黑客通過VoIP滲透來竊取、私用企業(yè)的VoIP電話，造成了VoIP的不安全性。開放性的架構(gòu)所帶來的靈活性讓VoIP能夠滲透到企業(yè)的整個(gè)管理流程中去，提高通信效能，提高生產(chǎn)效率，這是IP技術(shù)的核心優(yōu)勢所在。所有影響數(shù)據(jù)網(wǎng)絡(luò)的攻擊都可能會(huì)影響到VoIP網(wǎng)絡(luò)，如病毒、垃圾郵件、非法侵入、DoS、劫持電話、偷聽、數(shù)據(jù)嗅探等。

前段時(shí)間，圣地亞哥黑客會(huì)議局的兩個(gè)安全專家通過Cisco VoIPdia進(jìn)入了他們所在酒店的內(nèi)部公共網(wǎng)絡(luò)系統(tǒng)。兩名黑客說，他們通過Wired.com網(wǎng)站的一篇博客進(jìn)入到了這家酒店的財(cái)務(wù)系統(tǒng)和內(nèi)部公共網(wǎng)絡(luò)系統(tǒng)，并且獲取下了酒店內(nèi)部的通話記錄。這兩名黑客使用了由一種名叫VoIP Hopper提供的滲透測試模式，VoIP Hopper將模擬Cisco數(shù)據(jù)包，每三分鐘發(fā)送一次信息，然后轉(zhuǎn)換成為新的以太網(wǎng)界面，通過博客地址，用計(jì)算機(jī)代替酒店的電話系統(tǒng)切入到網(wǎng)絡(luò)中去，以此來運(yùn)轉(zhuǎn)VoIP?？梢奦oIP是件危險(xiǎn)的事情，從某種角度講對網(wǎng)絡(luò)產(chǎn)生了一定的安全威脅。

VoIP滲透現(xiàn)狀

VoIP在IP網(wǎng)絡(luò)上運(yùn)行。意味著，它與WEB和電子郵件等其它IP應(yīng)用一樣，有著同樣的威脅和漏洞等安全問題。這些威脅和漏洞包括所有IP網(wǎng)絡(luò)層面的威脅。每天很疲憊地應(yīng)對這些威脅;以及人們使用標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全技術(shù)和良好的網(wǎng)絡(luò)設(shè)計(jì)來應(yīng)對未知威脅。網(wǎng)絡(luò)的安全性根本技術(shù)問題(技術(shù)問題遲早會(huì)通過技術(shù)解決)，但我們并沒有因?yàn)榻?jīng)常存在黑客、病毒的侵襲而不發(fā)展網(wǎng)絡(luò)，同理，我們也不能因?yàn)橛辛税踩詥栴}而不發(fā)展網(wǎng)絡(luò)電話，否則就是本末倒置、因噎廢食的愚蠢做法;最后，對網(wǎng)絡(luò)電話安全問題考慮得比較多的是大型企業(yè)，因?yàn)檫@些企業(yè)擔(dān)心機(jī)密外泄而拒絕使用網(wǎng)絡(luò)電話。

與VoIP相關(guān)的網(wǎng)絡(luò)技術(shù)協(xié)議很多，常見的有控制實(shí)時(shí)數(shù)據(jù)流應(yīng)用在IP網(wǎng)絡(luò)傳輸?shù)膶?shí)時(shí)傳輸協(xié)議和實(shí)時(shí)傳輸控制協(xié)議;有保證網(wǎng)絡(luò)QoS質(zhì)量服務(wù)的資源預(yù)留協(xié)議和IP different Service等，還有傳統(tǒng)語音數(shù)字化編碼的一系列協(xié)議如G.711、G.728、G.723、G.729等等。但目前VoIP技術(shù)最常用的話音建立和控制信令是H.323和會(huì)話初始協(xié)議(STP)。SIP協(xié)議是IETF定義多媒體數(shù)據(jù)和控制體系結(jié)構(gòu)中的重要組成部分。同時(shí)，由于SIP只負(fù)責(zé)提供會(huì)話連接和會(huì)話管理，而與應(yīng)用無關(guān)，因此SIP可以被用于多個(gè)領(lǐng)域。即使是協(xié)議本身也有潛在的安全問題：H.323和SIP總體上都是一套開放的協(xié)議體系。

在一系列的通話過程方面，各設(shè)備廠家都有獨(dú)立的組件來承載。越是開放的操作系統(tǒng)，其產(chǎn)品應(yīng)用過程就越容易受到病毒和惡意攻擊的影響。而這些應(yīng)用都是在產(chǎn)品出廠時(shí)就已經(jīng)安裝在設(shè)備當(dāng)中的，無法保證是最新版本或是承諾已經(jīng)彌補(bǔ)了某些安全漏洞。同時(shí)，最為一種新興發(fā)展技術(shù)的傳輸協(xié)議，SIP并不完善，它采用類似于FTP、電子郵件或者HTTP服務(wù)器的形式來發(fā)起用戶之間的連接。利用這種連接技術(shù)，黑客們同樣會(huì)對VOIP進(jìn)行攻擊。如果網(wǎng)關(guān)被黑客攻破，IP電話不用經(jīng)過認(rèn)證就可隨意撥打，未經(jīng)保護(hù)的語音通話有可能遭到攔截和竊聽，而且可以被隨時(shí)截?cái)?。黑客利用重定向攻擊可以把語音郵件地址替換成自己指定的特定IP地址，為自己打開秘密通道和后門。黑客們可以騙過SIP和IP地址的限制而竊取到整個(gè)談話過程。

