黑客通過(guò)VoIP滲透來(lái)竊取、私用企業(yè)的VoIP電話，造成了VoIP的不安全性。開(kāi)放性的架構(gòu)所帶來(lái)的靈活性讓VoIP能夠滲透到企業(yè)的整個(gè)管理流程中去,提高通信效能,提高生產(chǎn)效率,這是IP技術(shù)的核心優(yōu)勢(shì)所在。所有影響數(shù)據(jù)網(wǎng)絡(luò)的攻擊都可能會(huì)影響到VoIP網(wǎng)絡(luò),如病毒、垃圾郵件、非法侵入、DoS、劫 持電話、偷聽(tīng)、數(shù)據(jù)嗅探等。
　　前段時(shí)間，圣地亞哥黑客會(huì)議局的兩個(gè)安全專(zhuān)家通過(guò)Cisco VoIPdia進(jìn)入了他們所在酒店的內(nèi)部公共網(wǎng)絡(luò)系統(tǒng)。兩名黑客說(shuō)，他們通過(guò)Wired.com網(wǎng)站的一篇博客進(jìn)入到了這家酒店的財(cái)務(wù)系統(tǒng)和內(nèi)部公共網(wǎng)絡(luò)系統(tǒng)，并且獲取下了酒店內(nèi)部的通話記錄。這兩名黑客使用了由一種名叫VoIP Hopper提供的滲透測(cè)試模式，VoIP Hopper將模擬Cisco數(shù)據(jù)包，每三分鐘發(fā)送一次信息，然后轉(zhuǎn)換成為新的以太網(wǎng)界面，通過(guò)博客地址，用計(jì)算機(jī)代替酒店的電話系統(tǒng)切入到網(wǎng)絡(luò)中去，以此來(lái)運(yùn)轉(zhuǎn)VoIP?？梢?jiàn)VoIP是件危險(xiǎn)的事情，從某種角度講對(duì)網(wǎng)絡(luò)產(chǎn)生了一定的安全威脅。
　　VoIP滲透現(xiàn)狀
　　VoIP在IP網(wǎng)絡(luò)上運(yùn)行。意味著，它與WEB和電子郵件等其它IP應(yīng)用一樣，有著同樣的威脅和漏洞等安全問(wèn)題。這些威脅和漏洞包括所有IP網(wǎng)絡(luò)層面的威脅。每天很疲憊地應(yīng)對(duì)這些威脅；以及人們使用標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全技術(shù)和良好的網(wǎng)絡(luò)設(shè)計(jì)來(lái)應(yīng)對(duì)未知威脅。網(wǎng)絡(luò)的安全性根本技術(shù)問(wèn)題(技術(shù)問(wèn)題遲早會(huì)通過(guò)技術(shù)解決)，但我們并沒(méi)有因?yàn)榻?jīng)常存在黑客、病毒的侵襲而不發(fā)展網(wǎng)絡(luò)，同理，我們也不能因?yàn)橛辛税踩詥?wèn)題而不發(fā)展網(wǎng)絡(luò)電話，否則就是本末倒置、因噎廢食的愚蠢做法；最后，對(duì)網(wǎng)絡(luò)電話安全問(wèn)題考慮得比較多的是大型企業(yè)，因?yàn)檫@些企業(yè)擔(dān)心機(jī)密外泄而拒絕使用網(wǎng)絡(luò)電話。
　　與VoIP相關(guān)的網(wǎng)絡(luò)技術(shù)協(xié)議很多，常見(jiàn)的有控制實(shí)時(shí)數(shù)據(jù)流應(yīng)用在IP網(wǎng)絡(luò)傳輸?shù)膶?shí)時(shí)傳輸協(xié)議和實(shí)時(shí)傳輸控制協(xié)議；有保證網(wǎng)絡(luò)QoS質(zhì)量服務(wù)的資源預(yù)留協(xié)議和IP different Service等，還有傳統(tǒng)語(yǔ)音數(shù)字化編碼的一系列協(xié)議如G.711、G.728、G.723、G.729等等。