建構安全的企業VoIP環境

建置和安全是兩件事
基本上，IPT是將電話通信訊號轉成封包，利用與原本傳輸網路資料相同的路徑（區域網路->專線->網際網路 ）來傳遞語音。
聽起來是不是很簡單? 就如同原先我們所知，該如何保障我們網路安全，但在加上這些網路通信裝置之後，一切都可能變的不安全了。
早期的VoIP協定制定者發現有許多安全問題，而必須制定一些規範或標準來解決。一些VoIP組織，像是VoIP Security Alliance發現，在不同的網路架構中，會有一些潛藏的問題發生。而VoIP廠商必須正視這些問題，尤其是將來VoIP會變的越來越普遍，這些安全規範都必須確實的遵守，才能確保大家的安全與隱私。
不管企業採用哪些技術，企業都不該被產品宣稱的規格所誤導，而是直接去了解這些隱藏在其中的VoIP問題。


IPT網路潛藏許多安全問題
雖然廠商自己都有一套增進VoIP安全的方法，但是目前業界並沒有一套評估標準。人人都知道如何維護傳統的網路安全，但是當面對網路通信IPT時，卻沒有相同的見解。舉例來說，大部分的支援SIP（Session Initiation Protocol）協定的防火牆，允許動態開啟或關閉相關的通訊埠，以便允許網路電話的使用。
在導入VoIP機制時，防火牆管理者也必須注意這些隨機開啟的通訊埠。不僅僅是接收訊號的通訊埠5060（用來起始或中斷一通電話），通訊埠1124到1760也都會在收到訊號後開啟以便傳輸語音資料。當電話連線建立時，這些通訊埠也都是開著的。

網路電話機可能就是弱點所在
當使用VoIP後，有人說，傳統網路是金玉其外，敗絮其中，而現在使用VoIP後，就不會有這些問題了。但是實際上，問題才慢慢顯露出來。
端點（endpoint）是指網路電話的使用者或設備介面，包含了電話、視訊設備、控制器等等這些在VoIP網路上的元件。一個大型企業可能部署了上千台端點。每一個都可能是漏洞，讓你網路門戶大開。你需要適當的認證措施來確保這些門戶的安全，以防止入侵者濫用。
對於一個良好的網路，每個端點都需要被保護。雖然有些廠商想利用鎖MAC位址、要求使用者輸入PIN碼、使用VPN，但是對於VoIP設備來說，這些措施可能都因受限於設備效能或是設備記憶體容量而沒辦法運用。目前為止僅有少部分的IP電話，有身分認證的功能。

遠端使用者的安全問題
有沒有想過該如何讓某些遠端使用位置（像是home office或是公司核心網路外的地區）維持安全性呢？你會希望遠端使用者讓他的親友連上VoIP switch嗎？你會希望處在公眾場所或會議廳訪客使用switch埠口連上網路嗎？老闆可能覺得這是可以接受風險，但你實在應該考慮關掉ITP-enabled 埠口以避免遠端使用者濫用，或者，限制這些埠口使其無法出路由器。至少，在初始設定時，只有必要時才開啟這些埠口，而不是預設就開啟。

認證與授權所潛藏的風險
Call managers是IPT網路的重要元件，負責收送訊號、建立通話、掛斷通話。要使用call managers，必須先登入系統，通常是使用帳號密碼認證方式。但是如同以往，設定太簡單的密碼都是駭客們會嘗試的攻擊方式。
當call managers淪陷，IPT網路也就完了，而且，通常IPT網路會影響原先資料網路，所以對於call managers的安全，需要非常重視。
所以，管理者要跟原先使用網路設備的方式一樣，通過認證、授權、與稽核紀錄才能在call managers上進行操作。

