如果實(shí)現(xiàn)VoIP，安全是個(gè)需要考慮的重要事項(xiàng)，因?yàn)閂oIP中的每一節(jié)點(diǎn)都像計(jì)算機(jī)一樣是可訪問的。
　　當(dāng)遭受DoS攻擊、黑客入侵時(shí)，VoIP通常會導(dǎo)致發(fā)生未經(jīng)授權(quán)的免費(fèi)呼叫、
　　呼叫竊聽和惡意呼叫重定向等問題。
　　針對諸多問題，大力推崇VoIP的思科是如何解決的？
　　在這樣一個(gè)系統(tǒng)中，可選的組件包括：兩個(gè)獨(dú)立的PIX防火墻、另一個(gè)位于backbone Catalyst 6500刀片上的防火墻、在6500中的一個(gè)IDS刀片、一個(gè)完全獨(dú)立的管理子網(wǎng)和不同安全的管理應(yīng)用系統(tǒng)。防火墻和IDS部件的價(jià)格共計(jì)約64萬元。防火墻為桌面帶來了許多實(shí)用性很強(qiáng)而且具有高安全級別的特性：一個(gè)是信任方－不信任方的概念（不信任方接口總是指向黑客）；另一個(gè)是協(xié)議理解，即只有要求VoIP的特定協(xié)議才被允許，且請求和響應(yīng)只能在正確的方向才能通過。本測試中還包括其他一些防火墻特性，例如：VoIP呼叫控制檢查（Stateful inspection of VoIP Call Controll）、網(wǎng)絡(luò)地址解析（networks address resolution）、通過防火墻的通道呼叫控制、TCP截�。═CP intercept，他可確保TCP連接的順利完成，還能防止呼叫管理器上的DoS攻擊，以及對Secure SCCP的支持）。
　　作為Cisco IP-telephony package的核心所在，呼叫管理器4.0版可處理呼叫控制，還包括一些其他新的安全相關(guān)特性。其中最關(guān)鍵之處是VoIP加密，本次測試中語音流（RTP，實(shí)時(shí)傳輸協(xié)議）加密僅僅在Cisco最新的7970 IP phone sets上得到支持。而基于Windows 2000操作系統(tǒng)的最新呼叫管理器已呈現(xiàn)逐步硬化的趨勢。
　　另外，還有一系列強(qiáng)大的網(wǎng)絡(luò)自防御特征也包括在本次被測試的Catalyst　IOS版本中，尤其是放在core Catalyst 6500上的IOS 12.2(17b)sxa，和access Catalyst 4500上的IOS 12.1(20)ew等，所有這些功能作為安全防御的先鋒，較之其他任何Cisco拓?fù)渲械慕M件，均有效地阻止了攻擊隊(duì)伍的行動(dòng)，主要還包括：流量警察（police）和committed access rate，對于阻擋攻擊隊(duì)伍的DoS攻擊十分成功；第二層端口安全，他可嚴(yán)格限制一個(gè)端口中MAC地址的數(shù)量；第二層DHCP偵聽（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議），他可有效阻止動(dòng)態(tài)主機(jī)配置協(xié)議的連續(xù)攻擊；動(dòng)態(tài)地址解析協(xié)議檢查，他能中止ARP（地址解析協(xié)議）感染病毒和對ARP的偵聽攻擊，同時(shí)還能抵御攻擊隊(duì)伍大量更隱蔽的攻擊；IP源地址保護(hù)（IP Source Guard），他能防止偽裝攻擊；VLAN訪問控制列表，可限制到達(dá)IP電話的流量等。
　　CSA（Cisco Security Agent，Cisco安全代理）是另一個(gè)基于主機(jī)的防止入侵系統(tǒng)（IPS，intrusion-prevention system），現(xiàn)在作為呼叫管理器IP電話服務(wù)器中集成的一個(gè)安全組件，也出現(xiàn)在Cisco的統(tǒng)一語音郵件服務(wù)器（Unity voice mail server），和其他所有貫穿Cisco網(wǎng)絡(luò)拓?fù)涞腤in 2000服務(wù)器中。
　　Cisco有效的安全措施幾乎應(yīng)用在了全部層上：第二和第三層（Catalyst系列交換機(jī)），第四和第五層（防火墻和IPS），第六層（RTP語音加密流，目前仍僅限于某些電話），和第七層（基于服務(wù)器的軟件，如Cisco Security Agent等）。
　　經(jīng)過評測部門組織的三天的測試攻擊，攻擊隊(duì)伍在電話通信中沒有發(fā)現(xiàn)明顯的干擾，Cisco VoIP系統(tǒng)的安全性基本經(jīng)受住了考驗(yàn)，但也存在幾個(gè)瑕疵：首先，黑客隊(duì)伍很容易就能在一個(gè)IP電話基站連接鏈路中插入一個(gè)偵聽器，從這個(gè)有利的位置他們能觀察收集到全部的流量信息細(xì)節(jié)，如協(xié)議，地址，甚至捕捉到RTP，而這是一種運(yùn)行在UDP上，并承載全部VoIP系統(tǒng)上中語音樣本的VoIP協(xié)議。雖然流入/出VoIP Cisco 7970電話的流量是經(jīng)過加密的128位數(shù)據(jù)，但攻擊隊(duì)伍很容易獲取；其次，利用放置的偵聽器所收集到的網(wǎng)絡(luò)信息，黑客能插入他們自己的計(jì)算機(jī)，因而能進(jìn)一步訪問語音虛擬LAN，并向其他VLAN中的設(shè)備發(fā)送流量，但他們不能偽裝成某個(gè)IP電話或IP電話的呼叫。最后，盡管這是一個(gè)跨越多層平臺的有效的安全策略，但所有這些安全部件之間細(xì)微的相互關(guān)聯(lián)和正確的安裝是非常令人頭疼的，如果將Cisco配置的防火墻其雙向都不允許通過流量，這或許很安全，但并不實(shí)用。任何不當(dāng)或不正確的設(shè)置，既便是最好的安全策略也會受到影響。

Cisco VoIP系統(tǒng)拓?fù)鋱D

　　相關(guān)鏈接

　　VoIP安全級別

　　作為網(wǎng)絡(luò)管理員可能經(jīng)常要面對諸如此類的問題：“你的IP電話（IP telephony）網(wǎng)絡(luò)能防止黑客的攻擊嗎？”可能大多數(shù)答案都是肯定的，但這個(gè)肯定主要取決于網(wǎng)絡(luò)所使用的是哪個(gè)廠商的IP PBX。因此更重要的是是否制定了周密的網(wǎng)絡(luò)安全計(jì)劃、網(wǎng)絡(luò)和個(gè)人資源戰(zhàn)略，以及額外的安全設(shè)備方面，投入資金和時(shí)間等。下表是對幾種安全級別的定義。

賽迪網(wǎng) 中國信息化(industry.ccidnet.com)