只要你采取一些简单的预防措施，IP语音的安全风险不一定比数据应用更高。

　　一旦企业用户测试了VoIP并证明它可行后，它们面临着最后一道障碍:确保它是安全的。

　　但是，一头扎进VoIP中的用户说他们并不担心安全问题。Lexent公司工程与新技术主管Doug Haluza说：“如果你正确配置它，并且像对待网络上的任何其他关键任务服务器和应用那样对待它的话，VoIP就像其他数据应用一样安全。”Lexent是纽约的一家电力服务公司，它自从2002年1月起就一直在企业网络上运行VoIP。

　　分析人士对此表示赞同，说保证VoIP的安全归结为典型的保证联网的服务器、应用和语音的安全的措施。但是，在选择防火墙、入侵检测系统(IDS)和其他安全工具时，需要特别的注意。

　　棘手的防火墙

　　在防火墙上保护VoIP数据是一项棘手的工作。VoIP会话使用H.323或会话初始协议(SIP)。VoIP部署中的防火墙必须能够处理这些相当复杂的实时通信协议。H.323和SIP使用分离的控制连接和媒体传输连接，这意味着它们通常在建立一次呼叫时，在一个IP端口上建立连接，然后选择随机的、编号很大的IP端口(一般在端口1024以上)用于数据连接。你不能简单地将防火墙配置为打开某些端口、阻塞某些端口，因为防火墙永远不知道哪个端口将用于数据连接。

　　销售状态性(stateful)SIP和H.323兼容防火墙的Check Point公司战略营销经理Mark Kraynak说：“人们需要这样一种防火墙：它很好地懂得这些协议，知道只在数据连接在控制域中得到协商和认证时才开放这些连接。它必须懂得在会话完成时关闭它们。”

　　防火墙还必须在不影响语音流性能的情况下，完成所有的状态性数据包检查。

　　根据国际电信联盟的建议，端到端语音流的时延不应当超过100毫秒。由于语音使用比数据更小的包并且每秒传送更多的包(每语音流大约每秒50个包，为一般数据流中包数量的近两倍)，处理语音会迅速地造成防火墙的瘫痪。

　　一家为企业用户提供融合IP服务的机构—MCI Advantage公司高级设计师John Truetken说：“许多软件防火墙可以满足数据流的需要，但是当你开始一次每秒50个包的语音呼叫时，这实际上增加了它们必须检查的包的数量，一些防火墙不能应付这种数量的包。”他说，专用硬件防火墙性能通常更好。

　　他说，这种情况也同样出现在VPN上。他说：“当你增加了20条左右的语音流时，一些低端VPN加密机就会出现问题。它们每秒必须处理的包的数量有时会压垮它们。”

　　这正是Lexent的Haluza亲身遇到过的问题。该公司在不同站点中部署了基于IPSec的VPN，然后决定在它上面运行VoIP。

　　他说：“最初，我们利用安装在远程站点的路由器建立了这条网络，将IPSec隧道终止于安装在总部的防火墙上。”Lexent使用的Cisco PIX防火墙没有硬件加速器，只使用软件加密。Haluza说：“这不适于语音，因为出现了太多的抖动。”他指出，每当防火墙上的处理器一忙，打电话的人就会遇到语音丢失现象。

　　他说：“我们发现的另一件事是，我们不能从远程站点到远程站点打电话，因为防火墙不让这些语音包通过同一个端口进出。”Lexent通过将IPSec隧道终止于安装在两端上的路由器上后，解决了这两个问题，因为两端的路由器具有硬件加速功能，可以在站点之间建立传输线路。他说：“这样，我们获得了高性能的加密。”

　　保护服务器的安全

　　VoIP服务器也需要特别的关注。大多数IP PBX的操作系统必须删除可能会导致安全威胁的不必要的服务。

　　Avaya公司架构与规划主管James Coffman说：“服务器应当专用于语音服务。”他在描述Avaya公司的运行在精简版本的Linux上的MultiVantage IP PBX时说：“MultiVantage上面没有Web浏览器、没有电子邮件阅读器、没有守护进程。我们关闭了很多你在刚出厂的服务器上可以得到的标准的网络功能。”

