既要關(guān)心時(shí)下正在困擾IP網(wǎng)絡(luò)的病毒和黑客攻擊
　　同時(shí)傳統(tǒng)電話通信中的盜打和竊聽(tīng)問(wèn)題依然存在
　　紅紅火火的VoIP發(fā)展浪潮之中，用戶和廠商考慮最多的是如何改善話音質(zhì)量以及如何同現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)的融合，很少考慮到VoIP的安全。有人不以為然地認(rèn)為，“不就是在網(wǎng)絡(luò)上打電話嗎，安全問(wèn)題有那么重要嗎”。推敲一下，這個(gè)論點(diǎn)是站不住腳的。
　　防病毒與防攻擊
　　既然VoIP設(shè)備是一種網(wǎng)絡(luò)設(shè)備，那么這個(gè)設(shè)備的操作系統(tǒng)的安全情況將直接影響到整個(gè)VoIP系統(tǒng)的安全。由于VoIP使用通用的操作系統(tǒng)，并與普通的計(jì)算機(jī)一樣，連接到局域網(wǎng)甚至是廣域網(wǎng)上，IP PBX的安全性自然受到了更多的關(guān)注。并且，所有的IP PBX都使用IP堆棧，這使系統(tǒng)容易出現(xiàn)服務(wù)拒絕或被黑客侵襲的問(wèn)題。很多IP PBX中還包括了在ISS（與 Windows NT Server集成的Web服務(wù)器）和Apache Web服務(wù)器平臺(tái)上的基于網(wǎng)絡(luò)的用戶-管理員工具或圖形工具，而這兩種平臺(tái)本身就因?yàn)榘踩�漏洞和故障�?wèn)題而經(jīng)常要修修補(bǔ)補(bǔ)。
　　目前VoIP技術(shù)采用的協(xié)議是， H.323和SIP協(xié)議，盡管它們之間有若干區(qū)別，但都是開(kāi)放的協(xié)議體系，起到話音建立和控制信令的重要作用。廠商提供的VoIP設(shè)備，無(wú)論是IP PBX還是VoIP關(guān)守等設(shè)備，實(shí)現(xiàn)這些協(xié)議的平臺(tái)或者采用Windows 2000操作系統(tǒng)，或者采用Linux系統(tǒng)，這兩種操作系統(tǒng)都是開(kāi)放的操作系統(tǒng)，有著不同的漏洞和補(bǔ)丁需要完善，但是這些設(shè)備又不像一般的單個(gè)計(jì)算機(jī)或者服務(wù)器那樣可以直接人為或者從Internet上下載新的補(bǔ)丁。VoIP的設(shè)備一般都放置在機(jī)房?jī)?nèi)獨(dú)立運(yùn)行，不需要人為干預(yù)。但是這些設(shè)備出廠的時(shí)候，如果沒(méi)有打上最新的補(bǔ)丁，就需要網(wǎng)絡(luò)管理維護(hù)部門(mén)不斷跟蹤最新的安全信息或者和設(shè)備廠商保持聯(lián)系，通過(guò)更新軟件的方式為這些骨干設(shè)備升級(jí)操作系統(tǒng)，避免遭到黑客的襲擊。因?yàn)樵诰W(wǎng)絡(luò)上的黑客看來(lái)，VoIP設(shè)備對(duì)于它來(lái)說(shuō)也就是一臺(tái)運(yùn)行Windows或Linux的計(jì)算機(jī)，如果沒(méi)有安全補(bǔ)丁，那么一些在網(wǎng)絡(luò)流行的最新漏洞攻擊工具就可以讓VoIP立即成了啞巴。
