《企業網D1Net》1月9日訊
在通信領域,隨著VoIP應用的廣泛,VoIP在應用過程中遇到的問題也逐漸暴露出來。每個考慮部署VoIP電話系統的組織都聽到過同樣可怕的警告:“在數據網絡上進行路由語音呼叫會將呼叫內容暴露給竊聽者”。
盡管事實上,任何電話呼叫都承受著某種程度被竊聽的風險,但VoIP呼叫系統真的本身就具有高風險?在本文中我們會探索VoIP竊聽的來龍去脈。
VoIP竊聽是可能的
首先澄清一件事情十分重要:竊聽VoIP呼叫絕對是可能的。同樣也可能竊聽使用傳統PSTN(public switched telephone network,公共交換電話網絡)的電話呼叫。兩者的差別僅在于進行竊聽所需的工具和技能集。
在傳統的電話網絡上,如果某人尋求竊聽某個電話呼叫,通常至少在攻擊的發起階段必須物理上要么能訪問電話、或是電話線纜。這種類型的攻擊是電影中的典型。無論是好人或壞人實施該竊聽,某人要么能接觸電話聽筒、或是電話網絡接口箱,后者有時位于房子或辦公室的外面,然后在箱子上放置一個竊聽的監聽設備,持續地監控電話呼叫內容。
可能的VoIP竊聽通常遵循同樣的過程,但利用了不同的工具。第一個要求是能訪問承載語音呼叫的媒介。這個可能通過入侵VoIP電話、運行軟電話設備的工作站、或是VoIP網絡基礎架構組件如網絡交換機或線纜來達到目的。下一步,攻擊者必須利用軟件工具來捕獲網絡上的流量。類似于在傳統竊聽攻擊中的竊聽設備,網絡嗅探工具例如開源工具Wireshark能捕捉穿過網絡的所有數據報文,并且要么在線分析它們,或是寫入到某個文件后離線分析。
最后,攻擊者需要搞清楚捕獲到的數據的意義。這需要能將數據報文轉換為語音通話的翻譯工具。同樣,線上有可用的免費工具例如VOMIT和VoIPong,這些工具能幫助完成這個任務。
交換機安全至關重要
為減少像竊聽這樣的VoIP風險,網絡管理員能做的最重要的事情之一,就是為網絡交換機部署基本的安全控制。雖然終端安全很重要,但網絡交換機是流量聚合的地方。大范圍的竊聽攻擊很可能是通過惡意地使用交換機的span端口,相對于來自單個終端的語音流量,該端口能鏡像穿過交換機的所有流量。
以下是一些交換機管理最佳實踐,能幫助保護這個網絡基礎設施中重要的組件:
· 重要的是,確保交換機在物理上是安全地位于被鎖著的房間,并有適當的訪問控制。如果攻擊者能物理上訪問到交換機,那么已經全盤皆輸了。
· 組織應為管理交換機和其它關鍵的基礎設施設備使用分隔的網絡。對于攻擊者來說,他不應該能夠通過訪問一般目的的網絡來嘗試獲得對網絡設備管理端口的訪問。
· 組織必須盡可能地經常更新交換機固件,以便將廠商糾正的已知漏洞打上補丁。
當然,比起這些基本的建議還有更多的事情可以做,從而確保交換機管理的安全。要想了解更多信息,請閱讀我們有關交換機安全的文章。
加密技術大大減輕VoIP風險
加密技術也是在VoIP安全軍火庫中能找到的強大武器。現在所有主要的VoIP提供商都提供加密的能力,該方法使用密碼學的技術來混淆發生在終端間的通信。即使設法使用網絡嗅探器攔截語音通信,但沒有對應的解密密鑰,竊聽者也無法解密所有經過加密的呼叫內容。
在部署VoIP加密技術前,確保先研究在你網絡上應用該技術可能對網絡提供服務質量造成的影響。加密要求大量的計算能力,并且如果沒有由廠商正確的實施,有可能會降低網絡上的呼叫語音質量。也就是說,加密技術是企業應該考慮部署的技術,特別是對于那些可能承載著高敏感度信息的線路來說。
如果組織決定使用加密技術做為網絡上的安全措施,不能忽視使用合理的加密密鑰管理實踐這個需要。如果竊聽者能訪問企業的加密密鑰,那他可以輕易地解密語音流量。
D1Net評論:
VoIP應用中的“竊聽風云”問題必須徹底解決,否則會影響VoIP的應用效果,正確防護的VoIP環境不會比傳統的電話系統具有更多的風險。將牢固的網絡安全與正確部署的加密技術相結合,可以安全地在組織中充分利用VoIP技術。
京公網安備 11010502049343號