那些對介質(zhì)有存取權(quán)限的入侵者們，可能是接上了一臺(tái)交換機(jī)或集線器，也可能是直接轉(zhuǎn)接電纜，或是對無線通信進(jìn)行接聽——通過使用一個(gè)“嗅探器”軟件來捕獲包含語音數(shù)據(jù)及信號(hào)等信息在內(nèi)的所有的數(shù)據(jù)包。然后他們可以使用類似VOMIT這樣易用的工具來對數(shù)據(jù)進(jìn)行重新整合，從而實(shí)現(xiàn)對會(huì)話的竊聽，他們甚至可以對通訊過程進(jìn)行修改，并將之運(yùn)用于語音重放攻擊之中。

要達(dá)到限制對介質(zhì)訪問或?qū)oIP服務(wù)器和端點(diǎn)訪問的目的，你得先將所有呼叫服務(wù)器都存放在一個(gè)上鎖的房間中，以對所有和服務(wù)器有關(guān)的接觸進(jìn)行控制;而后限制對終端的接觸(包括硬電話機(jī)，安裝在電腦中的“軟電話機(jī)”程序)，并將線纜埋設(shè)在墻體中的管道里以保證它們自身的安全;最后你還要謹(jǐn)慎選擇無線AP的位置，限制無線交流，限制信號(hào)強(qiáng)度，使用屏蔽材料將無線信號(hào)盡量阻擋在建筑物之內(nèi)。

用IPSec加密網(wǎng)絡(luò)層

你可以使用IPSec加密來保護(hù)網(wǎng)絡(luò)中的VoIP數(shù)據(jù);如果攻擊者穿越了你的物理層防護(hù)措施，并截獲了VoIP數(shù)據(jù)包，他們也無法破譯其中的內(nèi)容。IPSec使用認(rèn)證頭以及壓縮安全有效載荷來為IP傳輸提供認(rèn)證性、完整性以及機(jī)密性。

VoIP上的IPSec使用隧道模式，對兩頭終端的身份進(jìn)行保護(hù)。IPSec可以讓VoIP通訊比使用傳統(tǒng)的電話線更安全。

用TLS鎖定會(huì)話層

你還可以使用TLS來保護(hù)VoIP會(huì)話，TLS使用的是數(shù)字簽名和公共密鑰加密，這意味著每一個(gè)端點(diǎn)都必須有一個(gè)可信任的、由權(quán)威CA認(rèn)證的簽名。或者你也可以通過一個(gè)內(nèi)部CA(比如一臺(tái)運(yùn)行了認(rèn)證服務(wù)的Windows服務(wù)器)來進(jìn)行企業(yè)內(nèi)部的通話，并經(jīng)由一個(gè)公共CA來進(jìn)行公司之外的通話。

用SRTP保護(hù)應(yīng)用層

你可以使用“安全RTP(SRTP)”來對應(yīng)用層的介質(zhì)進(jìn)行加密。RFC 3711定義了SRTP，讓它可以提供信息認(rèn)證、機(jī)密性、回放保護(hù)、阻止對RTP數(shù)據(jù)流的拒絕服務(wù)式攻擊等安全機(jī)制。通過SRTP，你可以對無線網(wǎng)和有線網(wǎng)上的VoIP通訊進(jìn)行有效的保護(hù)。

總結(jié)

基于IP網(wǎng)絡(luò)及其協(xié)議的公共性質(zhì)，使得VoIP天生就具備相對于傳統(tǒng)電話網(wǎng)而言更易受到攻擊的特質(zhì)。不過，通過采取一個(gè)仔細(xì)規(guī)劃的、多層次的VoIP網(wǎng)絡(luò)防護(hù)措施，企業(yè)就可以讓VoIP網(wǎng)絡(luò)的安全程度趕上甚至是超過傳統(tǒng)的電話系統(tǒng)。