VoIP安全很重要（行業分析）　

發布者：新航通　發布時間： 2014-02-15 14:31　瀏覽次數：

用IP技術傳送語音，其安全問題也相對復雜

　　既要關心時下正在困擾IP網絡的病毒和黑客攻擊

　　同時傳統電話通信中的盜打和竊聽問題依然存在

　　紅紅火火的VoIP發展浪潮之中，用戶和廠商考慮最多的是如何改善話音質量以及如何同現有數據網絡的融合，很少考慮到VoIP的安全。有人不以為然地認為，“不就是在網絡上打電話嗎，安全問題有那么重要嗎”。推敲一下，這個論點是站不住腳的。

　　防病毒與防攻擊

　　既然VoIP設備是一種網絡設備，那么這個設備的操作系統的安全情況將直接影響到整個VoIP系統的安全。由于VoIP使用通用的操作系統，并與普通的計算機一樣，連接到局域網甚至是廣域網上，IP PBX的安全性自然受到了更多的關注。并且，所有的IP PBX都使用IP堆棧，這使系統容易出現服務拒絕或被黑客侵襲的問題。很多IP PBX中還包括了在ISS（與 Windows NT Server集成的Web服務器）和Apache Web服務器平臺上的基于網絡的用戶-管理員工具或圖形工具，而這兩種平臺本身就因為安全漏洞和故障問題而經常要修修補補。

　　目前VoIP技術采用的協議是， H.323和SIP協議，盡管它們之間有若干區別，但都是開放的協議體系，起到話音建立和控制信令的重要作用。廠商提供的VoIP設備，無論是IP PBX還是VoIP關守等設備，實現這些協議的平臺或者采用Windows 2000操作系統，或者采用Linux系統，這兩種操作系統都是開放的操作系統，有著不同的漏洞和補丁需要完善，但是這些設備又不像一般的單個計算機或者服務器那樣可以直接人為或者從Internet上下載新的補丁。VoIP的設備一般都放置在機房內獨立運行，不需要人為干預。但是這些設備出廠的時候，如果沒有打上最新的補丁，就需要網絡管理維護部門不斷跟蹤最新的安全信息或者和設備廠商保持聯系，通過更新軟件的方式為這些骨干設備升級操作系統，避免遭到黑客的襲擊。因為在網絡上的黑客看來，VoIP設備對于它來說也就是一臺運行Windows或Linux的計算機，如果沒有安全補丁，那么一些在網絡流行的最新漏洞攻擊工具就可以讓VoIP立即成了啞巴。

　　Cicso的高級技術分析專家透露，由于沒有及時防范最新病毒，他們的一個演示系統的Call Manager去年感染了尼姆達病毒。這臺Cisco IP PBX運行在目的驅動的基于Intel和Windows的服務器，當時只用于內部IT部門的測試。這次事故盡管沒有給公司運營帶來影響，但卻給公司敲響了警鐘。從此以后，Cisco不但定期對這個系統進行維護，而且不斷對其進行更新和監控。這個系統已加入運營，至今仍在正常工作。

　　另外的一個安全問題就是要設置好防火墻，預防拒絕服務攻擊（DoS）。攻擊者向服務器發送相當多數量的帶有虛假地址的服務請求，但因為所包含的回復地址是虛假的，服務器將等不到回傳的消息，直至所有的資源被耗盡。VoIP技術已經有很多知名的端口，像1719、1720、5060等。還有一些端口是產品本身需要用于遠端管理或是私有信息傳遞的用途，總之是要比普通的某個簡單的數據應用多。有些管理員在設置防火墻的時候，為了圖簡便，把所有的端口都打開了，以防無意中封掉有用的端口影響VoIP通信。這樣就把整個設備暴露在網絡上，不用的那些端口很容易遭到拒絕服務攻擊。

　　防盜打

　　防止IP電話被盜打是VoIP時代的一個新問題，在以前的傳統電話中，需要預防搭線這樣的盜打方式。雖然IP話機沒辦法通過搭線的方式來打電話，但通過竊取使用者IP電話的登錄密碼同樣能夠獲得話機的權限。通常在IP話機首次登錄到系統時，會要求提示輸入各人的分機號碼和密碼；當密碼流失之后，任何人都可以用自己的軟電話登錄成為別人的分機號碼。要避免IP電話被盜打，就需要保護好自己的用戶名和密碼。這個要求是和用戶保護好自己其他的賬戶是一樣的，在客戶端需要防止木馬以及其他一些盜號病毒的入侵。對于企業來說，最后是能把賬號（也就是虛擬電話號碼）和IP地址甚至MAC地址作一個綁定，使得即使賬號被竊，也不能在其它地方撥出電話。

　　如今大多數VoIP廠商采用的SIP協議，在呼叫設置過程中可傳輸兩種重要的信息，即被叫方電話號碼和驗證信息（如SIP用戶名和密碼）。多數VoIP廠商都假設SIP設備位于某種NAT路由器之后，并對其進行相應的優化配置，這就大大減少了終端用戶需要進行的配置。VoIP廠商通常擁有許多不同的呼叫網關，它們可能位于不同位置，這是為了確保最大可用性和呼叫質量。利用VoIP進行呼叫時，呼叫設置信息可暢通無阻地進行傳輸，這使它具有了方便的可讀性。但這同時意味著數據嗅探器（一種可記錄網絡上傳輸信息的軟件）可以收集到許多關于呼叫設置的信息。近期Broadvox的用戶就發現，其包含敏感配置文件的整個目錄對任何Web瀏覽器都是開放的。

