Cisco IP 电话安全设置

Dec062011

Cisco IP 电话安全设置

作者：挨踢小茶发布：2011-12-06 17:16 分类：思科语音阅读：10,756 阅读抢沙发

　　IP电话与网络中的其他设备一样，是很容易受到攻击的对象。因此，管理员应该通过某种方式来保护IP电话断电，防止没有授权的用户非法侵入内部网络火破坏网络质量。在IP电话设置中，可以配置其安全设置达到免受病毒和渗透攻击的影响。

: IP电话安全设置

Disable Speakphone 和Disable Speakerphone and Headset：禁用扬声器，禁用扬声器和耳机，能防止非法用户进行窃　听(个人觉得这个没必要禁用了)。
PC port（PC端口）：禁用IP电话上连接PC的端口，在大厅或者不允许PC访问的地方有必要设置。
Settings Access：即IP电话上的Settings按钮

Disabled：在电话上按Settings按钮没有反应

Restricted：在电话上按Settings按钮，只能修改对比度和铃声，其他网络设置，状态，模块信息都无法设置。

Gratuitous ARP（无故ARP）：禁用可以防止中间人攻击

ARP通常以请求/相应方式运行。当一台主机需要知道某个IP地址所对应的MAC地址的时候，就会发送ARP请求。使用该IP地址的设备做出相应，则所有接收方设备会更新ARP缓存，添加ARP-MAC对应关系。

GARP是指在没有设备请求ARP的情况下，由设备主动通告其MAC地址。接收方设备收到GARP包后更新自己的ARP缓存。

然而黑客可以在恶意发送GARP重定向包，达到中间人攻击的效果。

管理员可以通过禁用该特性或者在交换机上启用DAI或IP Source Guard特性防止GARP攻击。

PC Voice VLAN Access：禁用该选项可以防止PC收到Voice Vlan的数据包，应该禁用

默认情况下，IP电话会将所有从交换机上收到的流量从PC端口发送出去。PC不仅能够收到数据Vlan的流量（未打标记），还可以收到语音Vlan的流量（打了Voice Vlan标记）。

管理员应该禁用该特性，否则若计算机在数据包上打了Voice Vlan标记，PC也可以向语音Vlan发送数据包，从而扰乱语音网络。