一体化手段破解VoIP安全难题

——

作者：杨庆广时间：2008-01-21来源：中国电子报收藏

　　VoIP在企业通信中的应用范围越来越广，已经深入到了企业的各个管理流程，除了费用的节省之外，整合式的通讯能力直接提升了企业运营效率。企业在部署VoIP系统时，除了对服务质量等问题的关注外，对安全问题最为重视。VoIP所面临的一系列安全隐患，实际上是互联网络上存在的若干安全问题的延续。只有很好地解决了网络的安全问题，同时配合VoIP产品本身的一些安全认证机制，基于VoIP的应用才能够在企业中持久稳定地发挥作用，并成为解决企业话音通信需求的有效方法。

预先防范更重要

　　预先防范是解决网络安全问题的最好办法，这也适用于VoIP。虽然这是一个老生常谈的话题，但是很多企业却没有在部署VoIP系统时给予安全问题足够的重视，尤其是亚太地区更为明显。有市场研究机构调查表明，目前亚太地区的服务供应商在VoIP安全性方面的支出远远落后于美国和欧洲，并且这一差距未来还将会进一步加大，预计2008年亚太区在该方面的支出约为1.7亿美元，而亚太以外其他地区的总支出将超过3.7亿美元。这充分说明了当前亚太区在VoIP安全意识方面的欠缺。

　　上海贝尔阿尔卡特业务通信公司高级经理顾均卓认为：“为了保证企业VoIP的安全，用户在选择VoIP系统时，应该选用已经内置了安全保护的系统。”她进一步说明VoIP安全威胁主要来自于网络的病毒和黑客对数据网络的各种攻击以及网络的硬件设备自身出现的问题。一般来说，面向语音通信服务器的网络攻击，主要通过远端维护的方式进入，从网络攻击的角度看，主要通过Telnet方式接入。造成的危害有：影响话音质量、语音系统和应用的连接中断等，最严重时会出现因为数据网络的阻塞和中断，导致语音网络出现通信故障。

　　Juniper网络公司中国区系统工程师梁小东也认为企业在部署VoIP系统的时候，也应该设定相应的一体化安全防护手段。

　　企业VoIP实质上只是IP网络上的一种应用，和电子邮件、Web浏览等类似。如今典型的企业IP电话系统其基本要素包括：呼叫控制服务器；VoIP客户机；VoIP网关。所以理论上说VoIP系统和其他网络数据应用一样容易遭到攻击。面临的一系列潜在威胁包括：拒绝服务攻击、病毒、蠕虫、特洛伊木马、数据包嗅探、垃圾邮件和网络钓鱼等。

　　就目前来看，业界很少有关于VoIP系统受到大规模攻击的报道，不过这并不代表着VoIP系统比其他网络应用更加安全。实际上，这种情况的发生很大程度上是和VoIP系统本身标准化程度不足，各个厂商之间设备互通性差联系在一起的。VoIP的非标准化虽然增加了企业的使用成本，但是却“意外”地加大了黑客入侵的难度。但是这并不意味着企业可以削减在VoIP安全上的投资，这是因为随着VoIP使用范围的不断扩大，VoIP标准化也随之增强。

　　梁小东对《中国电子报》记者说：“已经出现了针对目前流行的VoIP通信协议SIP的攻击方式，可以让企业的VoIP通话中断。”

用老办法解决新问题

　　VoIP面临的安全威胁类型和大多数互联网应用一样，所以从这个角度来说，人们可以把防护其他应用安全的措施转移到VoIP系统中来。比如在IP传输层使用防火墙，用IPS/IDS解决方案进行更深入的分析，使用应用程序或者协议分析器等。

　　可喜的是目前流行的防火墙在最新的发布版本中都有VoIP功能。这对VoIP安全程度的提高大有帮助。当然，要保障VoIP的安全，仅仅把原来的安全措施迁移过来还不够，需要针对VoIP自身的特点进行优化。{{分页}}

　　普遍意义上说为了企业VoIP系统的安全，可以采取下面几种手段：保护账户安全，在建立和升级账户过程中，为用户提供的资源应当通过具有可靠的认证机制的加密隧道进行；保护网络安全，最好让语音适配器能够与已有的防火墙/路由器保持同步；保护呼叫安全，挑选包含VPN功能的设备；保证服务链的安全。

　　对于如何解决VoIP的安全问题，专业厂商也推出了自己的解决方案。

　　阿尔卡特朗讯的IP语音通信系统——OmniPCX

　　Enterprise交换机已经内置了安全防护系统。主要采用如下手段：削减Linux标准版操作系统中与IP语音通信无关的部分(非必要部分)，把500M源代码削减至70M；缩减Linux分布式系统所需的TCP端口；采用可适应的Linux应用程序；加入扫描软件；对OmniPCX

　　Enterprise通信服务器的访问采用可信的ssh、sftp、scp机制，用来替代telnet、ftp、rcp等。

　　Juniper推出的防火墙则利用对通讯协议的分析来识别应用，把行为管理和安全问题联合进行处理。

　　目前VoIP还有向统一通信发展的趋势，多种通信方式的整合也在一定程度上增加了安全风险。厂商应当为未来可能发生的风险早做准备，根据统一通讯整合式通信的特点，针对其不同的应用，开发出有针对性的安全防护机制。

平衡安全与性能

　　VoIP的安全问题确实值得重视，但是由于VoIP是一种语音通信方式，对业务的实时性要求非常高，企业在加强VoIP系统安全时要注意平衡安全与性能之间的关系。

　　通常意义上，为了达到和PSTN相媲美的语音通话质量，VoIP单向流量的时延不得超过150毫秒，否则用户体验将会异常糟糕。一般来说语音编码可能占用30毫秒的时间，横跨长距离在公共IP网络上传送的语音呼叫可能占用长达100毫秒、甚至125毫秒的时间。在这种情况下，如果防火墙、加密和入侵防御等安全措施带来的时延过多的话，必然会大大影响客户的使用体验。

　　已经有很多企业对VoIP的通话质量进行了抱怨，认为其和PSTN无法相比，而且还有回音出现，这大大影响企业部署VoIP系统的积极性。所以很难想象一个影响VoIP使用体验的安全系统能够得到客户的欢迎，这一问题值得致力于VoIP安全的企业去高度重视，找到有效的解决手段。

　　除了要平衡安全与性能之间的关系之外，值得注意的是安全是一整套体系。网络安全不是一个点的概念，而是一个面的概念，要采用一个整体的安全防范体系。VoIP系统的安全不能和其他网络应用互相割裂开来，要对他们进行综合考虑，并且注意整体的投资收益问题。