如果VoIP的基礎(chǔ)設(shè)施不能得到有效保護(hù)，它就能夠被輕易地攻擊，存儲(chǔ)的談話內(nèi)容就會(huì)被竊聽。與傳統(tǒng)的電話設(shè)備相比，用于傳輸VoIP的網(wǎng)絡(luò)━━路由器、服務(wù)器，甚至是交換機(jī)，都更容易受到攻擊。而傳統(tǒng)電話使用的PBX，它是穩(wěn)定和安全的。應(yīng)該從以下三個(gè)方面著手：

第一部曲：限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋€(gè)VLAN上，確保網(wǎng)關(guān)的安全

對語音和數(shù)據(jù)分別劃分VLAN，這樣有助于按照優(yōu)先次序來處理語音和數(shù)據(jù)。劃分VLAN也有助于防御費(fèi)用欺詐、DoS攻擊、竊聽、劫持通信等。VLAN的劃分使用戶的計(jì)算機(jī)形成了一個(gè)有效的封閉的圈子，它不允許任何其它計(jì)算機(jī)訪問其設(shè)備，從而也就避免了電腦的攻擊，VoIP網(wǎng)絡(luò)也就相當(dāng)安全;即使受到攻擊，也會(huì)將損失降到最低。要配置網(wǎng)關(guān)，使那些只有經(jīng)過允許的用戶才可以打出或接收VoIP電話，列示那些經(jīng)過鑒別和核準(zhǔn)的用戶，這可以確保其它人不能占線打免費(fèi)電話。通過SPI防火墻、應(yīng)用層網(wǎng)關(guān)、網(wǎng)絡(luò)地址轉(zhuǎn)換工具、SIP對VoIP軟客戶端的支持等的組合，來保護(hù)網(wǎng)關(guān)和位于其后的局域網(wǎng)。

第二部曲：及時(shí)更新VoIP安全漏洞，增加訪問控制列表

VoIP網(wǎng)絡(luò)的安全性，既依賴于底層的操作系統(tǒng)又依賴于運(yùn)行其上的應(yīng)用軟件。保持操作系統(tǒng)及VoIP應(yīng)用軟件補(bǔ)丁及時(shí)更新對于防御惡意程序或傳染性程序代碼是非常重要的。對于目前存在的VoIP安全漏洞及時(shí)更新，通過端口管理，進(jìn)行適當(dāng)增加訪問控制列表。

如：

ip access-list admin_acl  
seq 10 permit ip 212.22.128.0 0.0.7.255 any  
seq 20 permit ip 200.2.141.0 0.0.0.255 any  
seq 30 permit ip 219.56.9.192 0.0.0.15 any  
seq 31 permit ip 212.22.138.48 0.0.0.15 any  
seq 32 permit ip host 201.55.3.12 any  
seq 40 deny tcp any any eq telnet  
seq 50 deny tcp any any eq ssh  
seq 60 deny tcp any any eq ftp  
seq 70 deny tcp any any eq ftp-data  
seq 80 deny tcp any any eq 161  
seq 90 deny udp any any eq tftp  
seq 91 deny udp any any eq snmp  
seq 100 permit ip any any  

第三部曲：根據(jù)某種標(biāo)準(zhǔn)限制訪問，避免遠(yuǎn)程管理，保障VoIP平臺(tái)的安全

通過準(zhǔn)備一個(gè)被允許呼叫的目的地列表，來防止網(wǎng)絡(luò)被濫用于長途電話、“釣魚”欺詐和非法電話。網(wǎng)絡(luò)管理員可以建立嚴(yán)格的準(zhǔn)入標(biāo)準(zhǔn)，防止用戶訪問具有潛在危險(xiǎn)的設(shè)備，當(dāng)這些設(shè)備被發(fā)現(xiàn)感染了病毒或蠕蟲時(shí)，或沒有打上最新的補(bǔ)丁，或沒有安裝適當(dāng)?shù)姆阑饓?，都使系統(tǒng)潛藏著危險(xiǎn)。這些設(shè)備可以被定向到完全不同的網(wǎng)絡(luò)，并將危險(xiǎn)傳入到要害網(wǎng)絡(luò)。如果可能，最好避免使用遠(yuǎn)程管理和審計(jì)，但若是需要的話，使用SSH或IPsec來保證安全中國體育彩票股票股票腫瘤粉碎機(jī)四川地震汶川地震奧運(yùn) 。隧道和傳輸加密是兩種不同的加密模式，都支持IP層的數(shù)據(jù)包交換。使用IPsec傳輸加密只對數(shù)據(jù)進(jìn)行加密，并隱藏源IP地址和目標(biāo)IP地址。禁用那些非必要的服務(wù)，并使用基于主機(jī)的檢測方法。 保障VoIP網(wǎng)絡(luò)的安全是一項(xiàng)艱巨的任務(wù)，特別是考慮到缺少適當(dāng)?shù)臉?biāo)準(zhǔn)和程序的情況下。一個(gè)網(wǎng)絡(luò)安全性依賴于硬件和軟件的正確選擇。

【編輯推薦】

1. 對VoIP技術(shù)體制的深入解讀
2. 保護(hù)VoIP安全的十種方法
3. 企業(yè)該如何防范由VoIP引發(fā)的安全威脅
4. 易被黑客竊聽 VoIP安全需另眼相看