雖然不同規(guī)模企業(yè)的IP電話設(shè)計大不相同，但面臨的基本問題幾乎相同。因此，影響SAFE IP電話設(shè)計的重要因素比較相似。

　　1．合理放置防火墻，有效控制語音—數(shù)據(jù)網(wǎng)段交互：只有適當(dāng)控制數(shù)據(jù)和語音網(wǎng)之間的訪問才能部署安全的IP電話網(wǎng)。要實現(xiàn)這一任務(wù)，應(yīng)該使用狀態(tài)防火墻，因為它能提供基于主機的DoS保護(hù)，防止連接短缺和分段攻擊；在合理和必要的地方，還通過防火墻提供每端口接入、反竊聽和常規(guī)過濾等功能。思科并不提倡在所有網(wǎng)段之間放置狀態(tài)防火墻。相反，需要在特殊網(wǎng)絡(luò)位置放置狀態(tài)防火墻。防火墻將負(fù)責(zé)以下連接：

● 放置在數(shù)據(jù)網(wǎng)段中，保護(hù)語音網(wǎng)中的語音郵件系統(tǒng)安全。

● 放置在語音網(wǎng)段中，為呼叫建立控制，并配置與數(shù)據(jù)網(wǎng)中呼叫處理管理器相連的IP電話。

● 放置在語音網(wǎng)段中，隔離放置在數(shù)據(jù)網(wǎng)段中與語音郵件系統(tǒng)連接的IP電話。

● 放置在語音網(wǎng)段中，通過語音網(wǎng)中的代理服務(wù)器瀏覽IP電話資源——包括員工用戶目錄等。

● 放置在數(shù)據(jù)網(wǎng)段中，保證IP電話用戶能夠修改電話的配置。

● 處于語音網(wǎng)段中，數(shù)據(jù)網(wǎng)的代理服務(wù)器——服務(wù)器代理IP電話服務(wù)發(fā)出的所有請求。

　　基于PC的IP電話還會存在以下兩種連接：

● 數(shù)據(jù)網(wǎng)段中的IP電話訪問語音網(wǎng)段中的呼叫處理管理器，以便建立呼叫。

● 數(shù)據(jù)網(wǎng)段中的IP電話訪問語音網(wǎng)段中的語音郵件系統(tǒng)。

　　如果IP電話設(shè)備使用專用地址空間，例如RFC 1918提供的地址空間，可以降低流量到達(dá)網(wǎng)絡(luò)外部的可能性。這樣，網(wǎng)絡(luò)外部的黑客就無法發(fā)現(xiàn)語音網(wǎng)中的漏洞。如果可能，應(yīng)該盡量在數(shù)據(jù)和語音網(wǎng)中使用不同的RFC 1918地址空間，以便進(jìn)行過濾和識別。雖然在所有設(shè)計中都將狀態(tài)防火墻作為呼叫處理管理器的前端，但NAT對語音網(wǎng)內(nèi)傳輸?shù)牧髁坎黄鹱饔谩Ｔ谒�有設(shè)計中，NAT都應(yīng)在數(shù)據(jù)網(wǎng)和語音網(wǎng)之間，以便通過代理服務(wù)器支持IP電話服務(wù)。

　　2．建立身份識別機制：應(yīng)盡可能多地使用用戶和設(shè)備認(rèn)證機制，這樣能阻止對IP電話網(wǎng)發(fā)起的許多攻擊。IP電話設(shè)備的認(rèn)證方法主要是MAC地址設(shè)置。用戶認(rèn)證能更加有效防止設(shè)備盜竊MAC地址，并假冒其目標(biāo)身份作案。

　　用戶名/密碼/PIN組合還可以用于識別訪問呼叫處理管理器的用戶，用戶能夠在獲得成功認(rèn)證之后訪問其定制的配置設(shè)置。某些語音郵件系統(tǒng)還支持雙因素認(rèn)證。在這種情況下，用戶必須通過嚴(yán)格的認(rèn)證才能修改其定制設(shè)置或者聽取語音郵件。

　　3．有效防止設(shè)備偷接：無論在哪種IP網(wǎng)絡(luò)中都應(yīng)該防止偷接設(shè)備插入網(wǎng)絡(luò)。鎖定網(wǎng)絡(luò)中的交換端口、網(wǎng)段和服務(wù)將可防止設(shè)備偷接。下面的四個策略能夠有效防止設(shè)備偷接。

　　首先，由于動態(tài)主機配置協(xié)議（DHCP）一般都用于部署可擴展的IP電話，因此，可以為已知MAC地址分配IP地址，防止未知設(shè)備獲取地址。

　　其次，許多呼叫處理管理器都提供自動電話注冊特性，以便為未知電話提供臨時配置，在日常工作中應(yīng)該關(guān)閉這個功能，以減少設(shè)備偷接機會。

　　第三，可以在語音網(wǎng)絡(luò)中使用Arpwatch等工具監(jiān)控MAC地址。與數(shù)據(jù)網(wǎng)段相比，MAC地址更有可能是靜態(tài)的，Arpwatch將跟蹤語音網(wǎng)段中所有設(shè)備的MAC地址。

　　最后，在所有網(wǎng)段中設(shè)置過濾功能。

　　4．保護(hù)和監(jiān)控所有語音服務(wù)器和網(wǎng)段：對語音網(wǎng)中的語音服務(wù)器應(yīng)該采取相應(yīng)的保護(hù)措施。網(wǎng)絡(luò)入侵探測系統(tǒng)（NIDS）是一種強大的工具，目前，NIDS不提供語音控制協(xié)議攻擊簽名。為探測從數(shù)據(jù)網(wǎng)發(fā)起的對HTTP用戶設(shè)備的攻擊，應(yīng)該將NIDS部署在呼叫處理管理器的前面。如果想探測對語音網(wǎng)的DoS攻擊，應(yīng)該將NIDS部署在語音和數(shù)據(jù)網(wǎng)之間。

　　除監(jiān)控特性外，NIDS還提供兩個特性。如果探測到網(wǎng)段上有攻擊特征，它可以打開回避功能，并修改網(wǎng)絡(luò)設(shè)備的3層地址配置，以刪除此網(wǎng)段上的所有其他流量。它的復(fù)位功能可用于撤消這些操作。

　　語音郵件和呼叫處理管理器正確的操作包括：關(guān)閉所有不需要的服務(wù)，及時為OS和服務(wù)補充最新的安全補丁，強化OS配置，關(guān)閉語音服務(wù)器上不用的特性，以及不在服務(wù)器上運行不必要的應(yīng)用（例如電子郵件客戶機軟件）等。建議安裝基于主機的IDS（HIDS）。由于語音服務(wù)器的目標(biāo)值高，而且核查安全的時間長， HIDS能夠立即、有效地防止攻擊。如果呼叫處理管理器不支持HIDS，則應(yīng)該在數(shù)據(jù)網(wǎng)段中的郵件服務(wù)器上安裝HIDS。語音服務(wù)器可以運行分布在多臺設(shè)備上的多種服務(wù)，應(yīng)當(dāng)利用這個特性提高安全性。語音服務(wù)器還支持多種管理方法，包括HTTP、SSL和SNMP等協(xié)議。

網(wǎng)絡(luò)世界(cnw.ccw.com.cn)