【IT168 专稿】VoIP(Voice Over Internet Protocol) 是一种以IP电话为主，并推出相应的增值业务的技术，也就是将原为模拟的声音讯号以“数据封包”的型式在IP数据网络上做实时传递。除了在多媒体呼叫中心中实现PC到电话的语音服务外，还可以实现分布式呼叫中心互连，实现资源共享，并实现数据和语音在全网范围内同步传送。VoIP的处理过程主要包括语音采样、压缩编码、打包分组、分配路由、存储交换、解包解压和语音还原等多个过程，它的工作方式与传统的模拟电话网完全不同。由于话音和传真在Internet上免费传输，所以点对点(网关---网关)国际或国内长途通讯是完全免费的。这样就得到了很多有此需要的企业的重视，同时也得到众多商家的重视。

    现代企业对VoIP的垂青使得VoIP的用户增长速度超过了其技术更新的速度，VoIP的普及速度正在加快，但许多人都忽视了VoIP在安全方面的隐患，这就成为了网络专家们一直十分头疼的问题，因为这样的一种情况往往就会造成产品成为网络黑客和攻击者的对象。目前人们对于防范针对与VoIP的攻击的意识十分薄弱，其技术也相对的薄弱，因此也没有一整套针对性地防范措施。随着网络电话(VoIP)的迅猛发展，其安全问题也日益严重，备受到业界的关注。因此，正式成立了以关注网络电话安全问题为主要工作的“VoIP安全联盟(VOIPSA)”，该联盟主要由电信和安全软件公司组成，目前已有22个成员，其中包括Avaya、Qwest、西门子和赛门铁克等知名企业。

    浅析VoIP安全问题

    VoIP的安全性问题日益突出，VoIP系统和其他数据应用一样也容易遭到攻击。在网络安全上，由最初的文件病毒、DDOS攻击，端口扫描，发展到现在的蠕虫病毒，木马，间谍软件，黑客入侵等。网络安全威胁已经由针对TCP/IP协议的漏洞的攻击转到利用TCP/IP数据包内容对操作系统和应用漏洞的攻击，传统的防火墙已经无能为力。随着VoIP的发展，传统防火墙其自身的特性对VoIP的部署是一个障碍，因为它丢弃所有从外到内未开放端口的连接请求，因此，网络安全设备必须能够支持VoIP协议。

    VoIP面临的安全问题主要有4个:拒绝服务(DoS)攻击、非法接入、话费诈欺和窃听等。而采用的攻击形势是多种多样的，拒绝服务攻击、病毒、蠕虫、特洛伊木马、数据包嗅探、垃圾邮件和网络钓鱼，还会遭到垃圾邮件的侵扰，而且网络钓鱼也容易得逞，只要假冒拨号人的身份信息，就可以伪装成某家合法机构的代表拨打VoIP电话。VoIP使语音通信面临与数据通信一样的安全威胁。

    VoIP基础设施需要添加专用交换机系统、网关、代理、注册和定位服务器以及拨打到IP骨干网的电话。每一个VoIP组件在数据网络上都像其他计算机一样是可寻址和可访问的。每一VoIP组件都包括一个运行软件的处理器和可能遭受攻击的TCP/IP堆栈。对数据通信的攻击可通过IP语音基础设施进行。针对脆弱的VoIP组件的DoS攻击会用虚假的语音通信拥塞网络，降低网络性能或中止语音和数据通信。此外，如果PC感染了截获LAN通信包的特洛伊木马病毒，基于PC的软电话就会非常容易遭到窃听。如果用户可以访问网络，并且拥有两种随手可得的免费工具TCPdump和呼叫偷听器（VOMIT），就能重新组装基于IP的语音会话，把它转换成标准的WAV语音文件。还有话费欺诈，其主要的做法是通过闯入语音网关，花别人的钱盗打国际长途电话。VoIP漏洞还可被利用来对DMZ（非军事区）中的服务器和主机发动bounce攻击。