如何強化VoIP主機或設備
許多系統管理者了解為什麼要強化伺服器的安全，也知道該怎麼做。可是當碰到IPT相關設備像call managers這些VoIP設備時，很少有人知道該怎麼做。如果沒有充分掌握整體性的安全設定方式，在面對新的VoIP威脅時，你將無法面面俱到。
很明顯的，企業網路只有在全部都上了修補程式以及安裝防毒保護之後才可能安全。但許多VoIP產品的修補程式都要靠廠商提供，而沒辦法直接下載、安裝作業系統上修補程式。這時問題就來了，等廠商提供修補程式的這段期間，是一個空窗期，駭客或是攻擊程式都得以藉機趁虛而入。
想像當windows系統因漏洞而可能被埋入一個後門程式，遠端駭客可以利用它來控制你的電腦。微軟會立刻發佈修補程式以避免這種威脅，但是如果你的VoIP廠商遲了兩天才能寄修補程式給你，在這段時間，是不是要提心吊膽？當你的windows平台的 call manager受到病毒感染，而你又要關掉機器，重新安裝新修補程式，導致系統無法運作，我想，老闆可能會很不高興。

安全設備可能影響通話品質
在傳統網路上我們可能會在網路邊界上安置防火牆之類的設備，來強化網路安全。當有新的威脅出現時，你可以部署防火牆、入侵偵測系統等來避免這些攻擊。
當在網路上架設VoIP設備時，語音封包會通過網路上每一個設備，這時候這些防護設備可能就會讓傳輸時間變長，可能就會影響通話品質。
在標準的VoIP規格定義中，傳輸延遲（也就是不影響語音品質，可容忍的延遲）要小於150 milliseconds，在安裝新的網路防禦設備時，你必須檢查一下是否會影響語音品質。每一個在語音封包會通過路徑上的網路設備，都會增加延遲的時間，所以，在VoIP網路上安置防禦設備，必須要特別注意這些影響。大部分的網路，可以增加網路安全裝置後，不增加超過150 milliseconds的延遲時間。確定你也辦得到這一點。
同時你最好也考慮到，當將來想要增加更進階的需求。像是你想要提供每秒30 頁框的影像品質，你可能需要小於20 milliseconds延遲時間的傳輸效能，以避免影像會有掉格的現象。若是計畫要建置這樣的影像電話，你就先得測試你的網路是否可以達到這個需求。如果你此時正在計畫建置純語音數據網路，其實將來你遲早也會建置影音數據網路，只是時間問題。


準備好迎接VoIP了嗎？
等到電話故障時，人們就會開始注意安全缺失。但在這之前，VoIP減低了企業支出。投資報酬率相當的明顯。不管你是否準備好，你可能都要開始進入VoIP的環境了。不一定每個VoIP產品都會成功，但是將來必定會越來越順利。
當你打算在現有網路上建構這樣新的協定或設備時，首先你要了解風險。在建構新的語音網路架構之前，你就該先對現有網路進行問題分析或風險評估，並且修正好這些問題。同時你也最好確定現有網路已經規劃良好，有好的效能，並且在最壞的情況下，有什麼解決方法。為了確保建置順利，雖然建置語音網路可以省下一大筆錢，你最好還是先讓老闆知道需要多少預算才能建置完畢，尤其是一個穩定的語音網路。
當開始運作後，設計一套完善的流程，以便有效的安裝新的修補程式，更新系統上防毒軟體的病毒碼，這樣才能保持你VoIP系統的安全性。盡可能以地區位置來分散安置你的call managers，雖然這樣會增加整合成本，但這樣當某台call managers失去作用時，另外一台可以接替而不受影響。
安全部門另外也可以考慮在call managers前面部署一台IPS系統，雖然要額外增加費用，但是它可以負責抵擋現今這麼多的網路攻擊威脅。一個rule-based的IPS可以在流量低的網路上運作正常，但是當應用程式一多，還是建議使用硬體式的IPS系統。
另外，建構另一套備援系統也是好事，但是相對的也會提高費用，如果你就是沒有這麼多預算且又不能失掉任一通電話，內建的ups會是一個好辦法。
如果VoIP建置沒有考慮安全問題，會是一個很令人擔心的投資。但是如果你知道從何開始，或是如何讓系統安全，這將會是非常值得推薦的企業解決方案。
Jeff Stutzman是Northrop Grumman Electronic Systems的安全長，同時也是Honeynet計畫的成員。如您對本文有 任何疑問，請寫信至 iseditor@asmag.com