摘要：隨著VoIP技術(shù)的廣泛應(yīng)用，它的安全也逐步引起了業(yè)界的關(guān)注。本文就VoIP的安全漏洞和防護(hù)進(jìn)行了有益的探討。

關(guān)鍵詞：VoIP；安全漏洞；防護(hù)措施

隨著數(shù)據(jù)網(wǎng)絡(luò)帶寬的不斷擴(kuò)展，百兆甚至千兆到桌面已經(jīng)成為可能。帶寬的提升也為在數(shù)據(jù)網(wǎng)絡(luò)上傳輸話音提供了有力的前提條件。無(wú)論對(duì)于新興的小型辦公企業(yè)利用新建的數(shù)據(jù)網(wǎng)絡(luò)的充裕帶寬來(lái)承載語(yǔ)音，還是對(duì)于行業(yè)用戶利用IP中繼進(jìn)行總部和分支節(jié)點(diǎn)間的互聯(lián)可以省去租用長(zhǎng)途電路中繼的高昂費(fèi)用。VoIP技術(shù)都將會(huì)有廣闊的應(yīng)用。

但是，在實(shí)施項(xiàng)目或者在使用過(guò)程中，用戶和設(shè)備供應(yīng)廠家更多的會(huì)將精力放在如何改善話音質(zhì)量和同現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)的融合上面，很少考慮到VoIP所存在的安全隱患。其實(shí)，在VoIP的情況下，話音也是和數(shù)據(jù)應(yīng)用一樣，也成為了一個(gè)個(gè)的“Packet”，同樣也將承受各種病毒和黑客攻擊的困擾。

究竟有那幾種因素會(huì)影響到VoIP呢？首先是產(chǎn)品本身的問(wèn)題。目前VoIP技術(shù)最常用的話音建立和控制信令是H.323和SIP協(xié)議。盡管它們之間有若干區(qū)別，但總體上都是一套開(kāi)放的協(xié)議體系。設(shè)備廠家都會(huì)有獨(dú)立的組件來(lái)承載包括IP終端登陸注冊(cè)、關(guān)守和信令接續(xù)。這些產(chǎn)品有的采用Windows NT的操作系統(tǒng)，也有的是基于Linux或VxWorks。越是開(kāi)放的操作系統(tǒng)，也就越容易受到病毒和惡意攻擊的影響。尤其是某些設(shè)備需要提供基于Web 的管理界面的時(shí)候，都會(huì)有機(jī)會(huì)采用Microsoft IIS或Apache來(lái)提供服務(wù)，而這些應(yīng)用都是在產(chǎn)品出廠的時(shí)候已經(jīng)安裝在設(shè)備當(dāng)中，無(wú)法保證是最新版本或是承諾已經(jīng)彌補(bǔ)了某些安全漏洞。

其次是基于開(kāi)放端口的DoS(拒絕服務(wù))攻擊。從網(wǎng)絡(luò)攻擊的方法和產(chǎn)生的破壞效果來(lái)看，DoS算是一種既簡(jiǎn)單又有效的攻擊方式。攻擊者向服務(wù)器發(fā)送相當(dāng)多數(shù)量的帶有虛假地址的服務(wù)請(qǐng)求，但因?yàn)樗幕貜?fù)地址是虛假的，服務(wù)器將等不到回傳的消息，直至所有的資源被耗盡。VoIP技術(shù)已經(jīng)有很多知名的端口，像1719、1720、5060等。還有一些端口是產(chǎn)品本身需要用于遠(yuǎn)端管理或是私有信息傳遞的用途，總之是要比普通的某個(gè)簡(jiǎn)單的數(shù)據(jù)應(yīng)用多。只要是攻擊者的PC和這些應(yīng)用端口在同一網(wǎng)段，就可以通過(guò)簡(jiǎn)單的掃描工具，如X-Way之類(lèi)的共享軟件來(lái)獲得更詳細(xì)的信息。最近報(bào)道的一個(gè)安全漏洞是由NISCC (UK National Infrastructure Security Co-ordi-nation Center)提出，測(cè)試結(jié)果表明：“市場(chǎng)上很多采用H.323協(xié)議的VoIP系統(tǒng)在H.245建立過(guò)程中都存在漏洞，容易在1720端口上受到DoS的攻擊，導(dǎo)致從而系統(tǒng)的不穩(wěn)定甚至癱瘓”。