　　管理IP電話系統跟管理傳統電話系統有所不同，盡管面臨困難，但企業只要對VoIP設備加強管理，像對待個人隱私、信用卡信息一樣作為重要機密，那么安全應該不是個大問題。有了網絡管理員工具，就可以很容易地配置VoIP設備和電話分機。他們定期的改變密碼，也在一定程度上加強了安全性。另外，VoIP設備還有防火墻的保護，減少了非法訪問和盜用的可能。而它自帶的訪問檢查功能使其自動記錄訪問者、訪問操作及訪問者的IP地址，也大大提高了系統的安全性。

　　防竊聽

　　如今多數廠商都不對語音數據進行加密，這是基于實用性的考慮，因為加密要占用CUP。終端用戶的SIP設備和軟交換機必須對信息進行幾乎是實時的加密和解密，并且不能影響呼叫質量。這個問題可以解決（SIP通常提供端到端加密），但是需要對硬件和基礎設施進行投資。要截獲呼叫設置或SIP呼叫過程中的語音數據，必須位于呼叫通過的位置，即在電話服務廠商或者SIP一端。由于連接可能改變流量路由，因此截獲SIP呼叫只有幾個可實施點，即在SIP客戶端、代理前端或者在兩個終端所使用的ISP上。

　　VoIP電話的隱私也是一個頗引人關注的安全話題。由于VoIP數據在數據網絡上傳輸，對數據的偵聽就有可能得到語音通信的內容。由于協議本身是開放的，即使是一小段的媒體流都可以被重放出來而不需要前后信息的關聯。如果有人在數據網絡上通過Sniffer的方式記錄所有信息并通過軟件加以重放，將嚴重影響到通信隱私。解決的辦法是，首先把網絡的結構調整為全交換到桌面的方式，而放棄使用集線器HUB，這樣針對共享網絡的sniffer偵聽就無能為力了。另外，從協議的選擇上。設備廠家可以選擇H.323協議簇中的H.235(又稱為H.Secure)來負責身份驗證、數據完整性和媒體流加密。

　　OS漏洞和病毒攻擊

　　各個設備廠家都會有獨立的語音服務器來提供語音網關或IP話機的注冊和控制功能。這些語音服務器有的采用Windows NT/2000的操作系統，也有的是基于Linux或VxWorks平臺。而越是開放的操作系統，也就越容易受到病毒和惡意攻擊的影響，同時也越容易暴露出系統的漏洞。操作系統漏洞能使黑客獲取更高的權限，并利用漏洞在服務器上裝載并執行任何應用程序，

　　而且某些設備在產品出廠前運行了一些不必要的服務和應用，也會造成語音服務器存在潛在的安全漏洞，受到網絡病毒和黑客的影響。（陳蔚）

　　端口掃描/拒絕服務攻擊

　　IP 語音通信最常用的話音建立和控制信令是H.323和SIP協議，它們都是一套開放的協議體系。而目前互聯網上存在大量的端口掃描工具，如X-Way之類的共享軟件，任何一個潛在的內部黑客可以使用這些工具，獲取IP 語音通信各個組成部分（語音服務器、語音網關、IP話機等）的詳細的信息：IP地址、服務應用的TCP/UDP端口等。

　　DoS拒絕服務攻擊是目前網絡上的一種簡單但很有效的破壞性攻擊手段，將造成計算機或網絡無法提供正常服務。對IP 語音通信系統各個組成部分的DoS攻擊，將造成這些設備上操作系統資源被消耗殆盡。

　　話費欺詐

　　雖然IP話機沒辦法通過并線的方式來打電話，但通過IP網絡管理的漏洞或者是通過Sniffer等軟件竊取IP 語音通信系統管理的密碼或IP話機的登錄密碼，同樣會使非法用戶獲取相應的語音功能和權限。

　　很多采用了IP 語音通信的企業為了方便員工遠程/移動辦公，允許員工出差或是在家辦公時，利用VPN方式接入到公司的局域網中，然后運行電腦中的IP軟件電話輸入相關密碼以后登錄IP語音系統，獲得接聽或撥打電話的權限。這樣存在相應的安全問題就是，非法用戶可以竊取了VPN密碼和IP電話密碼。
　　
　　媒體流Sniffer

　　傳統語音交換機上的模擬話機存在并線竊聽的問題，而IP 語音通信平臺同樣存在通過對IP電話之間的RTP語音流竊取并重放的問題。一個典型的IP呼叫需要信令和媒體流兩個建立的步驟，一旦IP語音設備之間通過控制信令建立起相應聯系以后，將通過實時信息傳輸協議（RTP）將語音打包后在IP網絡上傳輸，由于協議本身的開放性，即使是一小段的RTP媒體流都可以被重放出來而不需要前后或者其它信息的關聯。非法用戶可以在數據網絡上通過Sniffer的方式記錄IP語音包并通過相應軟件加以重放實施竊聽。　

上一篇：“電線上網”挑戰南京寬帶市場下一篇：企業IP電話規劃五大因素（行業分析）　

av电影-巜丰满的欲妇2做爰播放-搞鸡视频-SM调教室论坛首页在线-中文精品久久久久国产

行業資訊

VoIP安全很重要（行業分析）

av电影-巜丰满的欲妇2做爰播放-搞鸡视频-SM调教室论坛首页在线-中文精品久久久久国产

行業資訊

VoIP安全很重要 （行業分析）

VoIP安全很重要（行業分析）　