当前位置： 首頁 >> 公告 >> 行業新聞 >> 查看详情

行業新聞

VoIP安全很重要（行業分析）　

来源： 香港新航通通信有限公司（XHT888 HK CO LTD） 日期：2019-10-21 09:06:05 点击：1274 属于：行業新聞

用IP技術傳送語音，其安全問題也相對複雜，既要關心時下正在困擾IP網絡的病毒和黑客攻擊，同時傳統電話通信中的盜打和竊聽問題依然存在。紅紅火火的VoIP發展浪潮之中，用戶和廠商考慮最多的是如何改善話音質量以及如何同現有數據網絡的融合，很少考慮到VoIP的安全。有人不以為然地認為，“不就是在網絡上打電話嗎，安全問題有那麼重要嗎”。推敲一下，這個論點是站不住腳的。

防病毒與防攻擊

既然VoIP設備是一種網絡設備，那麼這個設備的操作系統的安全情況將直接影響到整個VoIP系統的安全。由於VoIP使用通用的操作系統，並與普通的計算機一樣，連接到局域網甚至是廣域網上，IP PBX的安全性自然受到了更多的關注。並且，所有的IP PBX都使用IP堆棧，這使系統容易出現服務拒絕或被黑客侵襲的問題。很多IP PBX中還包括了在ISS（與Windows NT Server集成的Web服務器）和Apache Web服務器平台上的基於網絡的用戶-管理員工具或圖形工具，而這兩種平臺本身就因為安全漏洞和故障問題而經常要修修補補。

目前VoIP技術採用的協議是， H.323和SIP協議，儘管它們之間有若干區別，但都是開放的協議體系，起到話音建立和控制信令的重要作用。廠商提供的VoIP設備，無論是IP PBX還是VoIP關守等設備，實現這些協議的平台或者採用Windows 2000操作系統，或者採用Linux系統，這兩種操作系統都是開放的操作系統，有著不同的漏洞和補丁需要完善，但是這些設備又不像一般的單個計算機或者服務器那樣可以直接人為或者從Internet上下載新的補丁。VoIP的設備一般都放置在機房內獨立運行，不需要人為乾預。但是這些設備出廠的時候，如果沒有打上最新的補丁，就需要網絡管理維護部門不斷跟踪最新的安全信息或者和設備廠商保持聯繫，通過更新軟件的方式為這些骨幹設備升級操作系統，避免遭到黑客的襲擊。因為在網絡上的黑客看來，VoIP設備對於它來說也就是一台運行Windows或Linux的計算機，如果沒有安全補丁，那麼一些在網絡流行的最新漏洞攻擊工具就可以讓VoIP立即成了啞巴。

Cicso的高級技術分析專家透露，由於沒有及時防範最新病毒，他們的一個演示系統的Call Manager去年感染了尼姆達病毒。這台Cisco IP PBX運行在目的驅動的基於Intel和Windows的服務器，當時只用於內部IT部門的測試。這次事故儘管沒有給公司運營帶來影響，但卻給公司敲響了警鐘。從此以後，Cisco不但定期對這個系統進行維護，而且不斷對其進行更新和監控。這個系統已加入運營，至今仍在正常工作。

另外的一個安全問題就是要設置好防火牆，預防拒絕服務攻擊（DoS）。攻擊者向服務器發送相當多數量的帶有虛假地址的服務請求，但因為所包含的回复地址是虛假的，服務器將等不到回傳的消息，直至所有的資源被耗盡。VoIP技術已經有很多知名的端口，像1719、1720、5060等。還有一些端口是產品本身需要用於遠端管理或是私有信息傳遞的用途，總之是要比普通的某個簡單的數據應用多。有些管理員在設置防火牆的時候，為了圖簡便，把所有的端口都打開了，以防無意中封掉有用的端口影響VoIP通信。這樣就把整個設備暴露在網絡上，不用的那些端口很容易遭到拒絕服務攻擊。

防盜打

防止IP電話被盜打是VoIP時代的一個新問題，在以前的傳統電話中，需要預防搭線這樣的盜打方式。雖然IP話機沒辦法通過搭線的方式來打電話，但通過竊取使用者IP電話的登錄密碼同樣能夠獲得話機的權限。通常在IP話機首次登錄到系統時，會要求提示輸入各人的分機號碼和密碼；當密碼流失之後，任何人都可以用自己的軟電話登錄成為別人的分機號碼。要避免IP電話被盜打，就需要保護好自己的用戶名和密碼。這個要求是和用戶保護好自己其他的賬戶是一樣的，在客戶端需要防止木馬以及其他一些盜號病毒的入侵。對於企業來說，最後是能把賬號（也就是虛擬電話號碼）和IP地址甚至MAC地址作一個綁定，使得即使賬號被竊，也不能在其它地方撥出電話。

如今大多數VoIP廠商採用的SIP協議，在呼叫設置過程中可傳輸兩種重要的信息，即被叫方電話號碼和驗證信息（如SIP用戶名和密碼）。多數VoIP廠商都假設SIP設備位於某種NAT路由器之後，並對其進行相應的優化配置，這就大大減少了終端用戶需要進行的配置。VoIP廠商通常擁有許多不同的呼叫網關，它們可能位於不同位置，這是為了確保最大可用性和呼叫質量。利用VoIP進行呼叫時，呼叫設置信息可暢通無阻地進行傳輸，這使它具有了方便的可讀性。但這同時意味著數據嗅探器（一種可記錄網絡上傳輸信息的軟件）可以收集到許多關於呼叫設置的信息。近期Broadvox的用戶就發現，其包含敏感配置文件的整個目錄對任何Web瀏覽器都是開放的。