再次就是服務(wù)竊取。通常在IP話機(jī)首次登陸到系統(tǒng)時(shí)，會(huì)要求提示輸入各人的分機(jī)號(hào)碼和密碼；很多采用了VoIP的企業(yè)為了方便員工遠(yuǎn)程/移動(dòng)辦公，都會(huì)在分配一個(gè)桌面電話的同時(shí)，再分配一個(gè)虛擬的IP電話，并授予密碼和撥號(hào)權(quán)限。這樣，即使員工出差或是在家辦公情況下，都可以利用VPN方式接入到公司的局域網(wǎng)中，然后運(yùn)行電腦中的IP軟件電話接聽(tīng)或撥打市話，如同在公司里辦公一樣。當(dāng)密碼流失之后，任何人都可以用自己的軟電話登陸成為別人的分機(jī)號(hào)碼；如果獲得的權(quán)限是可以自由撥打國(guó)內(nèi)甚至國(guó)際長(zhǎng)途號(hào)碼，將會(huì)給企業(yè)帶來(lái)巨大的損失且很難追查。

最后是媒體流的偵聽(tīng)問(wèn)題。當(dāng)企業(yè)用戶使用了數(shù)字話機(jī)之后，由于都是廠家私有的協(xié)議，很難通過(guò)簡(jiǎn)單的手段來(lái)偵聽(tīng)。但VoIP環(huán)境下，這個(gè)問(wèn)題又被提了出來(lái)。一個(gè)典型的VoIP呼叫需要信令和媒體流兩個(gè)建立的步驟，RTP/RTCP是在基于包的網(wǎng)絡(luò)上傳輸?shù)葧r(shí)話音信息的協(xié)議。由于協(xié)議本身是開(kāi)放的，即使是一小段的媒體流都可以被重放出來(lái)而不需要前后信息的關(guān)聯(lián)。如果有人在數(shù)據(jù)網(wǎng)絡(luò)上通過(guò)Sniffer的方式記錄所有信息并通過(guò)軟件加以重放，會(huì)引起員工對(duì)話音通信的信任危機(jī)。

VoIP技術(shù)跟隨著整個(gè)網(wǎng)絡(luò)市場(chǎng)的發(fā)展而發(fā)展，不同廠家和產(chǎn)品的同時(shí)存在導(dǎo)致一時(shí)無(wú)法提出一個(gè)統(tǒng)一的技術(shù)標(biāo)準(zhǔn)；VoIP的基礎(chǔ)還是IP網(wǎng)絡(luò)，開(kāi)放的體系構(gòu)架不可避免受到了來(lái)自網(wǎng)絡(luò)的負(fù)面影響。最大限度地保障VoIP的安全主要的方法有以下幾種：

（１）將用于話音和數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)進(jìn)行隔離

這里所說(shuō)的隔離并不是指物理上的隔離，而是建議將所有的IP話機(jī)放到一個(gè)獨(dú)立的VLAN當(dāng)中，同時(shí)限制無(wú)關(guān)的PC終端進(jìn)入該網(wǎng)段。通過(guò)很多評(píng)測(cè)者的反饋信息表明，劃分VLAN是目前保護(hù)IP話音系統(tǒng)最為簡(jiǎn)單有效的方法，可以隔離病毒和簡(jiǎn)單的攻擊。同時(shí)，配合數(shù)據(jù)網(wǎng)絡(luò)的QoS設(shè)定，還將有助于提高話音質(zhì)量。

（２）將VoIP作為一種應(yīng)用程序來(lái)看待

這也意味著我們需要采用一些適用于保護(hù)重要的應(yīng)用服務(wù)器之類(lèi)的手段，來(lái)保護(hù)VoIP設(shè)備中一些重要的端口和應(yīng)用，例如采用北電網(wǎng)絡(luò)Aleton交換防火墻就可以有效地抵御DoS的攻擊。同樣的辦法也適用于VoIP系統(tǒng)，當(dāng)兩個(gè)IP終端進(jìn)行通話時(shí)，一旦信令通過(guò)中心點(diǎn)的信令服務(wù)進(jìn)程建立之后，媒體流只存在于兩個(gè)終端之間；只有當(dāng)IP終端上發(fā)起的呼叫需要透過(guò)網(wǎng)關(guān)進(jìn)入PSTN公網(wǎng)時(shí)，才會(huì)占用媒體網(wǎng)關(guān)內(nèi)的DSP處理器資源。所以，我們需要對(duì)信令和媒體流兩類(lèi)對(duì)外的地址和端口進(jìn)行保護(hù)。同時(shí)，盡可能少的保留所需要的端口，例如基于Web方式的管理地址，并且盡可能多的關(guān)閉不需要的服務(wù)進(jìn)程。需要提醒的是 H.323/SIP在穿越NAT和防火墻的時(shí)候會(huì)遇到障礙，這是由于協(xié)議本身的原因造成的，但通過(guò)啟用“應(yīng)用層網(wǎng)關(guān)”(Application Layer Ga-teway簡(jiǎn)稱(chēng)ALG)之后，就可以解決這個(gè)問(wèn)題；隨著呼叫量的增長(zhǎng)，可以采用外置媒體流代理服務(wù)器(RTP Media Portal)的辦法來(lái)支持更大規(guī)模的VoIP系統(tǒng)。

