IP Phone系统的安全

2002/06/10

　　随着Internet的日益扩大，基于IP技术的各种应用迅速发展。IP Phone和VoIP是在Internet上实现实时语音传输服务及其他多媒体实时通信业务，这是近几年兴起的、极具挑战性的实用技术。与传统的PSTN相比，IP Phone采用了先进的数字信号处理技术，将原先64kbit/s的话音信号压缩成8kbit/s或更低码率的数据流，能够在同一条线路上传输比采用模拟技术时更多的呼叫，并且采用了分组交换技术，可以实现信道的统计复用，使得网络资源的利用效率更高，更重要的是具有更低的使用成本。

　　但是由于IP Phone系统建立在一个开放的IP标准上，并且连接在公用的Internet或Intranet之中，因此其安全问题也成了不可忽视的方面。通信服务器和呼叫管理器作为IP Phone系统的核心，对内集结企业的IP电话和普通电话，向外提供到PSTN和因特网以及其他协议的接口，承担着电话呼叫控制、设备配置、数据配给、拨号方案管理、负载均衡、远程监控等功能。该服务器直接与Internet相连，面对着公用网中的各种危险和攻击，它是否具有足够完善的安全机制、是否能抵御DoS攻击、是否有增强的口令和访问控制管理等等都关系着整个IP Phone系统的安全性能。

　　IP Phone终端设备是IP Phone系统直接面向终端用户的部分，它可以是如Netmeeting的软件，也可以是专用的IP电话机硬件设备。已经有证据表明，通过向IP Phone终端设备发送大量数据包能够致使其无法工作，甚至重新启动，这包括了使用大多数DoS攻击程序。而一些IP电话机内建了一个Web服务器来提供调试和状态信息页面的显示，这虽然为使用和管理提供了方便，却也给攻击者提供了可乘之机：使用某些特定的无意义参数的HTTP请求也能使它重启。在电话重启过程中，原有的通话就会被中止，而且该电话在重启和恢复正常状态的这段时间中，电话是无法使用的，因此如果攻击持续地进行，将导致设备一直无法使用。

　　因此，针对IP Phone系统，要建立全面的安全体系。首先要使用防火墙，并在通信服务器和呼叫管理器上使用基于主机的入侵检测系统和病毒检验程序，保护系统的安全；同时使用加密和VPN等技术，保证网间业务安全性和保密性；而对于终端设备，也应该使用桌面型防火墙，限制、过滤和阻止不可信源的通信流，以及禁止网络中其他设备对其进行Web访问。

　　上海广电应确信有限公司（www.svanetworks.com）作为专业的网络安全设备厂商，不仅提供了针对电信级和企业级的全套以太网安全解决方案，包括防火墙/VPN、入侵检测系统、病毒防护系统、访问认证、集中安全管理系统，也提供了针对SOHO和个人用户的小型网络安全应用，为实现“everything over IP”扫清网络安全的障碍。