管理IP電話系統跟管理傳統電話系統有所不同，儘管面臨困難，但企業只要對VoIP設備加強管理，像對待個人隱私、信用卡信息一樣作為重要機密，那麼安全應該不是個大問題。有了網絡管理員工具，就可以很容易地配置VoIP設備和電話分機。他們定期的改變密碼，也在一定程度上加強了安全性。另外，VoIP設備還有防火牆的保護，減少了非法訪問和盜用的可能。而它自帶的訪問檢查功能使其自動記錄訪問者、訪問操作及訪問者的IP地址，也大大提高了系統的安全性。

防竊聽

如今多數廠商都不對語音數據進行加密，這是基於實用性的考慮，因為加密要佔用CUP。終端用戶的SIP設備和軟交換機必須對信息進行幾乎是實時的加密和解密，並且不能影響呼叫質量。這個問題可以解決（SIP通常提供端到端加密），但是需要對硬件和基礎設施進行投資。要截獲呼叫設置或SIP呼叫過程中的語音數據，必須位於呼叫通過的位置，即在電話服務廠商或者SIP一端。由於連接可能改變流量路由，因此截獲SIP呼叫只有幾個可實施點，即在SIP客戶端、代理前端或者在兩個終端所使用的ISP上。

VoIP電話的隱私也是一個頗引人關注的安全話題。由於VoIP數據在數據網絡上傳輸，對數據的偵听就有可能得到語音通信的內容。由於協議本身是開放的，即使是一小段的媒體流都可以被重放出來而不需要前後信息的關聯。如果有人在數據網絡上通過Sniffer的方式記錄所有信息並通過軟件加以重放，將嚴重影響到通信隱私。解決的辦法是，首先把網絡的結構調整為全交換到桌面的方式，而放棄使用集線器HUB，這樣針對共享網絡的sniffer偵听就無能為力了。另外，從協議的選擇上。設備廠家可以選擇H.323協議簇中的H.235(又稱為H.Secure)來負責身份驗證、數據完整性和媒體流加密。

OS漏洞和病毒攻擊

各個設備廠家都會有獨立的語音服務器來提供語音網關或IP話機的註冊和控制功能。這些語音服務器有的採用Windows NT/2000的操作系統，也有的是基於Linux或VxWorks平台。而越是開放的操作系統，也就越容易受到病毒和惡意攻擊的影響，同時也越容易暴露出系統的漏洞。操作系統漏洞能使黑客獲取更高的權限，並利用漏洞在服務器上裝載並執行任何應用程序，

而且某些設備在產品出廠前運行了一些不必要的服務和應用，也會造成語音服務器存在潛在的安全漏洞，受到網絡病毒和黑客的影響。（陳蔚）

端口掃描/拒絕服務攻擊

IP語音通信最常用的話音建立和控制信令是H.323和SIP協議，它們都是一套開放的協議體系。而目前互聯網上存在大量的端口掃描工具，如X-Way之類的共享軟件，任何一個潛在的內部黑客可以使用這些工具，獲取IP語音通信各個組成部分（語音服務器、語音網關、IP話機等）的詳細的信息：IP地址、服務應用的TCP/UDP端口等。

DoS拒絕服務攻擊是目前網絡上的一種簡單但很有效的破壞性攻擊手段，將造成計算機或網絡無法提供正常服務。對IP語音通信系統各個組成部分的DoS攻擊，將造成這些設備上操作系統資源被消耗殆盡。

話費欺詐

雖然IP話機沒辦法通過并線的方式來打電話，但通過IP網絡管理的漏洞或者是通過Sniffer等軟件竊取IP語音通信系統管理的密碼或IP話機的登錄密碼，同樣會使非法用戶獲取相應的語音功能和權限。

很多采用了IP語音通信的企業為了方便員工遠程/移動辦公，允許員工出差或是在家辦公時，利用VPN方式接入到公司的局域網中，然後運行電腦中的IP軟件電話輸入相關密碼以後登錄IP語音系統，獲得接聽或撥打電話的權限。這樣存在相應的安全問題就是，非法用戶可以竊取了VPN密碼和IP電話密碼。

媒體流Sniffer

傳統語音交換機上的模擬話機存在并線竊聽的問題，而IP 語音通信平台同樣存在通過對IP電話之間的RTP語音流竊取並重放的問題。一個典型的IP呼叫需要信令和媒體流兩個建立的步驟，一旦IP語音設備之間通過控制信令建立起相應聯繫以後，將通過實時信息傳輸協議（RTP）將語音打包後在IP網絡上傳輸，由於協議本身的開放性，即使是一小段的RTP媒體流都可以被重放出來而不需要前後或者其它信息的關聯。非法用戶可以在數據網絡上通過Sniffer的方式記錄IP語音包並通過相應軟件加以重放實施竊聽。　

上一：“電線上網”挑戰南京寬帶市場

下一：IP市場容量將成倍增長企業網絡建設走向融合

如需更多服务和信息，请立即与我们联系

行業新聞

VoIP安全很重要（行業分析）

關於我們

联系我们

友情链接