層層設防保護VoIP安全　抵禦隔牆之耳入侵

即使在VoIP技術廣泛應用的今天，VoIP的安全性仍屢遭質疑。英國安全專家、防火牆公司Borderware創辦人之一Peter Cox就在近日公開宣稱，基於網絡的VoIP電話極不安全，容易給黑客造成可乘之機。為了證實這個觀點，他研發了可以竊聽VoIP網絡電話的「概念證實」（Proof－of－Concept）型軟體SIPtap。該軟體利用一個安裝在公司網絡上的特洛伊木馬軟體，成功對VoIP網絡進行監聽，並可以生成後綴為「．wav」的文件供黑客隨後在互聯網上傳播使用。

VoIP成為無論專家還是黑客攻擊的靶子並非偶然。作為一種在網絡上應用的IP技術，與Web和電子郵件等IP應用一樣，VoIP技術存在特有的威脅和風險。這些威脅和漏洞包括所有IP網絡層面的威脅、VoIP協議和應用的威脅以及與內容有關的威脅等。就如同裸露的皮膚最容易受傷，解決辦法就是給你的VoIP多穿幾層鎧甲－－採取多層次安全機制，在潛在入侵者的攻擊路線上盡可能多地設置各種障礙。

建立一個安全的VoIP網絡，首先要將其從資料網絡中獨立出來。要將虛擬局域網（VLAN）上的VoIP話機設為非路由的地址，然後禁止連接互聯網的電腦與VoIP之間有任何交流，還要使用存取控制列表（Access Control Lists）來阻止VLAN之間的通訊。

而且，需要一個特別設計的防火牆，能識別和分析VoIP協議，對VoIP的資料包進行深度檢查，並能分析VoIP的有效載荷，以便發現任何與攻擊有關的行為。

還要在幾個層次上設置障礙，包括保護好VoIP網關，鎖閉網絡物理層，用IPSec加密，用TLS鎖定會話層和用SRTP來對應用層的介質進行加密。

網關是資料進出VoIP網絡的關鍵點，它會同時連接不同的網絡，如IP網絡和公共電話交換網（PSTN）。在網關上使用授權機制和存取控制，以便控制可通過VoIP系統撥打和接聽的電話，以及設定可以執行管理任務的不同人員權限等。

對一個語音網絡而言，限制對介質訪問以及對VoIP伺服器和端點訪問非常重要。 要達到限制對介質訪問或對VoIP伺服器和端點訪問的目的，首先對所有呼叫伺服器以及與伺服器有關的接觸進行控制；然後限制對終端的接觸，並將線纜埋設在牆體中的管道裡以保證它們自身的安全；最後還要謹慎選擇無線AP的位置，限制無線交流，限制信號強度，使用屏蔽材料將無線信號盡量阻擋在建築物之內。

用IPSec加密來保護網絡中的VoIP資料，能保證即使攻擊者穿越物理層防護措施截獲了VoIP資料包，也無法破譯其中的內容。

TLS使用的是數字簽名和公共密鑰加密，這意味著每一個端點都必須有一個可信任的、由權威CA認證的簽名。也可以通過一個內部CA（如一台運行了認證服務的Windows伺服器）來進行企業內部的通話，並經由一個公共CA來進行公司之外的通話。

用SRTP來對應用層的介質進行加密，可以提供信息認證、機密性、回放保護等安全機制。

VoIP安全保護偏方

無論VoIP網絡防範多麼嚴密，攻擊不可避免會發生。因此，有必要通過部署合適的監視工具和入侵檢測系統，發現試圖攻入VoIP網絡的各種嘗試。通過仔細觀察這些工具所記錄下來的日誌，有助於及時發現各種資料流量的異常狀況，從而發現是否有人通過暴力破解賬號的方式進入網絡。

與此同時，及時維護操作系統和VoIP應用系統的補丁，對於防範來自惡意軟體或病毒的威脅是非常重要的。

還有一個點子可能會有幫助，那就是制定一個計劃，把你自己假想成一個黑客高手，然後嘗試用各種辦法來攻擊你的VoIP系統。沒有找到攻擊入口，並不代表你的VoIP系統是安全的。但是如果你能找到入口，那麼別人也可以，那就趕快堵住這個漏洞吧！

(