　　Cicso的高級(jí)技術(shù)分析專(zhuān)家透露，由于沒(méi)有及時(shí)防范最新病毒，他們的一個(gè)演示系統(tǒng)的Call Manager去年感染了尼姆達(dá)病毒。這臺(tái)Cisco IP PBX運(yùn)行在目的驅(qū)動(dòng)的基于Intel和Windows的服務(wù)器，當(dāng)時(shí)只用于內(nèi)部IT部門(mén)的測(cè)試。這次事故盡管沒(méi)有給公司運(yùn)營(yíng)帶來(lái)影響，但卻給公司敲響了警鐘。從此以后，Cisco不但定期對(duì)這個(gè)系統(tǒng)進(jìn)行維護(hù)，而且不斷對(duì)其進(jìn)行更新和監(jiān)控。這個(gè)系統(tǒng)已加入運(yùn)營(yíng)，至今仍在正常工作。
　　另外的一個(gè)安全問(wèn)題就是要設(shè)置好防火墻，預(yù)防拒絕服務(wù)攻擊（DoS）。攻擊者向服務(wù)器發(fā)送相當(dāng)多數(shù)量的帶有虛假地址的服務(wù)請(qǐng)求，但因?yàn)樗�包含的回�?fù)地址是虛假的，服務(wù)器將等不到回傳的消息，直至所有的資源被耗盡。VoIP技術(shù)已經(jīng)有很多知名的端口，像1719、1720、5060等。還有一些端口是產(chǎn)品本身需要用于遠(yuǎn)端管理或是私有信息傳遞的用途，總之是要比普通的某個(gè)簡(jiǎn)單的數(shù)據(jù)應(yīng)用多。有些管理員在設(shè)置防火墻的時(shí)候，為了圖簡(jiǎn)便，把所有的端口都打開(kāi)了，以防無(wú)意中封掉有用的端口影響VoIP通信。這樣就把整個(gè)設(shè)備暴露在網(wǎng)絡(luò)上，不用的那些端口很容易遭到拒絕服務(wù)攻擊。
　　防盜打
　　防止IP電話被盜打是VoIP時(shí)代的一個(gè)新問(wèn)題，在以前的傳統(tǒng)電話中，需要預(yù)防搭線這樣的盜打方式。雖然IP話機(jī)沒(méi)辦法通過(guò)搭線的方式來(lái)打電話，但通過(guò)竊取使用者IP電話的登錄密碼同樣能夠獲得話機(jī)的權(quán)限。通常在IP話機(jī)首次登錄到系統(tǒng)時(shí)，會(huì)要求提示輸入各人的分機(jī)號(hào)碼和密碼；當(dāng)密碼流失之后，任何人都可以用自己的軟電話登錄成為別人的分機(jī)號(hào)碼。要避免IP電話被盜打，就需要保護(hù)好自己的用戶名和密碼。這個(gè)要求是和用戶保護(hù)好自己其他的賬戶是一樣的，在客戶端需要防止木馬以及其他一些盜號(hào)病毒的入侵。對(duì)于企業(yè)來(lái)說(shuō)，最后是能把賬號(hào)（也就是虛擬電話號(hào)碼）和IP地址甚至MAC地址作一個(gè)綁定，使得即使賬號(hào)被竊，也不能在其它地方撥出電話。
　　如今大多數(shù)VoIP廠商采用的SIP協(xié)議，在呼叫設(shè)置過(guò)程中可傳輸兩種重要的信息，即被叫方電話號(hào)碼和驗(yàn)證信息（如SIP用戶名和密碼）。多數(shù)VoIP廠商都假設(shè)SIP設(shè)備位于某種NAT路由器之后，并對(duì)其進(jìn)行相應(yīng)的優(yōu)化配置，這就大大減少了終端用戶需要進(jìn)行的配置。VoIP廠商通常擁有許多不同的呼叫網(wǎng)關(guān)，它們可能位于不同位置，這是為了確保最大可用性和呼叫質(zhì)量。利用VoIP進(jìn)行呼叫時(shí)，呼叫設(shè)置信息可暢通無(wú)阻地進(jìn)行傳輸，這使它具有了方便的可讀性。但這同時(shí)意味著數(shù)據(jù)嗅探器（一種可記錄網(wǎng)絡(luò)上傳輸信息的軟件）可以收集到許多關(guān)于呼叫設(shè)置的信息。近期Broadvox的用戶就發(fā)現(xiàn)，其包含敏感配置文件的整個(gè)目錄對(duì)任何Web瀏覽器都是開(kāi)放的。
