一些例外情况
有些应用可能会让你考虑打开语音虚拟局域网和数据虚拟局域网之间的通信通道。譬如说,大多数VoIP厂商提供的桌面客户系统能够管理VoIP电话,并且提供丰富的用户状态信息。许多厂商提供的客户端还可以让你监控其他系统用户的电话和即时通信(IM)状态,并且发布你自己的状态信息。这些特性需要桌面系统和VoIP系统之间进行一定的直接联系,所以你要想办法安全地实现这项功能。
说到这里,使用防火墙最为稳妥。做法是,提供最低程度的接入权限,不允许PC在无意中成为用来搜寻VoIP系统中存在漏洞的平台。但如果蠕虫占用了网络上的大量带宽,PC和布线室之间的连接上所用的这些应用就无法得到保护,因为数据来自PC,因而会在数据虚拟局域网上传输。不过好消息是,VoIP电话的通信将得到保护,只要你实施了服务质量。但如果你在PC上使用的仅仅是软电话,就没有办法为PC和布线室交换机之间的语音包提供服务质量。
如果你的远程办公人员要通过因特网访问IPPBX,虚拟专用网(VPN)显然是防止窃听的解决办法。Zultys科技公司等VoIP厂商提供的产品旨在便于通过VPN访问IPPBX。Zultys的有些电话可以直接在电话到PBX之间建立一条VPN隧道。北电公司的ContivityVPNPC客户机则可以通过连接的PC,为其电话建立VPN隧道。
你最不希望把IPPBX暴露于因特网面前。如果你提供只能访问相关端口的功能,而且通过VPN进行验证,那么就可以尽量减小这个风险。当然,你还会希望在IPPBX和VPN网关之间安装一只防火墙,只允许访问被认为绝对有必要的端口。
另外,也很有必要落实相应机制,以保护你的VoIP系统免受针对应用的拒绝服务攻击。如果需要从虚拟局域网进行额外的一道验证,应当不会面临来自外部的重大危害;但如果有人获得了访问权,从内部发动攻击可能会是个问题。譬如说,利用SIP,发送大量的“注册”请求会导致服务器无力处理请求。入侵防护系统(IPS)可以缓解这个问题,而如果IPS或者入侵检测系统(IDS)能理解SIP,就可以检测这些攻击。一款好的IPS还能够防止基于SIP的中间人攻击,以免通过另一个设备改变流量传输方向。
可以访问VoIP系统的任何桌面系统都必须加以保护。如今许多厂商提供集中管理的防火墙以及可以检查操作系统补丁及病毒更新状况的软件。这对使用IP软电话的远程办公人员来说尤为重要。
所以不要被VoIP安全问题捆住了手脚。有了可靠的IP语音安全策略以及合理搭配的安全工具,没有理由错过VoIP具有的诸多优点。
