編者按:自從1999年開始部署VoIP商業服務以來,VoIP的使用迅速普及。全球市場包括中國已有相當大的一部分語音業務通過IP來傳送。VoIP給運營商、有線運營商、企業和消費者帶來的經濟性與移動性及靈活性,強勁地推動了這一業務的普及。因而VoIP的安全性與質量保證也日益成為人們關注的焦點。
VoIP的前景固然是美好的,但是想真正實現其目標所無法回避的一個問題就是安全。在VoIP應用規模相對較小的時期,安全方面的問題還沒有明顯暴露。但是當業務量達到與傳統電話相差無幾的時候,由于IP到末端,在以前被回避了的一些IP網絡的問題又涌現出來,如QoS、安全、用戶業務管理等。特別是安全問題,可以說是VoIP技術的致命傷。針對這種情況,AVAYA、賽門鐵克、西門子等業界重量級的業界廠商于近日專門成立了VoIP安全聯盟,以期為VoIP創造一個更加堅實的發展基礎。
那么,VoIP安全問題是如何產生的并且該如何解決呢?
由于VoIP基于可同時承載語音、數據和其它流量的統一網絡架構,顯著減少了用戶語音與數據通信服務開銷,提供傳統PBX系統無法比擬的諸多新型服務。但是,VoIP在融合了傳統PBX系統與數據網絡二者優勢的同時,也把二者的安全風險集于一身,除了會遭遇存在于傳統PBX系統中的非法搭線偵聽等安全風險外,還面臨著病毒、DoS(Denial-of-Service)拒絕服務攻擊等數據網絡常見的安全威脅。
就總體來看,可以將VoIP系統安全問題劃分為兩大類,一類是語音網絡架構的安全,包括網絡內用作IPPBX系統的服務器的安全。另一類是VoIP語音會話內容的安全。前者主要涉及VoIP運營商,而后者更多地針對VoIP用戶。
對于運營商來說除了傳統的安全威脅外,VoIP運營商面臨的安全威脅還包括眾多數據網絡遺傳下來的風險因素。比如除呼叫管理系統、IP電話交換機、路由器和語音網關等方面的傳統易受攻擊對象外,計算機網絡類軟件與設備還面臨著非法接入、特權升級和系統濫用、病毒和DoS攻擊等。而提供在線支付與服務規劃管理的運營商,則還會面臨賬戶與數據庫系統的安全問題。具體說來,VoIP的實現依賴于TCP/IP協議棧的運行,所以TCP/IP協議面臨的所有安全問題我們都無法回避。包括蠕蟲病毒、木馬程序、DoS攻擊,這些讓人頭痛的問題也注定要對VoIP應用環境造成困擾。這些方面的問題除了依賴廠商不斷對設備進行安全強化之外,還需要管理員將VoIP設施與其它計算機設施等同視之,注意跟蹤相關的安全漏洞信息發布,及時為VoIP設備打好補丁,并為VoIP環境提供防火墻等安全防御設施的保護。對于VoIP設備,應該比普通的計算機設備更加注重常見信息安全原則的實現,例如只提供必要的服務,關閉和屏蔽無用的端口等等。忽視這些原則將造成非常嚴重的安全危害。
而對于用戶來說,受到的安全威脅包括通過話費欺詐、盜取身份認證信息等手段獲取經濟利益,或者通過干擾或中斷用戶正常的VoIP語音通信服務進行惡作劇,另外由于IP電話實際上就是在計算機上運行VoIP應用,所以它還牽涉到諸如操作系統、協議等問題,會受到系統失誤、病毒攻擊等潛在的威脅。為了解決這些問題,一個最基本的方法就是對數據傳輸進行加密。一旦數據、話音等實施了加密之后,即使攻擊者突破層層限制獲取了這些數據,但他們也無法從中破解得到有用的東西。另外,也有人提出這樣的解決方案,那就是進行地址認證,我們應該對訪問VoIP服務的客戶端地址及登錄VoIP設備進行管理配置的遠程終端地址進行綁定,阻止來自不合法的IP地址訪問。這種方法也值得我們認真考慮。
許多涉及SIP呼叫信令、RTP語音信息傳遞和RTCP控制協議的安全漏洞既可以危及運營商,也可以危及VoIP用戶。與IP電話一樣,VoIP呼叫服務器也同樣能夠被非授權呼叫控制包實施Flood攻擊。攻擊者可以對VoIP運營商的基礎架構與Internet協議發起全面攻擊,諸如語音郵件等VoIP應用被攻擊后,可能會導致合法用戶無法發送語音郵件信息。面對種種棘手的問題,各方專家也提出許多解決之道,例如慎重選擇VoIP協議、停用不必要的協議、周密考慮VoIP組件遭遇攻擊的可能性、將VoIP與其它IP架構分而治之、對遠程操作進行認證等等。
京公網安備 11010502049343號