實用技巧：解決VoIP的安全漏洞

　　對於新興的小型辦公企業，利用新建的數據網絡的充裕帶寬來承載語音，要比再建一套獨立的話音系統方便許多，功能上也具備了諸如移動辦公等傳統話音交換機所不具備的功能。對於行業用戶，因為有連接各個分支節點的數據網絡，利用IP中繼進行總部和分支節點間的互聯可以省去租用長途電路中繼的高昂費用。因此，VoIP技術在企業級用戶群體中將會有廣闊的應用。

　　但是，在實施項目或者在使用過程中，用戶和設備供應廠家更多的會將精力放在如何改善話音質量和同現有數據網絡的融合上面，很少考慮到VoIP所存在的安全隱患。如同我們將重要的應用服務器都置於防火牆的保護之內一樣;其實，在VoIP的情況下，話音也是和數據應用一樣，也成為了一個個的“Packet，同樣也將承受各種病毒和黑客攻擊的困擾。難怪有人調侃說:“這是有史以來的第一次，電腦病毒能夠讓你的電話不能正常工作。

　　究竟有那幾種因素會影響到VoIP呢?首先是產品本身的問題。目前VoIP技術最常用的話音建立和控制信令是H.323和SIP協議。盡管它們之間有若干區別，但總體上都是一套開放的協議體系。設備廠家都會有獨立的組件來承載包括IP終端登陸注冊、關守和信令接續。這些產品有的采用Windows NT的操作系統，也有的是基於Linux或VxWorks。越是開放的操作系統，也就越容易受到病毒和惡意攻擊的影響。尤其是某些設備需要提供基於Web 的管理界面的時候，都會有機會采用MicrosoftIIS或Apache來提供服務，而這些應用都是在產品出廠的時候已經安裝在設備當中，無法保證是最新版本或是承諾已經彌補了某些安全漏洞。

　　其次是基於開放端口的Dos(拒絕服務)攻擊。從網絡攻擊的方法和產生的破壞效果來看，DoS算是一種既簡單又有效的攻擊方式。攻擊者向服務器發送相當多數量的帶有虛假地址的服務請求，但因為所包含的回復地址是虛假的，服務器將等不到回傳的消息，直至所有的資源被耗盡。VoIP技術已經有很多知名的端口，像1719、1720、5060等。還有一些端口是產品本身需要用於遠端管理或是私有信息傳遞的用途，總之是要比普通的某個簡單的數據應用多。只要是攻擊者的PC和這些應用端口在同一網段，就可以通過簡單的掃描工具，如X-Way之類的共享軟件來獲得更詳細的信息。

　　最近報道的一個安全漏洞是由NISCC(UK National Infrastructure Security Co-ordi-nation Center)提出，測試結果表明:“市場上很多采用H.323協議的VoIP系統在H.245建立過程中都存在漏洞，容易在1720端口上受到DoS的攻擊，導致從而系統的不穩定甚至癱瘓。

　　再次就是服務竊取，這個問題在模擬話機的情況下同樣存在。如同我們在一根普通模擬話機線上又並接了多個電話一樣，將會出現電話盜打的問題。盡管IP話機沒辦法通過並線的方式來打電話，但通過竊取使用者IP電話的登陸密碼同樣能夠獲得話機的權限。通常在IP話機首次登陸到系統時，會要求提示輸入各人的分機號碼和密碼;很多采用了VoIP的企業為了方便員工遠程/移動辦公，都會在分配一個桌面電話的同時，再分配一個虛擬的IP電話，並授予密碼和撥號權限。

　　這樣，即使員工出差或是在家辦公情況下，都可以利用VPN方式接入到公司的局域網中，然後運行電腦中的IP軟件電話接聽或撥打市話，如同在公司裡辦公一樣。當密碼流失之後，任何人都可以用自己的軟電話登陸成為別人的分機號碼;如果獲得的權限是可以自由撥打國內甚至國際長途號碼，將會給企業帶來巨大的損失且很難追查。

　　最後是媒體流的偵聽問題。模擬話機存在並線竊聽的問題，當企業用戶使用了數字話機之後，由於都是廠家私有的協議，很難通過簡單的手段來偵聽。但VoIP環境下，這個問題又被提了出來。一個典型的 VoIP呼叫需要信令和媒體流兩個建立的步驟，RTP/RTCP是在基於包的網絡上傳輸等時話音信息的協議。由於協議本身是開放的，即使是一小段的媒體流都可以被重放出來而不需要前後信息的關聯。如果有人在數據網絡上通過Sniffer的方式記錄所有信息並通過軟件加以重放，會引起員工對話音通信的信任危機。

　　使用殺毒軟件，目前存在著兩種情況：一種是不安裝任何殺毒軟件以換取系統性能;一種則是把計算機安全環境考慮得過於嚴峻，於是把殺毒軟件、防火牆、反木馬程序、隱私保護程序一股腦的安裝到系統中，惟恐系統保護得不夠嚴密。但草木皆兵不但耗費了大量系統資源，多少還會影響使用電腦的心情。如何使用殺毒軟件?能讓我們即有高的系統性能，又能好好保護系統安全。我想是大家都關心的問題。下面就來給大家介紹一下……

