VoIP也要安全

　　一旦企业用户对VoIP通信经过测试，证明能正常工作，那么余下的工作便是解决安全性问题。VoIP通信要完全做到像其他数据应用一样安全，需要进行适当的配置，并跟网络中其它服务器和应用一样，对其进行精心管理。
　　保障VoIP安全不仅仅是单方面的，而是一系列典型处理进程的集合，它涵盖了网络中相关的服务器、各类应用以及语音本身。而且，在选择防火墙、入侵检测系统（IDS）和其它安全工具时也同样需要谨慎从事。
　　防火墙选取至关重要
　　保障VoIP数据在防火墙中的安全是一项相当繁杂的工作。VoIP会话采用的协议为H.323或SIP（会话初始协议），防火墙在整个VoIP通信配置中必须能处理这类相当复杂的实时通信协议。H.323与SIP具有单独的控制和媒体传输连接方式，典型地是选择在一个IP端口建立呼叫连接，而随机选取另一个大数额端口（通常在1024端口以上）作为数据通信连接。因而不能简单地将防火墙配置为对特定端口开放或禁止，因为防火墙无法识别哪个端口将被用于通信连接。这就需要一类能充分识别此类协议的防火墙，当会话启动并通过控制域中的认证后，适时打开数据连接通道，并在会话结束时即时关闭连接。
　　另外，防火墙还须保证在不影响语音流传输性能的前提下，进行完整的数据包检测。据ITU的建议，在端到端通信中语音流应不超过100毫秒延迟，因为语音包比普通数据包要小得多，每秒传输的包数量相应地要大得多（每次语音流中每秒约传输50个数据包，几乎是一次数据流的两倍），语音通信处理会明显降低防火墙性能。虽然软件防火墙能很好地处理数据通信，但要应付每秒50个数据包的呼叫请求——几乎是它能监测数据包的极限，因此很多软件防火墙根本就吃不消。相对而言，专用硬件防火墙在这方面就在行得多。
　　与防火墙配套使用的VPN设备的处理能力也值得关注。当语音流中每秒数据包达20个左右时，一些低端VPN加密机就难以应付了，数据包超过一定限度甚至有可能造成加密机瘫痪。有的防火墙不具备硬件加速器，只有软件方案，与VPN设备联合使用就更难适应语音通信要求了，因为抖动太厉害。而且，只要防火墙处理器繁忙，必然造成语音包丢失。
　　还有一个问题是，它不能将来自远程站点的呼叫转接到另一远程站点，因为防火墙不准许语音包通过同一端口进入和输出。要彻底解决这一问题，只有解除路由器中建立的IPSec隧道，由于路由器具备硬件加速器，且能进行站点间路由转发，因而能高效实现语音通信。
　　服务器安全保障不可少
　　VoIP服务器配置需要特别留意，大多数IP PBX操作系统都附带其他服务功能，这有可能引发安全性问题。Avaya认为，服务器应专注于语音处理。Avaya开发的MultiVantage IP PBX采用Linux系统，其中既无Web浏览器，也无邮件系统和守护进程（daemon，用于邮件收发的后台程序）。这也就是说，应尽量减少一般服务器具备的网络服务工具。这种对操作系统的“瘦身” 加固配置，有利于保护平台免受病毒和蠕虫侵害。一些IP电话核心服务器简单配置Windows NT操作系统后，就容易遭到Nimda这类病毒攻击。据Nortel称，他们采用的平台基于嵌入式NT（本身进行了漏洞修补）设计，并经过严格测试，去除了不必要的服务，因而IP电话平台从未遭受过攻击。
　　另一成功应用案例是Cisco，此前他们采用基于NT的CallManager VoIP服务器，结果遭受到Nimda病毒攻击。Cisco随后对系统进行了修补，对平台进行加固处理，保障了VoIP的安全。Cisco还计划在年底前推出非NT平台，尽管用户对其弱点情况和补丁管理抱有疑虑，但他们坚信，VoIP服务器面临的安全风险不会比其他网络设备大。
　　很多用户因为安全原因而不愿意使用基于Windows系统的IP PBX。人们一旦谈及关键应用，首先想到的是：平台是否容易受到病毒或黑客攻击——Windows系统不是受攻击的最大目标吗？操作系统选取是一个方面，但重要的是系统稳定，不需要太多附加安全工具进行保护。基于此，很多公司都将Linux/Unix作为VoIP通信平台。
　　还有就是需要采取必要预防措施，不让语音服务器暴露于Internet。语音服务器应采用专用IP，语音通信只在经VPN加密的安全LAN中传输，而不是将VoIP暴露于Internet。为实现这一点，企业用户一般是从单一通信服务商购买语音线路，以方便基于LAN处理通信。
　　与防火墙技术关系紧密的IDS也是保障VoIP通信安全的重要一环。一些专注于语音应用的IDS能提供更多的VoIP服务器保护，但目前这类设备配置还很少。而且IDS存在一个致命弱点，它容易引发错误告警，从而影响到功能发挥，尤其是在语音通信环境。这就需要设置大量规则，以处理数量巨大的语音包，否则系统面对的将是无止境的“主动性”错误告警。Cisco声称已获得解决这类问题的专门技术，一是依据检测情况的自动告警功能（旗下Psionic公司开发），一是Okena公司开发的入侵预防和检测系统（IPS）。
　　防止窃听进行线路加密
　　VoIP应用中另一个值得关注的安全问题是防止黑客窃听语音呼叫或窃取语音服务。防止窃听的一种方法是对呼叫进行加密，这对现行VPN技术来说已易于实现（撇开互操作问题）。但首先得保证VoIP终端设备具备足够的处理资源以支撑VPN客户端，而很多IP电话根本就不具备这个能力。此种情形下，用户就只能在工作站或电脑中实现VPN客户端，将电话连接到PC。这种配置方式未尝不可，但要保证电脑不会与VoIP呼叫产生冲突。例如，如果运行Windows XP系统，将不会遇到什么问题，但若是Win98就有麻烦了；连接线路方面，若采用256K DSL接入，支持语音通信绰绰有余，但要同时运行Outlook这类客户端邮件软件，系统可能就吃不消了。
　　另外就是，没有必要对LAN中VoIP通信进行全面加密。典型的例子是，现今蜂窝电话已相当普及，要进行窃听会比VoIP通信流容易得多，应该承认不是每类通话都需要保密。总之，VoIP应用中，加密实现相对于其它问题要简单些。

赛迪网 中国信息化(industry.ccidnet.com)