过程中套出客户的保密性帐户信息，并将这些信息发给以贵公司员工身份出现的小偷们。

IP信息流可以毫无嫌疑地自由移动。这些信息流很容易被传统的数据包嗅探器，比如网络嗅探工具(以前叫开源网络数据包分析软件Ethereal)、口令嗅探器(dsniff)、交换环境下的嗅探器(Ettercap)等类似的工具监听到。在全新的看起来光泽耀人的VoIP网络电话上进行的任何交谈都可能被嗅探器偷听到，从而偷听到在因特网上移动的所有未加密的信息流。这不同于平常的电话线路，平常的电话线路需要经过一定的努力才能探听到打电话的公司的信息，而VoIP则通过因特网就能潜在地将中小企业的保密信息暴露在整个世界中。

并且，正如垃圾邮件通过电子邮件传播一样，垃圾语音邮件信息可以通过VoIP进入到贵公司，用SPIT来堵塞中小企业电话网络。这又是一种对公司进行的拒绝服务攻击，正如来自因特网的其他攻击一样，只不过这是通过VoIP连接进行的。

因此，中小企业应当如何保护自己不受VoIP的威胁呢?这里有四条建议：

1.首先，在一个分离的因特网连接中进行所有的VoIP信息流，并且把语音和数据信息流与企业自身的网络部分分离开来。采用虚拟局域网(VLAN)来分离语音和数据。这可以防止如下情况的攻击：将因特网上的数据流泄露到您的语音系统中，并采用VoIP网络攻击你的主要网络。建立一个专门为了VoIP信息流的分离的服务器，并采用防火墙将这些服务器与您网络的其他部分分离开来。对于不同建筑物之间的VoIP连接，采用虚拟专用网(VPN)来验证用户以阻止诳骗。

2.第二，避免使用在普通的台式机或工作站上就能安装的廉价的VoIP系统。尽管这可能对那些富有成本意识的中小企业来说很诱人，但这些系统确实具有很高的不安全因素，因为这些系统很容易缺乏免疫力并且被用作进入您的网络的一个后门。从诸如Vonage Holdings公司或者Avaya公司等大的供应商处购买有效的VoIP系统，并把这些集成到现有的路由器上，这些都可以由现有的网络员工来处理。

3.第三，对任何的VoIP信息流都加密，以确保其保密性以及防止被任何的网络嗅探器偷听。VoIP加密的方式正在逐渐改善，而且这也很容易在路由器或者网关中进行设置，然后建立IPSec隧道。这可以为中小企业的那些可能已经在虚拟专用网络中设置这类连接的员工减少压力。 [Page]

4.最后，把VoIP服务器放置到安全的物理位置中，就像您对待其他的网络设备时所做的那样。最为理想的情况是，如果空间允许的话，这种设备应该有自己的与其他网络设备分离的空间。

与其他的网络服务器一样，应当在VoIP系统中配置基线安全控制。如下步骤表明了如何进行这类控制：

确保主机上VoIP系统的所有的路由器和服务器都被加固了，并且所有没有必要的服务器都被关掉了，端口也被关闭了。

限制对VoIP服务器的访问，仅允许系统管理员进入，并且对所有的访问进行监控并记录日志。

采用侵扰检测系统来监测恶意的访问VoIP网络的行为。

采用从深处防御的策略，进行多层安全控制，包括专门应对VoIP的防火墙。

使用VoIP并不是其所看起来的那样的让人担惊受怕，或者带有很多负担。确保VoIP安全的多数任务可以由现有的IT员工来处理，因为这些都已经被整合到了您的网络之中。