　　選擇優秀的殺毒軟件

　　功能強大和占用資源少一直是殺毒軟件的一對矛盾，好像既要馬兒跑，又要馬兒不吃草的味道。不過目前的殺毒軟件都兼顧到了這兩點，如卡巴斯基和江民的KV系列殺毒軟件，對於系統內存的占用在大多數情況下只有數百KB到數MB之間，這麼少的系統資源消耗對於目前的絕大多數電腦來說都開銷得起。

　　合理設置實時監控

　　現有的網絡病毒十分猖獗，對安全的威脅來自多方面，這就需要殺毒軟件具備多項實時監控能力。以KV為例，它的實時監控就包括了文件監視、郵件監視、隱私保護、木馬/注冊表監視、網頁監視等七項，如果把它們全部打開的話資源消耗自然小不了。一般來說，文件監視和網頁監視是必不可少的，而像郵件監視這樣的項目，如果很少收發郵件或只使用Web方式收發郵件，完全可以關閉它。其它的監視項目可以根據自己的實際情況來取捨。

　　優化殺毒速度

　　現在的硬盤堪稱海量，存儲的數據量也十分龐大，殺毒軟件全面掃描一次耗時很長(如卡巴斯基)，讓人覺得等起來很累，這也是許多人不願意用殺毒軟件的原因。其實，只要我們留意一下殺毒軟件的選項，就可以發現殺毒速度是可以提高的。

　　在KV的“江民殺毒軟件方案編輯器中有一個“掃描目標選項卡。我們可以把“解壓檢查取消，因為軟件檢查壓縮包的耗時非常長。即使壓縮包中有病毒，病毒也不會發作，當把病毒解壓出來的時候也會被實時監控檢測到，對系統安全不會構成威脅。基於同樣的道理，我們還可以在“文件過濾選項中，增加一些掃描排除文件類型，如ISO鏡像文件，MPG、AVI等視頻文件，MP3等音頻文件，JPG等圖像文件，這些文件在電腦中為數不少，而帶毒的可能性卻比較小。經過這樣的設置，殺毒軟件的掃描速度會得到大幅的提高。

　　選擇合適的查毒時機

　　對任何殺毒軟件來說，殺毒都是一項費時費力的活兒，而很多殺毒軟件在安全上考慮得比較保守，默認設置大都是一天查一次病毒。對普通用戶來說，這確實有些多余，一周查一次就足夠了。另外，像KV2006和金山毒霸等軟件，都具備屏保查毒功能/我們不妨開啟這項功能，讓軟件在電腦空閒的時候自動查殺病毒，這樣可做到工作殺毒兩不誤。KV還有“智能提速功能，開啟該功能後在第一次掃描病毒時會花較多時間，但以後就可以大幅提高掃描速度了，因為殺毒軟件會自動跳過一些它認為不會感染病毒的文件，速度自然就快了。

　　當然，殺毒軟件還有很多個性化的功能，限於篇幅它們的優化設置我們不可能一一涉及，不管怎樣，只要我們遵循足夠合理的原則，秉持中庸之道，既不“過，也避免“不及，就可以讓殺毒軟件高效地工作，使電腦得到合理的保護。

對所有的Linux系統和網絡管理員來說，一個最基本的技巧是知道如何從頭開始編寫一個強健的iptables防火牆，並且知道如何修改它，使其適應多種不同的情況。然而，在現實世界中，這看起來似乎少之又少。對iptables的學習並非是一個簡單的過程，不過筆者在這裡向您推薦外網上如下資料，這樣使用起來你就得心應手了。

筆者認為所有的管理員都應徹底地理解Iptables，不過，另外一個可選擇的方法是運用出色的Linux防火牆生成工具。

Firewall Builder

第一個出場的便是Firewall Builder，這是一個完善的多平台的圖形化的防火牆配置和管理工具。它運行在iptables、 ipfilter、 OpenBSD的 PF、思科的PIX之上。通過設計，它將規則設計的細節隱藏起來，而著重於編寫策略。不過，不要在你真實的防火牆上運行防火牆生成器，因為它需要X Windows。你需要將其運行在一台工作站上，然後將腳本復制到防火牆上。

Firestarter

第二位是Firestarter，它是一款優秀的圖形化的防火牆生成向導，它可以引導你一步一步地通過構建防火牆的過程。對於與局域網共享唯一公共IP地址的NAT防火牆來說，這是一個不錯的選擇，並且在防火牆之後，它還有一些公共服務，或者一個分離的DMZ。它擁有打開或關閉防火牆的一些簡易命令，可以查看狀態視圖和當前的活動。你可以將其運行在一台headless計算機上，並遠程監視之，或者將其用作一個獨立的防火牆。

Shorewall

第三位Shorewall是一個流行的防火牆生成器；它比Firestarter更加復雜和靈活，並且它適合用於更加復雜的網絡。Shorewall的學習曲線類