IP电话与SAFE

　　虽然不同规模企业的IP电话设计大不相同，但面临的基本问题几乎相同。因此，影响SAFE IP电话设计的重要因素比较相似。

　　1．合理放置防火墙，有效控制语音—数据网段交互：只有适当控制数据和语音网之间的访问才能部署安全的IP电话网。要实现这一任务，应该使用状态防火墙，因为它能提供基于主机的DoS保护，防止连接短缺和分段攻击；在合理和必要的地方，还通过防火墙提供每端口接入、反窃听和常规过滤等功能。思科并不提倡在所有网段之间放置状态防火墙。相反，需要在特殊网络位置放置状态防火墙。防火墙将负责以下连接：

● 放置在数据网段中，保护语音网中的语音邮件系统安全。

● 放置在语音网段中，为呼叫建立控制，并配置与数据网中呼叫处理管理器相连的IP电话。

● 放置在语音网段中，隔离放置在数据网段中与语音邮件系统连接的IP电话。

● 放置在语音网段中，通过语音网中的代理服务器浏览IP电话资源——包括员工用户目录等。

● 放置在数据网段中，保证IP电话用户能够修改电话的配置。

● 处于语音网段中，数据网的代理服务器——服务器代理IP电话服务发出的所有请求。

　　基于PC的IP电话还会存在以下两种连接：

● 数据网段中的IP电话访问语音网段中的呼叫处理管理器，以便建立呼叫。

● 数据网段中的IP电话访问语音网段中的语音邮件系统。

　　如果IP电话设备使用专用地址空间，例如RFC 1918提供的地址空间，可以降低流量到达网络外部的可能性。这样，网络外部的黑客就无法发现语音网中的漏洞。如果可能，应该尽量在数据和语音网中使用不同的RFC 1918地址空间，以便进行过滤和识别。虽然在所有设计中都将状态防火墙作为呼叫处理管理器的前端，但NAT对语音网内传输的流量不起作用。在所有设计中，NAT都应在数据网和语音网之间，以便通过代理服务器支持IP电话服务。

　　2．建立身份识别机制：应尽可能多地使用用户和设备认证机制，这样能阻止对IP电话网发起的许多攻击。IP电话设备的认证方法主要是MAC地址设置。用户认证能更加有效防止设备盗窃MAC地址，并假冒其目标身份作案。

　　用户名/密码/PIN组合还可以用于识别访问呼叫处理管理器的用户，用户能够在获得成功认证之后访问其定制的配置设置。某些语音邮件系统还支持双因素认证。在这种情况下，用户必须通过严格的认证才能修改其定制设置或者听取语音邮件。

　　3．有效防止设备偷接：无论在哪种IP网络中都应该防止偷接设备插入网络。锁定网络中的交换端口、网段和服务将可防止设备偷接。下面的四个策略能够有效防止设备偷接。

　　首先，由于动态主机配置协议（DHCP）一般都用于部署可扩展的IP电话，因此，可以为已知MAC地址分配IP地址，防止未知设备获取地址。

　　其次，许多呼叫处理管理器都提供自动电话注册特性，以便为未知电话提供临时配置，在日常工作中应该关闭这个功能，以减少设备偷接机会。

　　第三，可以在语音网络中使用Arpwatch等工具监控MAC地址。与数据网段相比，MAC地址更有可能是静态的，Arpwatch将跟踪语音网段中所有设备的MAC地址。

　　最后，在所有网段中设置过滤功能。

　　4．保护和监控所有语音服务器和网段：对语音网中的语音服务器应该采取相应的保护措施。网络入侵探测系统（NIDS）是一种强大的工具，目前，NIDS不提供语音控制协议攻击签名。为探测从数据网发起的对HTTP用户设备的攻击，应该将NIDS部署在呼叫处理管理器的前面。如果想探测对语音网的DoS攻击，应该将NIDS部署在语音和数据网之间。

　　除监控特性外，NIDS还提供两个特性。如果探测到网段上有攻击特征，它可以打开回避功能，并修改网络设备的3层地址配置，以删除此网段上的所有其他流量。它的复位功能可用于撤消这些操作。

　　语音邮件和呼叫处理管理器正确的操作包括：关闭所有不需要的服务，及时为OS和服务补充最新的安全补丁，强化OS配置，关闭语音服务器上不用的特性，以及不在服务器上运行不必要的应用（例如电子邮件客户机软件）等。建议安装基于主机的IDS（HIDS）。由于语音服务器的目标值高，而且核查安全的时间长， HIDS能够立即、有效地防止攻击。如果呼叫处理管理器不支持HIDS，则应该在数据网段中的邮件服务器上安装HIDS。语音服务器可以运行分布在多台设备上的多种服务，应当利用这个特性提高安全性。语音服务器还支持多种管理方法，包括HTTP、SSL和SNMP等协议。

网络世界(cnw.ccw.com.cn)