但目前VoIP技術(shù)最常用的話音建立和控制信令是H.323和會(huì)話初始協(xié)議(STP)。SIP協(xié)議是IETF定義多媒體數(shù)據(jù)和控制體系結(jié)構(gòu)中的重要組成部分。同時(shí)，由于SIP只負(fù)責(zé)提供會(huì)話連接和會(huì)話管理，而與應(yīng)用無(wú)關(guān)，因此SIP可以被用于多個(gè)領(lǐng)域。即使是協(xié)議本身也有潛在的安全問(wèn)題：H.323和SIP總體上都是一套開(kāi)放的協(xié)議體系。
　　在一系列的通話過(guò)程方面，各設(shè)備廠家都有獨(dú)立的組件來(lái)承載。越是開(kāi)放的操作系統(tǒng)，其產(chǎn)品應(yīng)用過(guò)程就越容易受到病毒和惡意攻擊的影響。而這些應(yīng)用都是在產(chǎn)品出廠時(shí)就已經(jīng)安裝在設(shè)備當(dāng)中的，無(wú)法保證是最新版本或是承諾已經(jīng)彌補(bǔ)了某些安全漏洞。同時(shí)，最為一種新興發(fā)展技術(shù)的傳輸協(xié)議，SIP并不完善，它采用類(lèi)似于FTP、電子郵件或者HTTP服務(wù)器的形式來(lái)發(fā)起用戶之間的連接。利用這種連接技術(shù)，黑客們同樣會(huì)對(duì)VOIP進(jìn)行攻擊。如果網(wǎng)關(guān)被黑客攻破，IP電話不用經(jīng)過(guò)認(rèn)證就可隨意撥打，未經(jīng)保護(hù)的語(yǔ)音通話有可能遭到攔截和竊 聽(tīng)，而且可以被隨時(shí)截?cái)唷：诳屠弥囟ㄏ蚬艨梢园颜Z(yǔ)音郵件地址替換成自己指定的特定IP地址，為自己打開(kāi)秘密通道和后門(mén)。黑客們可以騙過(guò)SIP和IP地址的限制而竊取到整個(gè)談話過(guò)程。
　　如果VoIP的基礎(chǔ)設(shè)施不能得到有效保護(hù)，它就能夠被輕易地攻擊，存儲(chǔ)的談話內(nèi)容就會(huì)被竊 聽(tīng)。與傳統(tǒng)的電話設(shè)備相比，用于傳輸VoIP的網(wǎng)絡(luò)——路由器、服務(wù)器，甚至是交換機(jī)，都更容易受到攻擊。而傳統(tǒng)電話使用的PBX，它是穩(wěn)定和安全的。應(yīng)該從以下三個(gè)方面著手：
　　第一部曲：限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋€(gè)VLAN上，確保網(wǎng)關(guān)的安全
　　對(duì)語(yǔ)音和數(shù)據(jù)分別劃分VLAN，這樣有助于按照優(yōu)先次序來(lái)處理語(yǔ)音和數(shù)據(jù)。劃分VLAN也有助于防御費(fèi)用欺詐、DoS攻擊、竊 聽(tīng)、劫 持通信等。VLAN的劃分使用戶的計(jì)算機(jī)形成了一個(gè)有效的封閉的圈子，它不允許任何其它計(jì)算機(jī)訪問(wèn)其設(shè)備，從而也就避免了電腦的攻擊，VoIP網(wǎng)絡(luò)也就相當(dāng)安全；即使受到攻擊，也會(huì)將損失降到最低。要配置網(wǎng)關(guān)，使那些只有經(jīng)過(guò)允許的用戶才可以打出或接收VoIP電話，列示那些經(jīng)過(guò)鑒別和核準(zhǔn)的用戶，這可以確保其它人不能占線打免費(fèi)電話。通過(guò)SPI防火墻、應(yīng)用層網(wǎng)關(guān)、網(wǎng)絡(luò)地址轉(zhuǎn)換工具、SIP對(duì)VoIP軟客戶端的支持等的組合，來(lái)保護(hù)網(wǎng)關(guān)和位于其后的局域網(wǎng)。第二部曲：及時(shí)更新VoIP安全漏洞，增加訪問(wèn)控制列表