　　管理IP電話系統(tǒng)跟管理傳統(tǒng)電話系統(tǒng)有所不同，盡管面臨困難，但企業(yè)只要對(duì)VoIP設(shè)備加強(qiáng)管理，像對(duì)待個(gè)人隱私、信用卡信息一樣作為重要機(jī)密，那么安全應(yīng)該不是個(gè)大問(wèn)題。有了網(wǎng)絡(luò)管理員工具，就可以很容易地配置VoIP設(shè)備和電話分機(jī)。他們定期的改變密碼，也在一定程度上加強(qiáng)了安全性。另外，VoIP設(shè)備還有防火墻的保護(hù)，減少了非法訪問(wèn)和盜用的可能。而它自帶的訪問(wèn)檢查功能使其自動(dòng)記錄訪問(wèn)者、訪問(wèn)操作及訪問(wèn)者的IP地址，也大大提高了系統(tǒng)的安全性。
　　防竊聽(tīng)
　　如今多數(shù)廠商都不對(duì)語(yǔ)音數(shù)據(jù)進(jìn)行加密，這是基于實(shí)用性的考慮，因?yàn)榧用芤�占用CUP。終端用戶的SIP設(shè)備和軟交換機(jī)必須對(duì)信息進(jìn)行幾乎是實(shí)時(shí)的加密和解密，并且不能影響呼叫質(zhì)量。這個(gè)問(wèn)題可以解決（SIP通常提供端到端加密），但是需要對(duì)硬件和基礎(chǔ)設(shè)施進(jìn)行投資。要截獲呼叫設(shè)置或SIP呼叫過(guò)程中的語(yǔ)音數(shù)據(jù)，必須位于呼叫通過(guò)的位置，即在電話服務(wù)廠商或者SIP一端。由于連接可能改變流量路由，因此截獲SIP呼叫只有幾個(gè)可實(shí)施點(diǎn)，即在SIP客戶端、代理前端或者在兩個(gè)終端所使用的ISP上。
　　VoIP電話的隱私也是一個(gè)頗引人關(guān)注的安全話題。由于VoIP數(shù)據(jù)在數(shù)據(jù)網(wǎng)絡(luò)上傳輸，對(duì)數(shù)據(jù)的偵聽(tīng)就有可能得到語(yǔ)音通信的內(nèi)容。由于協(xié)議本身是開(kāi)放的，即使是一小段的媒體流都可以被重放出來(lái)而不需要前后信息的關(guān)聯(lián)。如果有人在數(shù)據(jù)網(wǎng)絡(luò)上通過(guò)Sniffer的方式記錄所有信息并通過(guò)軟件加以重放，將嚴(yán)重影響到通信隱私。解決的辦法是，首先把網(wǎng)絡(luò)的結(jié)構(gòu)調(diào)整為全交換到桌面的方式，而放棄使用集線器HUB，這樣針對(duì)共享網(wǎng)絡(luò)的sniffer偵聽(tīng)就無(wú)能為力了。另外，從協(xié)議的選擇上。設(shè)備廠家可以選擇H.323協(xié)議簇中的H.235(又稱(chēng)為H.Secure)來(lái)負(fù)責(zé)身份驗(yàn)證、數(shù)據(jù)完整性和媒體流加密。
　　OS漏洞和病毒攻擊
　　各個(gè)設(shè)備廠家都會(huì)有獨(dú)立的語(yǔ)音服務(wù)器來(lái)提供語(yǔ)音網(wǎng)關(guān)或IP話機(jī)的注冊(cè)和控制功能。這些語(yǔ)音服務(wù)器有的采用Windows NT/2000的操作系統(tǒng)，也有的是基于Linux或VxWorks平臺(tái)。而越是開(kāi)放的操作系統(tǒng)，也就越容易受到病毒和惡意攻擊的影響，同時(shí)也越容易暴露出系統(tǒng)的漏洞。操作系統(tǒng)漏洞能使黑客獲取更高的權(quán)限，并利用漏洞在服務(wù)器上裝載并執(zhí)行任何應(yīng)用程序，