    自己动手，提高VoIP系统的安全性

    就目前VoIP系统的安全性问题来看，可以划分为两个大类：一类是语音网络架构的安全，包括网络内用作IPPBX系统的服务器的安全。另一类是VoIP语音会话内容的安全。前者主要涉及VoIP运营商，而后者更多地针对VoIP用户。

    目前VoIP采用的标准主要有两种：H.323标准和SIP协议。而这二者是完全平行的，它们所要达到的目的都是构建IP电话网络，但使用的方法不同，因此它们是不可能互相兼容的，二者之间只是存在互通的问题。在中国，选择了H.323为VoIP体制的基础，直接采用H.248作为网关设备标准，而跨过了MGCP。事实上，H.323＋H.248是构建电信级VoIP的最快的策略。如果有统一的标准协议，在VoIP的管理与技术的衔接就会容易得多，在安全性问题上，就会少一些漏洞。同时还需要建立VoIP安全防范标准。

    在网络安全设备如防火墙等，应在设计上就考虑VoIP通讯问题，处理好VoIP通讯数据流，这样在网络中就能把好一道门槛，提高VoIP通讯安全。同时VoIP厂商也要不断对VoIP设备进行安全强化，推出高安全性能的产品。对于VoIP设备，应该比普通的计算机设备更加注重常见信息安全原则的实现，例如只提供必要的服务，关闭和屏蔽无用的端口等。

    停止使用不必要的协议，一些协议的未知漏洞经常会被利用，没有必要启用不必要和未用过的协议和服务，尽量降低黑客攻击的机会；由于VoIP基础设施中的每一组件都像任何计算机一样容易访问，因此都有可能遭受攻击，即便是电话和终端，所有VoIP系统都是在硬件基础上运行的软件系统，所以要确保VoIP操作系统可管理性；对远程操作进行认证VoIP终端可进行远程升级和管理，要确保仅使用基于IP地址的惟一用户名；最后所需要的是一个可管理服务的远程程序。

    采用目前流行的隔离语音与数据传输流的措施，使用可以检测VoIP协议的防火墙这样的安全产品，以及避免通过使用PC和耳机来实现VoIP的“软电话”，把IP电话机的IP地址绑定到其媒体访问控制（MAC）地址，从而可使网络免于受到病毒和其他恶意软件的攻击。采用用户认证技术及数据加密技术也是对提高安全性非常有用的措施。

    最后，还需要管理员将VoIP设施与其它计算机设施等同视之，注意跟踪相关的安全漏洞信息发布，及时为VoIP设备打好补丁，并为VoIP环境提供防火墙等安全防御设施的保护，维护好VoIP系统的稳定及安全。

    结束语

    VoIP技术为话音与数据信息流提供了一流的传输平台。建立于这一基础上的VoIP解决方案为企业及运营商在降低运营成本，提供灵活的新业务创新以及提高投资回报率等方面显示了良好的应用前景。虽然，以如今的技术及网络条件，VoIP还有许多网络构架技术的不足和安全隐患，但只要企业在使用过程中，做好安全预防和维护，就可以将安全威胁降到最低。

    运营商需要在不同的网络层次实施各种安全措施，如认证、加密、防火墙等。消除所有的安全威胁是不可能的，但可以采取一些措施，来尽量降低安全威胁系数，如：尽量降低网络暴露，以减少拒绝服务(DoS)攻击；对于信令协议篡改，可基于执行状态进行判决；加密VoIP流量可以防止VoIP呼叫受到监听，未来VoIP可以实现端到端的加密。在企业方面提高安全隐患意识，做好网络安全维护和管理。这些都能在很打成都上提高VoIP通讯的安全。

    随着IP技术的逐步发展，标准的最终统一化，网络运营商产品和市场的成熟，VoIP通讯安全将会逐步得到提高，VoIP系统的安全性问题也将会得到很好的解决。同时，我们还应该看到VoIP技术的优点及长处，相信在不久的将来，VoIP系统将会得到最为广泛的应用。