VoIP安全隐患不容忽视

    随着VoIP发展和应用范围的不断扩大，VoIP也吸引了黑客、网络钓鱼者和垃圾邮件者制造者等的更多注意力，与其他应用相比，VoIP也面临自己的挑战。2007年，很多攻击将重点放在VoIP终端上。操作系统、Internet协议、应用程序以及VoIP硬电话和运行软电话的管理界面容易受到非法接入、病毒与蠕虫和很多拒绝服务的攻击。这些攻击往往利用通用Internet协议以及VoIP协议本身进行。笔者非常赞成David Endler的说法，并归纳了一下：

    （1）目前VoIP的重要的安全问题是基于开放端口的DoS（拒绝服务）攻击。从网络攻击的方法和产生的破坏效果来看，DoS算是一种既简单又有效的攻击方式。任何一个潜在的内部黑客可以通过一些工具，获取VoIP各个组成部分（语音服务器、语音网关、IP话机等）的详细信息，如IP地址、服务应用的TCP/UDP端口等。从而对VoIP系统各个组成部分的拒绝服务（DoS）攻击，例如在SIP服务器中提交超量的假服务请求，这将造成这些设备上操作系统资源被消耗殆尽，这样服务器即不能接也不能听电话，造成服务拒绝现象，以致通信中断，无法正常提供IP电话服务。

    （2）其次是产品本身的问题。因为产品基本上采用如Windows NT或者Linux等开放性的标准操作系统，而越是开放的操作系统，其产品应用过程就越容易受到病毒和恶意攻击的影响。其次，目前VoIP技术最常用的话音建立和控制信令是H.323和SIP协议，这总体上也都是一套开放的协议体系。而且在大部分情况下，VoIP设施需要提供远程管理能力，其所依赖的服务和软件也同样可能存在安全漏洞。

    从原理上说，利用漏洞可以发起各种类型的攻击。比如一旦网关被黑客攻破，黑客可以通过窃取用户VoIP的登录密码获得IP话机的权限，IP电话不用经过认证就可随意拨打，未经保护的语音通话有可能遭到拦截和窃听，而且可以被随时截断。黑客还可以利用重定向攻击可以把语音邮件地址替换成自己指定的特定IP地址，为自己打开秘密通道和后门。日后，特洛伊木马、蠕虫和病毒也将同DHCP攻击和窃听一起更加流行。身份识别和加密、防火墙、会话边界控制产品、路由器和网关对于防御VoIP网络的入侵都是必不可少的。

    另外，将VoIP应用到无线网络，无疑会增加网络的不稳定因素，使得VoIP的可靠性进一步受到影响。各种电波干扰，频段限制、信号衰落以及其他各种因素，都会导致无线VoIP电话在通话过程中突然中断或受到干扰。无线VoIP连接的通话质量和性能与网络带宽、 QoS设置或设备（如手机或网络服务器）都有关系。

    然而，大家都知道，没有任何信息系统不存在安全问题，用户是否清楚地了解其安全弱点以及是否积极地努力规避安全问题更加重要。VoIP的安全功能，运营商需要在不同的网络层次实施各种安全措施，如认证、加密、防火墙等，这都迫使VoIP服务提供商们重新审视他们的技术重心。值得欣慰的是，目前的一些传输协议日趋完善，而且各公司已经开始意识到协议安全的重要性了。目前运营商和一些大型企业利用叫做SBC（会话边界控制器）的昂贵设备来处理NAT和开放端口问题。

    目前来自BorderWare、SecureLogix，甚至Check Point、Juniper和WatchGuard等主要防火墙和IPS厂商，也开始提供针对未来可能影响VoIP的应用层攻击的专门的VoIP防火墙和IPSec，我们未来将有更多的安全防线可选。虽然，消除所有的安全威胁是不可能的，但必须把这方面的安全作为整体安全策略的一部分来考虑。因为如今VoIP应用已成为IP网络的一部分，如果IP网络已经落实了良好的安全措施，整个网络安全系数越高，那么攻击者进行窃听、发动拒绝服务（DoS）攻击或者闯入VoIP系统中的操作系统或者应用系统的难度就会越大。