如何保护VoIP网络(1)

如何保护VoIP网络(1)

VoIP终于成为一种主流应用。据Dell' Oro Group说，2005年，IP PBX设备销售额超过10亿美元，首次超过了传统TDM PBX。但是安全也随之成为了VoIP应用的下一个门槛。

分析人士预测，到2009年，IP PBX将占市场份额的90%以上。不过，在部署VoIP前，用户需要了解安全风险以及用户应采取的对策。

安全性在任何情况下都是非常重要的，不过，当用户更换世界上最老、最大、最有弹性和最可用的通信网络时，安全性显得尤其重要。尽管没有一个安全措施能完全消除针对VoIP部署的攻击，但一种多层次的方式，可以有效地减少攻击取得成功的可能性。

威胁

企业VoIP用户和服务提供者容易受到假冒攻击的袭击，其中的很多攻击与“电话线路盗用者”针对传统电话和蜂窝服务所使用的方法没有什么两样，这些攻击的目标偷也是一样的，即偷窃身份与信息，以及诈骗话费。

很多攻击将重点放在VoIP终端上。操作系统、Internet协议、应用程序以及VoIP硬电话和运行软电话的管理界面容易受到非法接入、病毒与蠕虫和很多拒绝服务DoS）的攻击。这些攻击往往利用通用Internet协议以及VoIP协议本身进行。

VoIP使用IETF会话发起协议SIP）和实时传输协议RTP）提交呼叫信令和语音消息。这些协议以及补充性会话描述和RTP控制协议(SDP、RTCP)，没有在呼叫信令和呼叫数据如包含压缩和编码语音的媒体流）上提供足够的主叫方认证、端到端的完整性保护和保密措施。在这些安全特性部署到服务之前，攻击者有很多可利用的漏洞。

目前，SIP和RTP协议没有加密呼叫信令包和语音流，因此，呼叫者的身份、证明信息和SIP统一资源标识符电话号码）可以利用LAN和WLAN传输流采集工具嗅探器）来捕获。

攻击者可以利用捕获的账户信息假冒用户，欺骗客户代表或自助门户网站。攻击者可以在自助门户网站上将呼叫计划修改为允许拨打“900”收费电话号码，或拨打被封锁的国际号码。他还可以访问语音邮件或修改呼叫转发号码。

假冒攻击通常用于进行话费欺诈，但以获得财务上好处为目标的攻击者，还可以捕获语音对话，并在以后重放它们来获取敏感的企业或个人信息。

利用SIP呼叫信令消息例如邀请、注册、再见或RTP媒体流数据包）淹没VoIP目标，可以降低服务质量，迫使呼叫提前挂断，以及使某个VoIP设备完全不能处理呼叫。VoIP设备还容易受到针对Internet协议的DoS攻击的袭击，如TCP SYN、 Ping of Death和最近出现的DNS分布式DoS扩大攻击。
VoIP系统还会受到针对特定媒体的攻击如以太网广播风暴和Wi-Fi无线电干扰）和破坏。新VoIP硬件中使用的操作系统和TCP/IP栈容易遭受针对特定软件实现的攻击，这类攻击利用了编程缺陷。攻击会造成系统停止运行或使攻击者获得系统的远程管理控制权。

VoIP软电话带来一种独有的棘手问题，即软电话应用程序运行在用户的系统上PC、PDA），容易遭受针对数据和语音应用的恶意代码攻击。因此IT管理人员必须考虑攻击者可能通过VoIP软电话应用程序，注入恶意代码来绕过常规的PC恶意软件防护的可能性。

垃圾邮件常常搭载着间谍软件和管理工具。通过Internet电话传播的垃圾邮件可以传送主动提供的推销电话和其他讨厌的消息，下载到软电话上的程序可能包含暗藏的恶意软件。

尽管以上描述并不全面，但也足以促使IT管理人员进一步评估引进VoIP的风险，制定利用现成的安全技术减少风险的政策和实现计划。