VoIP安全很重要.docVIP

　　VoIP安全很重要|第1 内容显示中 用IP技术传送语音，其安全问题也相对复杂，既要关心时下正在困扰IP网络的病毒和黑客攻击，同时传统通信中的盗打和窃听问题依然存在。 　　红红火火的VoIP发展浪潮之中，用户和厂商考虑最多的是如何改善话音质量以及如何同现有数据网络的融合，很少考虑到VoIP的安全。有人不以为然地认为，“不就是在网络上打吗，安全问题有那么重要吗”。推敲一下，这个论点是站不住脚的。 　　防病毒与防攻击 　　既然VoIP设备是一种网络设备，那么这个设备的操作系统的安全情况将直接影响到整个VoIP系统的安全。由于VoIP使用通用的操作系统，并与普通的计算机一样，连接到局域网甚至是广域网上，IP PBX的安全性自然受到了更多的关注。并且，所有的IP PBX都使用IP堆栈，这使系统容易出现服务拒绝或被黑客侵袭的问题。很多IP PBX中还包括了在ISS（与 Windoanager去年感染了尼姆达病毒。这台Cisco IP PBX运行在目的驱动的基于Intel和WindoAC地址作一个绑定，使得即使账号被窃，也不能在其它地方拨出。 　　如今大多数VoIP厂商采用的SIP协议，在呼叫设置过程中可传输两种重要的信息，即被叫方号码和验证信息（如SIP用户名和密码）。多数VoIP厂商都假设SIP设备位于某种NAT路由器之后，并对其进行相应的优化配置，这就大大减少了终端用户需要进行的配置。VoIP厂商通常拥有许多不同的呼叫网关，它们可能位于不同位置，这是为了确保最大可用性和呼叫质量。利用VoIP进行呼叫时，呼叫设置信息可畅通无阻地进行传输，这使它具有了方便的可读性。但这同时意味着数据嗅探器（一种可记录网络上传输信息的软件）可以收集到许多关于呼叫设置的信息。近期Broadvox的用户就发现，其包含敏感配置文件的整个目录对任何Web浏览器都是开放的。 　　管理IP系统跟管理传统系统有所不同，尽管面临困难，但企业只要对VoIP设备加强管理，像对待个人隐私、信用卡信息一样作为重要机密，那么安全应该不是个大问题。有了网络管理员工具，就可以很容易地配置VoIP设备和分机。他们定期的改变密码，也在一定程度上加强了安全性。另外，VoIP设备还有防火墙的保护，减少了非法访问和盗用的可能。而它自带的访问检查功能使其自动记录访问者、访问操作及访问者的IP地址，也大大提高了系统的安全性。 　　防窃听 　　如今多数厂商都不对语音数据进行加密，这是基于实用性的考虑，因为加密要占用CUP。终端用户的SIP设备和软交换机必须对信息进行几乎是实时的加密和解密，并且不能影响呼叫质量。这个问题可以解决（SIP通常提供端到端加密），但是需要对硬件和基础设施进行投资。要截获呼叫设置或SIP呼叫过程中的语音数据，必须位于呼叫通过的位置，即在服务厂商或者SIP一端。由于连接可能改变流量路由，因此截获SIP呼叫只有几个可实施点，即在SIP客户端、代理前端或者在两个终端所使用的ISP上。 　　VoIP的隐私也是一个颇引人关注的安全话题。由于VoIP数据在数据网络上传输，对数据的侦听就有可能得到语音通信的内容。由于协议本身是开放的，即使是一小段的媒体流都可以被重放出来而不需要前后信息的关联。如果有人在数据网络上通过Sniffer的方式记录所有信息并通过软件加以重放，将严重影响到通信隐私。解决的办法是，首先把网络的结构调整为全交换到桌面的方式，而放弃使用集线器HUB，这样针对共享网络的sniffer侦听就无能为力了。另外，从协议的选择上。设备厂家可以选择H.323协议簇中的H.235(又称为H.Secure)来负责身份验证、数据完整性和媒体流加密。 　　OS漏洞和病毒攻击 　　各个设备厂家都会有独立的语音服务器来提供语音网关或IP话机的注册和控制功能。这些语音服务器有的采用Windows NT/2000的操作系统，也有的是基于Linux或VxWorks平台。而越是开放的操作系统，也就越容易受到病毒和恶意攻击的影响，同时也越容易暴露出系统的漏洞。操作系统漏洞能使黑客获取更高的权限，并利用漏洞在服务器上装载并执行任何应用程序， 　　而且某些设备在产品出厂前运行了一些不必要的服务和应用，也会造成语音服务器存在潜在的安全漏洞，受到网络病毒和黑客的影响。 　　端口扫描/拒绝服务攻击 　　IP 语音通信最常用的话音建立和控制信令是H.323和SIP协议，它们都是一套开放的协议体系。而目前互联网上存在大量的端口扫描工具，如X-Way之类的共享软件，任何一个潜在的内部黑客可以使用这些工具，获取IP 语音通信各个组成部分（语音服务器、语音网关、IP话机等）的详细的信息：IP地址、服务应用的TCP/UDP端口等。 　　DoS拒绝服务攻击是目前网络上的一种简单但很有效的破坏性攻击