【IT168 专稿】无论是互联网电话、网络电话还是IP电话，实际上都是利用的同一种技术——VoIP。这一自2004年热门起来的技术，随着VoIP应用的不断普及企业应用领域的不断深入，技术本身存在的固有缺陷也逐渐暴露出来，尤其是在安全方面，一些企业CIO开始担心——网络中使用了VoIP应用，而网络的安全性越来越不可控制。

    那么VoIP在企业中应用到底会存在何种安全隐患；作为应用较频繁的企业用户来说，又该如何去杜绝与防范呢？

    VoIP现有隐患逐个数

    VoIP系统由于基于开放的IP技术，因此和普通的互联数据应用一样易于受到攻击的威胁，比如DoS攻击、病毒、木马、数据包嗅探、垃圾邮件和网络钓鱼等。除此以外，根据VoIP的构建原理，VoIP系统还存在两大类安全威胁：

    一类是由VoIP引发的网络系统安全——

    VoIP协议隐患  国家计算机网络应急技术处理协调中心(CERT)曾报告了SIP协议（VoIP使用协议）栈存在一个严重缺陷。黑客可以利用该缺陷，将有机会获得非法访问特权，发起DoS攻击，造成系统不稳等问题。显然，这个缺陷与SIP设备互相发送的、用来初始化VoIP呼叫、文本聊天或视频等话路的“邀请”信有关。

    因此，并不完善的协议会导致严重的后果：如果有人通过SIP漏洞冒充你的代理人与你通话，他就可以轻易的获取你的各种资料（其中当然包括银行卡号和密码）；当电话挂断时，你辛辛苦苦赚来的积蓄将被洗劫一空。另外，一个黑客也可以很容易地在您的SIP服务器中提交超量的假服务请求，这样服务器即不能接也不能听电话，造成服务拒绝现象。

   信任利用  先入侵某些服务器，而这些服务器又与VoIP服务器存在信任关系，由此获得对VoIP服务器的访问控制权。而且当入侵者先掌握了VoIP服务器的控制权限，同样可以利用此服务器向其它相关服务器发起攻击。这种攻击方式的成功率将会很高。

    防火墙配置  大多数主流防火墙没有考虑VoIP，这意味着你必须在标准防火墙上打开大量的端口，而这从威胁暴露角度看是不可接受的。

    另一类是通过VoIP应用，直接获取其它经济利益——

    垃圾邮箱隐患  垃圾邮件的泛滥，同样可能出现在VoIP系统之上。黑客会使用和寻找电子邮件地址一样的目录获取攻击，寻找出大量的合法IP电话地址，然后将一段wav文件放到某台计算机上，就可以发送大量垃圾语音邮件，并且通过假造的IP电话地址，让人无从追查。

   电话费欺诈  入侵语音网关，这个问题在模拟话机的情况下同样存在。如同我们在一根普通模拟话机线上又并接了多个电话一样，将会出现电话盗打的问题。尽管IP话机没办法通过并线的方式来打电话，但通过窃取使用者IP电话的登陆密码同样能够获得话机的权限。

    通常在IP话机首次登陆到系统时，会要求提示输入各人的分机号码和密码；很多采用了VoIP的企业为了方便员工远程/移动办公，都会在分配一个桌面电话的同时，再分配一个虚拟的IP电话，并授予密码和拨号权限。这样即使员工出差或是在家办公情况下，都可以利用VPN方式接入到公司的局域网中，然后运行电脑中的IP软件电话接听或拨打市话，如同在公司里办公一样。

    四方法保护VoIP安全

    企业利用VoIP技术，的确可以达到节省长途电话费，降低企业运营成本的目的。但VoIP所暴露的越来越多的安全隐患，需要企业不得不规划出一整套切合实际的防范方案。那么，在存在这些潜在威胁和安全漏洞的情况下，用户数量巨大的VoIP系统应该如何实施安全防御呢？笔者提出一些小建议供VoIP用户参考：

    方法一，使用第四代深度包检测防火墙。与第三代全状态检测防火墙不同的是，新一代防火墙，具备深度包检测功能，这类设备不仅可以检测位于第三层、第四层的TCP/IP协议和规则，还可以扫描应用层数据，从而实现网关防病毒、入侵防护、反间谍软件等功能，也就在一定程度上保护了操作系统本身及VoIP系统的安全。目前很多UTM设备具有上述功能。在选购此类设备时还应考虑到一个好的UTM安全设备，应该包含对H.323和SIP协议安全漏洞的防护。

    方法二，将VoIP基础设施及数据设备布置在不同的VLAN中。具体实现方法是：将语音和数据划分到不同的虚拟局域网（VLAN）中，以便让语音和数据在不同的虚拟局域网上传输，这样可以简化服务质量（QoS）设置。QoS设置简化后，用户只需为VoIP虚拟局域网赋予优先级即可。 另外，不少高端交换机的802.1Q特性提供了很多同样的保护，这些特性同样可实现将语音和数据放在不同的VLAN上的功能。

    这种方法带来直接的好处是，两者分开还可以将语音网络从数据VLAN中隐藏起来，可以有效地解决数据欺骗、DoS攻击等，因此没有了可能会发起攻击的计算机，VoIP系统就会安全很多。

    方法三，建议不要使用软电话。软电话即运行在PC上的电话软件，因为软电话使隔离语音与数据变得几乎不可能；建议使用IP电话机。将IP电话机的IP地址与它的MAC地址建立关联是帮助减少IP地址欺骗的好办法。

    方法四，建立完善的系统监控机制。比如部署合适的监视工具和入侵检测系统，用于发现试图攻入VoIP网络的各种尝试。通过仔细观察这些工具所记录下来的日志，管理员可轻易发现各种数据流量的异常状况，从而可以发现是否有人试图使用暴力破解帐号进入。

    采用封闭的VoIP系统  多数新兴企业乐于采用封闭性的VoIP系统，即分组语音只在LAN上传送，并且大多数外部传输流只能经过网关在PSTN上传送。这种情况下，办公室间的传输流一般只在受保护的办公室到办公室连接上传送。

    提示：采用这种封闭的VoIP系统需要加强企业的呼叫服务器、交换机和网关，并利用合适类型的防火墙和IPS来保护它们。

    VoIP安全威胁并非是不可预防的

    事实上，VoIP网络的安全性很大程度上取决于网络内设备的操作系统和运行在其上的各种应用。及时维护操作系统和VoIP应用系统的补丁，对于防范来自恶意软件或病毒的威胁是非常重要的。事实上，很多攻击都是利用了系统的漏洞。这一点与IP网络的安全防御是一致的。

    其实，就如互联网安全话题一样，无论你的防范多么严密，只要企业向Internet开放VoIP，就会在自己的网络上打开巨大的潜在安全窟窿。只要随时能够认识到VoIP系统安全的主要薄弱环节，通过软硬结合的办法，VoIP安全也就不是空话；再说，融合语音和数据应用的好处那么大，安全问题也不可能阻止到企业部署VoIP的步伐，VoIP安全，定会越来越好。