（３）選擇合適的產(chǎn)品和解決方案

目前不同廠家的產(chǎn)品體系構(gòu)架不盡相同，操作平臺(tái)也各有偏愛(ài)。我們無(wú)法斷言哪種操作系統(tǒng)最為安全可靠，但廠家需要有相應(yīng)的技術(shù)保障來(lái)讓用戶相信各自的產(chǎn)品有能力抵御日益繁多的病毒侵襲。同時(shí)，很多廠家的產(chǎn)品也采用了管理網(wǎng)段和用戶的IP話音網(wǎng)段在物理上隔離的機(jī)制，盡可能少的將端口暴露在外網(wǎng)上。北電網(wǎng)絡(luò)推出的Succession 1000/1000M就采用了這些設(shè)計(jì)思路，將管理網(wǎng)段和用戶網(wǎng)段徹底在物理上隔離，并采用VxWorks操作系統(tǒng)，盡可能多的屏蔽外界對(duì)系統(tǒng)的影響。此外，VoIP的安全問(wèn)題和數(shù)據(jù)網(wǎng)絡(luò)的安全本質(zhì)上是緊密相關(guān)的，需要廠家提供的不僅僅是一套設(shè)備，更多的是如何幫助用戶在現(xiàn)有的網(wǎng)絡(luò)上提高安全和可靠性的思路和一些技巧。

(4)話音數(shù)據(jù)流的加密

目前H.323協(xié)議簇中有一成員-H.235(又稱(chēng)為H.Secure)是負(fù)責(zé)身份驗(yàn)證、數(shù)據(jù)完整性和媒體流加密的。更實(shí)際的情況是廠家會(huì)選用各自私有的協(xié)議來(lái)保證VoIP的安全性。但即使沒(méi)有H.235或其他的手段，想要偷聽(tīng)一個(gè)IP電話呼叫仍要比偷聽(tīng)一個(gè)普通電話要困難的多，因?yàn)槟阈枰幗獯a器算法和相應(yīng)的軟件。即使你獲得了軟件并且成功連接到公司的IP話音網(wǎng)段，仍然有可能一無(wú)所獲。因?yàn)槟壳昂芏嗥髽I(yè)內(nèi)部的數(shù)據(jù)網(wǎng)絡(luò)都采用以太網(wǎng)交換機(jī)的 10/100M端口到桌面而不是HUB，因而無(wú)法通過(guò)Sniffer的方式竊取信息。

(5)合理制定員工撥號(hào)權(quán)限

很多廠家已經(jīng)將傳統(tǒng)交換機(jī)的豐富功能移植到了VoIP系統(tǒng)，這些功能將有效地抑制竊取登陸密碼進(jìn)行盜打的現(xiàn)象。給IP電話設(shè)定能否撥打長(zhǎng)途或特定號(hào)碼的權(quán)限，或者是通過(guò)授權(quán)碼的方式要求撥打長(zhǎng)途號(hào)碼前必須輸入正確的若干位密碼等方式，可以簡(jiǎn)單的解決上述問(wèn)題。

IP網(wǎng)絡(luò)所存在的安全問(wèn)題一直以來(lái)受到大家的關(guān)注。而作為數(shù)據(jù)網(wǎng)絡(luò)上的一種新興的應(yīng)用，VoIP所面臨的一些安全隱患，實(shí)際是IP網(wǎng)絡(luò)上存在的若干問(wèn)題的延續(xù)。只有很好地解決了網(wǎng)絡(luò)的安全問(wèn)題，同時(shí)配合產(chǎn)品本身的一些安全認(rèn)證機(jī)制，基于VoIP的應(yīng)用才能夠在企業(yè)中持久穩(wěn)定的發(fā)揮作用，并成為解決企業(yè)話音通信需求的有效方法。

參考文獻(xiàn)

[1]WELCHD,LATHROP S. Wireless security threat taxonomy[A]//Proceedings of the 2003 IEEE Workshop on Information Assurance, Jun 18-20, 2003, West Point, NY, USA. Los Alamitos, CA, USA: IEEE Computer Society, 2007: 76-83.

[2]YANH,RRCCIATO F, LU S, et al. Securing a wireless world[J]. Proceedings of the IEEE, 2006, 94 (2): 442-454.

[3]王輝,胡平.網(wǎng)絡(luò)安全[J]. 小型微型計(jì)算機(jī)系統(tǒng), 2007, 24 (10): 1861-1864.

作者簡(jiǎn)介：王錫文 男 漢族 湖南常德人 1968年9月出生 碩士研究生，湖南商務(wù)職業(yè)技術(shù)學(xué)院講師。研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。