每個考慮部署VoIP電話系統(tǒng)的組織都聽到過同樣可怕的警告:“在數(shù)據(jù)網(wǎng)絡(luò)上進(jìn)行路由語音呼叫會將呼叫內(nèi)容暴露給竊聽者”。
盡管事實上,任何電話呼叫都承受著某種程度被竊聽的風(fēng)險,但VoIP呼叫系統(tǒng)真的本身就具有高風(fēng)險?在本文中我們會探索VoIP竊聽的來龍去脈。
VoIP竊聽是可能的
首先澄清一件事情十分重要:竊聽VoIP呼叫絕對是可能的。同樣也可能竊聽使用傳統(tǒng)PSTN(publicswitchedtelephonenetwork,公共交換電話網(wǎng)絡(luò))的電話呼叫。兩者的差別僅在于進(jìn)行竊聽所需的工具和技能集。
在傳統(tǒng)的電話網(wǎng)絡(luò)上,如果某人尋求竊聽某個電話呼叫,通常至少在攻擊的發(fā)起階段必須物理上要么能訪問電話、或是電話線纜。這種類型的攻擊是電影中的典型。無論是好人或壞人實施該竊聽,某人要么能接觸電話聽筒、或是電話網(wǎng)絡(luò)接口箱,后者有時位于房子或辦公室的外面,然后在箱子上放置一個竊聽的監(jiān)聽設(shè)備,持續(xù)地監(jiān)控電話呼叫內(nèi)容。
可能的VoIP竊聽通常遵循同樣的過程,但利用了不同的工具。第一個要求是能訪問承載語音呼叫的媒介。這個可能通過入侵VoIP電話、運(yùn)行軟電話設(shè)備的工作站、或是VoIP網(wǎng)絡(luò)基礎(chǔ)架構(gòu)組件如網(wǎng)絡(luò)交換機(jī)或線纜來達(dá)到目的。下一步,攻擊者必須利用軟件工具來捕獲網(wǎng)絡(luò)上的流量。類似于在傳統(tǒng)竊聽攻擊中的竊聽設(shè)備,網(wǎng)絡(luò)嗅探工具例如開源工具Wireshark能捕捉穿過網(wǎng)絡(luò)的所有數(shù)據(jù)報文,并且要么在線分析它們,或是寫入到某個文件后離線分析。
最后,攻擊者需要搞清楚捕獲到的數(shù)據(jù)的意義。這需要能將數(shù)據(jù)報文轉(zhuǎn)換為語音通話的翻譯工具。同樣,線上有可用的免費工具例如VOMIT和VoIPong,這些工具能幫助完成這個任務(wù)。
交換機(jī)安全至關(guān)重要
為減少像竊聽這樣的VoIP風(fēng)險,網(wǎng)絡(luò)管理員能做的最重要的事情之一,就是為網(wǎng)絡(luò)交換機(jī)部署基本的安全控制。雖然終端安全很重要,但網(wǎng)絡(luò)交換機(jī)是流量聚合的地方。大范圍的竊聽攻擊很可能是通過惡意地使用交換機(jī)的span端口,相對于來自單個終端的語音流量,該端口能鏡像穿過交換機(jī)的所有流量。
以下是一些交換機(jī)管理最佳實踐,能幫助保護(hù)這個網(wǎng)絡(luò)基礎(chǔ)設(shè)施中重要的組件:
重要的是,確保交換機(jī)在物理上是安全地位于被鎖著的房間,并有適當(dāng)?shù)脑L問控制。如果攻擊者能物理上訪問到交換機(jī),那么已經(jīng)全盤皆輸了。
組織應(yīng)為管理交換機(jī)和其它關(guān)鍵的基礎(chǔ)設(shè)施設(shè)備使用分隔的網(wǎng)絡(luò)。對于攻擊者來說,他不應(yīng)該能夠通過訪問一般目的的網(wǎng)絡(luò)來嘗試獲得對網(wǎng)絡(luò)設(shè)備管理端口的訪問。
組織必須盡可能地經(jīng)常更新交換機(jī)固件,以便將廠商糾正的已知漏洞打上補(bǔ)丁。
當(dāng)然,比起這些基本的建議還有更多的事情可以做,從而確保交換機(jī)管理的安全。要想了解更多信息,請閱讀我們有關(guān)交換機(jī)安全的文章。
加密技術(shù)大大減輕VoIP風(fēng)險
加密技術(shù)也是在VoIP安全軍火庫中能找到的強(qiáng)大武器。現(xiàn)在所有主要的VoIP提供商都提供加密的能力,該方法使用密碼學(xué)的技術(shù)來混淆發(fā)生在終端間的通信。即使設(shè)法使用網(wǎng)絡(luò)嗅探器攔截語音通信,但沒有對應(yīng)的解密密鑰,竊聽者也無法解密所有經(jīng)過加密的呼叫內(nèi)容。
在部署VoIP加密技術(shù)前,確保先研究在你網(wǎng)絡(luò)上應(yīng)用該技術(shù)可能對網(wǎng)絡(luò)提供服務(wù)質(zhì)量造成的影響。加密要求大量的計算能力,并且如果沒有由廠商正確的實施,有可能會降低網(wǎng)絡(luò)上的呼叫語音質(zhì)量。也就是說,加密技術(shù)是企業(yè)應(yīng)該考慮部署的技術(shù),特別是對于那些可能承載著高敏感度信息的線路來說。
如果組織決定使用加密技術(shù)做為網(wǎng)絡(luò)上的安全措施,不能忽視使用合理的加密密鑰管理實踐這個需要。如果竊聽者能訪問企業(yè)的加密密鑰,那他可以輕易地解密語音流量。
結(jié)論
正確防護(hù)的VoIP環(huán)境不會比傳統(tǒng)的電話系統(tǒng)具有更多的風(fēng)險。將牢固的網(wǎng)絡(luò)安全與正確部署的加密技術(shù)相結(jié)合,你可以安全地在組織中充分利用VoIP技術(shù)。
京公網(wǎng)安備 11010502049343號