　　VoIP網(wǎng)絡(luò)的安全性，既依賴(lài)于底層的操作系統(tǒng)又依賴(lài)于運(yùn)行其上的應(yīng)用軟件。保持操作系統(tǒng)及VoIP應(yīng)用軟件補(bǔ)丁及時(shí)更新對(duì)于防御惡意程序或傳染性程序代碼是非常重要的。對(duì)于目前存在的VoIP安全漏洞及時(shí)更新，通過(guò)端口管理，進(jìn)行適當(dāng)增加訪問(wèn)控制列表。
　　如： ip access-list admin_acl
　　seq 10 permit ip 212.22.128.0 0.0.7.255 any
　　seq 20 permit ip 200.2.141.0 0.0.0.255 any
　　seq 30 permit ip 219.56.9.192 0.0.0.15 any
　　seq 31 permit ip 212.22.138.48 0.0.0.15 any
　　seq 32 permit ip host 201.55.3.12 any
　　seq 40 deny tcp any any eq telnet
　　seq 50 deny tcp any any eq ssh
　　seq 60 deny tcp any any eq ftp
　　seq 70 deny tcp any any eq ftp-data
　　seq 80 deny tcp any any eq 161
　　seq 90 deny udp any any eq tftp
　　seq 91 deny udp any any eq snmp
　　seq 100 permit ip any any
　　第三部曲：根據(jù)某種標(biāo)準(zhǔn)限制訪問(wèn)，避免遠(yuǎn)程管理，保障VoIP平臺(tái)的安全
　　通過(guò)準(zhǔn)備一個(gè)被允許呼叫的目的地列表，來(lái)防止網(wǎng)絡(luò)被濫用于長(zhǎng)途電話、“釣魚(yú)”欺詐和非法電話。網(wǎng)絡(luò)管理員可以建立嚴(yán)格的準(zhǔn)入標(biāo)準(zhǔn)，防止用戶訪問(wèn)具有潛在危險(xiǎn)的設(shè)備，當(dāng)這些設(shè)備被發(fā)現(xiàn)感染了病毒或蠕蟲(chóng)時(shí)，或沒(méi)有打上最新的補(bǔ)丁，或沒(méi)有安裝適當(dāng)?shù)姆阑饓?，都使系統(tǒng)潛藏著危險(xiǎn)。這些設(shè)備可以被定向到完全不同的網(wǎng)絡(luò)，并將危險(xiǎn)傳入到要害網(wǎng)絡(luò)。如果可能，最好避免使用遠(yuǎn)程管理和審計(jì)，但若是需要的話，使用SSH或IPsec來(lái)保證安全中國(guó)體育彩票股票股票腫瘤粉碎機(jī)四川地震汶川地震奧運(yùn) 。隧道和傳輸加密是兩種不同的加密模式，都支持IP層的數(shù)據(jù)包交換。使用IPsec傳輸加密只對(duì)數(shù)據(jù)進(jìn)行加密，并隱藏源IP地址和目標(biāo)IP地址。禁用那些非必要的服務(wù)，并使用基于主機(jī)的檢測(cè)方法。 保障VoIP網(wǎng)絡(luò)的安全是一項(xiàng)艱巨的任務(wù)，特別是考慮到缺少適當(dāng)?shù)臉?biāo)準(zhǔn)和程序的情況下。一個(gè)網(wǎng)絡(luò)安全性依賴(lài)于硬件和軟件的正確選擇。

最新評(píng)論