　　这种操作系统加固措施有助于保护平台不受病毒和蠕虫(如最近出现的Slapper和Nimda)的攻击。Nortel公司安全解决方案营销经理Fred Weiler说：“一些IP电话核心服务器仅仅使用普通的Windows NT软件，它们遭到了Nimda的攻击。我们的平台是基于嵌入式NT的，这种NT操作系统经过了加固、测试并删除了不使用的服务，我们的IP电话平台没有一个受到过攻击。”

　　Cisco公司受到了指责，它的一些基于NT的CallManager VoIP服务器受到了Nimda的攻击。Cisco迅速为这些系统发布了补丁，并且也逐渐加固了它的平台。该公司计划年底前提供非NT平台选择，尽管它说如果用户认真地在安全漏洞评估和补丁管理上遵守非常好的惯例的话，VoIP服务器将不会比网络上其他设备更脆弱。

　　许多用户由于安全原因而不再使用基于Windows的IP PBX。纽约州Geneva市Hobart and William Smith学院正在内部试验LAN上运行VoIP。这所大学的CIO Brian Young说：“当我们研究重要应用时，我们会考虑它们的平台是否会吸引更多的病毒或黑客，而我认为Windows是迄今为止最大的目标。我们必须为减少危险而做更多的工作，这就是说拥有一个稳定的、不需要很多添加的安全性与特性来保护和运行它的系统。因此，现在，我们将重点放在用于VoIP的Linux和Unix平台上。”

　　不过，Lexent的Haluza认为，Windows还是Linux/Unix之争基本上是信仰之争。他说：“我们只选择最好的工具，不管它是什么平台。”

　　但是，他还是采取了预防措施，特别是不将他的语音服务器暴露给Internet。他说，语音服务器有一个专用IP地址，语音流只在VPN保护下的安全LAN上传送。Lexent不是在Internet上发送语音流，而是从一家运营商那里购买语音线路来处理LAN之外的语音传输流。

　　Haluza说：“我们在公司之外使用传统的ISDN主速率接口(PRI)语音电路，但是我们将来自运营商的PRI电路终止于路由器上，然后再变成我们LAN端的IP。”

　　一些新兴厂商开始解决Internet安全问题，主要通过防火墙技术。

　　语音专用IDS(入侵检测系统)可以提供更多的VoIP服务器保护，不过，用户说这类设备还未做好部署的准备。Hobart and William Smith公司的Young说：“在我们部署某种语音专用IDS之前，我不会将VoIP投入学校的应用，到目前为止，我们还没有见到多少语音专用IDS。”

　　MCI的Truetken解释说，大多数IDS由于常常发出虚假警报而减弱了作用，假警报会限制它们的性能，尤其在语音环境中。他说：“你必须将它们的临界值设得高一点，来适应更多的语音包。否则，你将收到数不清的假警报。”

　　Cisco公司说它通过最近两次收购中获得的技术解决了这个问题。Cisco从Psionic公司获得了自动进行报警调查的能力，从Okena公司获得了入侵防御和检测技术。

　　窃听的风险被夸大了

　　另一个需要考虑的问题是保护应用的安全，使黑客不能窃听语音呼叫或控制语音服务。避免窃听的一种办法是加密呼叫，目前的VPN技术可以容易地做到这点。不过，要确保终端设备具有支持VPN客户机的处理能力。Avaya的Coffman指出，许多IP电话不具有这种处理能力。

　　在这种情况下，用户将在工作站或便携机上安装VPN客户机软件，将电话连接到这台PC上。Truetken说：“这种办法是可行的，但是你必须保证便携机不会干扰VoIP呼叫。如果便携机运行XP的话，你可能一切正常。但是，如果它使用Windows 98，你就会遇到问题。例如，DSL具有256Kbps的带宽，这种带宽可以很好地支持语音呼叫。然而，如果你同时还运行Outlook的话，你可能会用完处理能力。”

　　其他一些人则质疑有没有必要加密LAN上的VoIP。Young说：“这里的加密需要没有那么迫切。不妨看看现在有多少人使用手机，手机远比VoIP语音流更容易截获和窃听。加密LAN上的VoIP并非是优先重点。”

　　Lexent的Haluza同意这种观点。他说: “我更担心是入侵后端办公室应用的人，而非VoIP。这是个夸大风险的案例。”

转载地址:http://www.voipchina.cn/technology/2004-03-24/36562.shtml