　　而且某些設(shè)備在產(chǎn)品出廠前運(yùn)行了一些不必要的服務(wù)和應(yīng)用，也會(huì)造成語(yǔ)音服務(wù)器存在潛在的安全漏洞，受到網(wǎng)絡(luò)病毒和黑客的影響。（陳蔚）
　　端口掃描/拒絕服務(wù)攻擊
　　IP 語(yǔ)音通信最常用的話音建立和控制信令是H.323和SIP協(xié)議，它們都是一套開(kāi)放的協(xié)議體系。而目前互聯(lián)網(wǎng)上存在大量的端口掃描工具，如X-Way之類(lèi)的共享軟件，任何一個(gè)潛在的內(nèi)部黑客可以使用這些工具，獲取IP 語(yǔ)音通信各個(gè)組成部分（語(yǔ)音服務(wù)器、語(yǔ)音網(wǎng)關(guān)、IP話機(jī)等）的詳細(xì)的信息：IP地址、服務(wù)應(yīng)用的TCP/UDP端口等。
　　DoS拒絕服務(wù)攻擊是目前網(wǎng)絡(luò)上的一種簡(jiǎn)單但很有效的破壞性攻擊手段，將造成計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常服務(wù)。對(duì)IP 語(yǔ)音通信系統(tǒng)各個(gè)組成部分的DoS攻擊，將造成這些設(shè)備上操作系統(tǒng)資源被消耗殆盡。
　　話費(fèi)欺詐
　　雖然IP話機(jī)沒(méi)辦法通過(guò)并線的方式來(lái)打電話，但通過(guò)IP網(wǎng)絡(luò)管理的漏洞或者是通過(guò)Sniffer等軟件竊取IP 語(yǔ)音通信系統(tǒng)管理的密碼或IP話機(jī)的登錄密碼，同樣會(huì)使非法用戶獲取相應(yīng)的語(yǔ)音功能和權(quán)限。
　　很多采用了IP 語(yǔ)音通信的企業(yè)為了方便員工遠(yuǎn)程/移動(dòng)辦公，允許員工出差或是在家辦公時(shí)，利用VPN方式接入到公司的局域網(wǎng)中，然后運(yùn)行電腦中的IP軟件電話輸入相關(guān)密碼以后登錄IP語(yǔ)音系統(tǒng)，獲得接聽(tīng)或撥打電話的權(quán)限。這樣存在相應(yīng)的安全問(wèn)題就是，非法用戶可以竊取了VPN密碼和IP電話密碼。

　　傳統(tǒng)語(yǔ)音交換機(jī)上的模擬話機(jī)存在并線竊聽(tīng)的問(wèn)題，而IP 語(yǔ)音通信平臺(tái)同樣存在通過(guò)對(duì)IP電話之間的RTP語(yǔ)音流竊取并重放的問(wèn)題。一個(gè)典型的IP呼叫需要信令和媒體流兩個(gè)建立的步驟，一旦IP語(yǔ)音設(shè)備之間通過(guò)控制信令建立起相應(yīng)聯(lián)系以后，將通過(guò)實(shí)時(shí)信息傳輸協(xié)議（RTP） 將語(yǔ)音打包后在IP網(wǎng)絡(luò)上傳輸，由于協(xié)議本身的開(kāi)放性，即使是一小段的RTP媒體流都可以被重放出來(lái)而不需要前后或者其它信息的關(guān)聯(lián)。非法用戶可以在數(shù)據(jù)網(wǎng)絡(luò)上通過(guò)Sniffer的方式記錄IP語(yǔ)音包并通過(guò)相應(yīng)軟件加以重放實(shí)施竊聽(tīng)。

賽迪網(wǎng) 中國(guó)信息化(industry.ccidnet.com)