通过VoIP渗透来窃取、私用企业的VoIP电话,造成了VoIP的不安全性。开放性的架构所带来的灵活性让VoIP能够渗透到企业的整个管理流程中去,提高通信效能,提高生产效率,这是IP技术的核心优势所在。所有影响数据网络的攻击都可能会影响到VoIP网络,如病毒、垃圾邮件、非法侵入、DoS、劫持电话、偷听、数据嗅探等。
前段时间,圣地亚哥黑客会议局的两个安全专家通过Cisco VoIPdia进入了他们所在酒店的内部公共网络系统。两名黑客说,他们通过Wired.com网站的一篇博客进入到了这家酒店的财务系统和内部公共网络系统,并且获取下了酒店内部的通话记录。这两名黑客使用了由一种名叫VoIP Hopper提供的渗透测试模式,VoIP Hopper将模拟Cisco数据包,每三分钟发送一次信息,然后转换成为新的以太网界面,通过博客地址,用计算机代替酒店的电话系统切入到网络中去,以此来运转VoIP。可见VoIP是件危险的事情,从某种角度讲对网络产生了一定的安全威胁。
VoIP渗透现状
VoIP在IP网络上运行。意味着,它与WEB和电子邮件等其它IP应用一样,有着同样的威胁和漏洞等安全问题。这些威胁和漏洞包括所有IP网络层面的威胁。每天很疲惫地应对这些威胁;以及人们使用标准的网络安全技术和良好的网络设计来应对未知威胁。网络的安全性根本技术问题(技术问题迟早会通过技术解决),但我们并没有因为经常存在黑客、病毒的侵袭而不发展网络,同理,我们也不能因为有了安全性问题而不发展网络电话,否则就是本末倒置、因噎废食的愚蠢做法;最后,对网络电话安全问题考虑得比较多的是大型企业,因为这些企业担心机密外泄而拒绝使用网络电话。
与VoIP相关的网络技术协议很多,常见的有控制实时数据流应用在IP网络传输的实时传输协议和实时传输控制协议;有保证网络QoS质量服务的资源预留协议和IP different Service等,还有传统语音数字化编码的一系列协议如G.711、G.728、G.723、G.729等等。但目前VoIP技术最常用的话音建立和控制信令是H.323和会话初始协议(STP)。SIP协议是IETF定义多媒体数据和控制体系结构中的重要组成部分。同时,由于SIP只负责提供会话连接和会话管理,而与应用无关,因此SIP可以被用于多个领域。即使是协议本身也有潜在的安全问题:H.323和SIP总体上都是一套开放的协议体系。
在一系列的通话过程方面,各设备厂家都有独立的组件来承载。越是开放的操作系统,其产品应用过程就越容易受到病毒和恶意攻击的影响。而这些应用都是在产品出厂时就已经安装在设备当中的,无法保证是最新版本或是承诺已经弥补了某些安全漏洞。同时,最为一种新兴发展技术的传输协议,SIP并不完善,它采用类似于FTP、电子邮件或者HTTP服务器的形式来发起用户之间的连接。利用这种连接技术,黑客们同样会对VOIP进行攻击。如果网关被黑客攻破,IP电话不用经过认证就可随意拨打,未经保护的语音通话有可能遭到拦截和窃听,而且可以被随时截断。黑客利用重定向攻击可以把语音邮件地址替换成自己指定的特定IP地址,为自己打开秘密通道和后门。黑客们可以骗过SIP和IP地址的限制而窃取到整个谈话过程。
如果VoIP的基础设施不能得到有效保护,它就能够被轻易地攻击,存储的谈话内容就会被窃听。与传统的电话设备相比,用于传输VoIP的网络——路由器、服务器,甚至是交换机,都更容易受到攻击。而传统电话使用的PBX,它是稳定和安全的。应该从以下三个方面着手:
第一部曲:限制所有的VoIP数据只能传输到一个VLAN上,确保网关的安全
对语音和数据分别划分VLAN,这样有助于按照优先次序来处理语音和数据。划分VLAN也有助于防御费用欺诈、DoS攻击、窃听、劫持通信等。VLAN的划分使用户的计算机形成了一个有效的封闭的圈子,它不允许任何其它计算机访问其设备,从而也就避免了电脑的攻击,VoIP网络也就相当安全;即使受到攻击,也会将损失降到最低。要配置网关,使那些只有经过允许的用户才可以打出或接收VoIP电话,列示那些经过鉴别和核准的用户,这可以确保其它人不能占线打免费电话。通过SPI防火墙、应用层网关、网络地址转换工具、SIP对VoIP软客户端的支持等的组合,来保护网关和位于其后的局域网。