每個(gè)考慮部署VoIP電話系統(tǒng)的組織都聽(tīng)到過(guò)同樣可怕的警告:“在數(shù)據(jù)網(wǎng)絡(luò)上進(jìn)行路由語(yǔ)音呼叫會(huì)將呼叫內(nèi)容暴露給竊聽(tīng)者”。
盡管事實(shí)上,任何電話呼叫都承受著某種程度被竊聽(tīng)的風(fēng)險(xiǎn),但VoIP呼叫系統(tǒng)真的本身就具有高風(fēng)險(xiǎn)?在本文中我們會(huì)探索VoIP竊聽(tīng)的來(lái)龍去脈。
VoIP竊聽(tīng)是可能的
首先澄清一件事情十分重要:竊聽(tīng)VoIP呼叫絕對(duì)是可能的。同樣也可能竊聽(tīng)使用傳統(tǒng)PSTN(public switched telephone network,公共交換電話網(wǎng)絡(luò))的電話呼叫。兩者的差別僅在于進(jìn)行竊聽(tīng)所需的工具和技能集。
在傳統(tǒng)的電話網(wǎng)絡(luò)上,如果某人尋求竊聽(tīng)某個(gè)電話呼叫,通常至少在攻擊的發(fā)起階段必須物理上要么能訪問(wèn)電話、或是電話線纜。這種類型的攻擊是電影中的典型。無(wú)論是好人或壞人實(shí)施該竊聽(tīng),某人要么能接觸電話聽(tīng)筒、或是電話網(wǎng)絡(luò)接口箱,后者有時(shí)位于房子或辦公室的外面,然后在箱子上放置一個(gè)竊聽(tīng)的監(jiān)聽(tīng)設(shè)備,持續(xù)地監(jiān)控電話呼叫內(nèi)容。
可能的VoIP竊聽(tīng)通常遵循同樣的過(guò)程,但利用了不同的工具。第一個(gè)要求是能訪問(wèn)承載語(yǔ)音呼叫的媒介。這個(gè)可能通過(guò)入侵VoIP電話、運(yùn)行軟電話設(shè)備的工作站、或是VoIP網(wǎng)絡(luò)基礎(chǔ)架構(gòu)組件如網(wǎng)絡(luò)交換機(jī)或線纜來(lái)達(dá)到目的。下一步,攻擊者必須利用軟件工具來(lái)捕獲網(wǎng)絡(luò)上的流量。類似于在傳統(tǒng)竊聽(tīng)攻擊中的竊聽(tīng)設(shè)備,網(wǎng)絡(luò)嗅探工具例如開(kāi)源工具Wireshark能捕捉穿過(guò)網(wǎng)絡(luò)的所有數(shù)據(jù)報(bào)文,并且要么在線分析它們,或是寫(xiě)入到某個(gè)文件后離線分析。
最后,攻擊者需要搞清楚捕獲到的數(shù)據(jù)的意義。這需要能將數(shù)據(jù)報(bào)文轉(zhuǎn)換為語(yǔ)音通話的翻譯工具。同樣,線上有可用的免費(fèi)工具例如VOMIT和VoIPong,這些工具能幫助完成這個(gè)任務(wù)。
交換機(jī)安全至關(guān)重要
為減少像竊聽(tīng)這樣的VoIP風(fēng)險(xiǎn),網(wǎng)絡(luò)管理員能做的最重要的事情之一,就是為網(wǎng)絡(luò)交換機(jī)部署基本的安全控制。雖然終端安全很重要,但網(wǎng)絡(luò)交換機(jī)是流量聚合的地方。大范圍的竊聽(tīng)攻擊很可能是通過(guò)惡意地使用交換機(jī)的span端口,相對(duì)于來(lái)自單個(gè)終端的語(yǔ)音流量,該端口能鏡像穿過(guò)交換機(jī)的所有流量。
以下是一些交換機(jī)管理最佳實(shí)踐,能幫助保護(hù)這個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中重要的組件:
• 重要的是,確保交換機(jī)在物理上是安全地位于被鎖著的房間,并有適當(dāng)?shù)脑L問(wèn)控制。如果攻擊者能物理上訪問(wèn)到交換機(jī),那么已經(jīng)全盤(pán)皆輸了。
• 組織應(yīng)為管理交換機(jī)和其它關(guān)鍵的基礎(chǔ)設(shè)施設(shè)備使用分隔的網(wǎng)絡(luò)。對(duì)于攻擊者來(lái)說(shuō),他不應(yīng)該能夠通過(guò)訪問(wèn)一般目的的網(wǎng)絡(luò)來(lái)嘗試獲得對(duì)網(wǎng)絡(luò)設(shè)備管理端口的訪問(wèn)。
• 組織必須盡可能地經(jīng)常更新交換機(jī)固件,以便將廠商糾正的已知漏洞打上補(bǔ)丁。
當(dāng)然,比起這些基本的建議還有更多的事情可以做,從而確保交換機(jī)管理的安全。要想了解更多信息,請(qǐng)閱讀我們有關(guān)交換機(jī)安全的文章。
加密技術(shù)大大減輕VoIP風(fēng)險(xiǎn)
加密技術(shù)也是在VoIP安全軍火庫(kù)中能找到的強(qiáng)大武器。現(xiàn)在所有主要的VoIP提供商都提供加密的能力,該方法使用密碼學(xué)的技術(shù)來(lái)混淆發(fā)生在終端間的通信。即使設(shè)法使用網(wǎng)絡(luò)嗅探器攔截語(yǔ)音通信,但沒(méi)有對(duì)應(yīng)的解密密鑰,竊聽(tīng)者也無(wú)法解密所有經(jīng)過(guò)加密的呼叫內(nèi)容。
在部署VoIP加密技術(shù)前,確保先研究在你網(wǎng)絡(luò)上應(yīng)用該技術(shù)可能對(duì)網(wǎng)絡(luò)提供服務(wù)質(zhì)量造成的影響。加密要求大量的計(jì)算能力,并且如果沒(méi)有由廠商正確的實(shí)施,有可能會(huì)降低網(wǎng)絡(luò)上的呼叫語(yǔ)音質(zhì)量。也就是說(shuō),加密技術(shù)是企業(yè)應(yīng)該考慮部署的技術(shù),特別是對(duì)于那些可能承載著高敏感度信息的線路來(lái)說(shuō)。
如果組織決定使用加密技術(shù)做為網(wǎng)絡(luò)上的安全措施,不能忽視使用合理的加密密鑰管理實(shí)踐這個(gè)需要。如果竊聽(tīng)者能訪問(wèn)企業(yè)的加密密鑰,那他可以輕易地解密語(yǔ)音流量。
在我看來(lái),正確防護(hù)的VoIP環(huán)境不會(huì)比傳統(tǒng)的電話系統(tǒng)具有更多的風(fēng)險(xiǎn)。將牢固的網(wǎng)絡(luò)安全與正確部署的加密技術(shù)相結(jié)合,你可以安全地在組織中充分利用VoIP技術(shù)。
京公網(wǎng)安備 11010502049343號(hào)