互联网协议语音(VoIP)的成本效益无疑至少引起了企业决策者的好奇心，考虑如何战略性地实现成本效益高但功能强大的语音通信目标。然而，对于初创企业甚至成熟公司来说，VoIP真的是最好的解决方案吗？成本效益显而易见，但是在实施VoIP之前是否应该考虑其他项目，比如安全性？在进入新的VoIP世界之前，网络架构师、系统管理员和安全专家明智地考虑了以下问题。

穿越防火墙

在典型数据网络中配置组织的网络边界时，逻辑上的第一步是将众所周知的5元组信息(源IP地址、目的IP地址、源端口号、目的端口号和协议类型)插入包过滤防火墙。大多数包过滤防火墙检查5元组数据，并在满足特定条件时接受或拒绝数据包。到目前为止一切都好吗？没那么快。

大多数VoIP实现使用一个称为动态端口事务的概念。简而言之，大多数VoIP协议使用特定的端口进行信令传输。例如，SIP使用TCP/UDP端口5060，但它们总是使用两个终端设备之间可以成功协商的任何端口来传输媒体流量。因此，在这种情况下，简单地配置无状态防火墙来拒绝或接受绑定到某个端口号的流量类似于在飓风期间使用保护伞。你可以防止一些雨落在你身上，但最终，这是不够的。

如果咄咄逼人的系统管理员认为动态端口贩卖问题的解决方案允许连接到VoIP使用的所有可能的端口，我该怎么办？这个系统管理员不仅会分析成千上万个可能的端口，还会在他的网络遭到破坏时寻找另一个就业来源。

答案是什么？根据Kuhn，WalshFries的说法，确保一个组织的VoIP基础设施安全的第一步是正确实施有状态防火墙。有状态防火墙和无状态防火墙的区别在于它保留了过去事件的一些记忆，而无状态防火墙永远不会记住过去的事件。使用有状态防火墙的原因是它不仅可以检查上述5元组信息，还可以检查应用程序数据。检查应用程序数据试探法的能力使防火墙能够区分语音和数据流量。

使用已建立的有状态防火墙，语音基础设施是否安全和正确？如果像网络安全这么简单。安全管理员必须牢记一个始终潜伏的概念：防火墙配置。在确定配置时，决策点(如是否允许互联网控制消息协议通过防火墙或是否允许一定的数据包大小)绝对至关重要。

VoIP与网络地址转换冲突。

网络地址转换(NAT)是一个允许在一个全局IP地址后部署多个私有IP地址的过程。因此，如果管理员的网络在路由器后面有10个节点，每个节点将有一个对应于任何已配置的内部子网的IP地址。然而，所有离开网络的流量似乎都来自一个IP地址——很可能是路由器。

实施NAT非常受欢迎，因为它允许组织节省IP地址空间。然而，当VoIP在NAT网络上实现时，会带来很多问题。当在内部网络中进行VoIP呼叫时，这些问题不一定会发生。然而，当从网络外部呼叫时会出现问题。当启用NAT的路由器接收到内部请求，通过VoIP与网络的外部点进行通信时，会有很大的复杂性。它会启动对其NAT表的扫描。当路由器寻找IP地址/端口号组合以映射到传入的IP地址/端口号组合时，由于路由器和VoIP协议实现的动态端口分配，路由器无法建立连接。

混乱？毫无疑问。正是这种困惑，促使塔克建议在部署VoIP时取消NAT。你问，NAT的地址空间保护有多有效？这是在你的网络中引入新技术带来的让步。

开源VoIP黑客工具。

如果一个有抱负的系统管理员更喜欢评估他的网络的安全状态，而不是让黑客为他做，他可能会尝试以下开源工具。在可用的开源网络电话黑客工具中，一些流行的工具是SiVuS、TFTP-布鲁特斯和sipfielce。说到VoIP黑客，SiVuS就像一把瑞士军刀。其中一个更有用的目的是SIP扫描，扫描网络和所有支持SIP的设备。TFTP是思科特有的网络电话协议。正如你可能已经猜到的，TFTP-布鲁特斯是一个猜测TFTP服务器可能的用户名和密码的工具。最后，sipphire是一个用于枚举网络中可能的SIP用户的工具包。

试试最新的BackTrack Linux发行版，而不是单独下载以上所有工具。这些和其他工具可以在那里找到。

过渡到VoIP

随着VoIP技术在全球范围内的普及，以及局域网(LAN)技术速度和容量的不断提升，导致了向VoIP实施的大规模迁移。此外，目前许多组织中的以太网基础设施使得VoIP转换看起来很简单。然而，在决策者对VoIP有深入了解之前，他们明智的做法是在不排除安全性的情况下研究所有成本。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：