既要關(guān)心時下正在困擾IP網(wǎng)絡(luò)的病毒和黑客攻擊
　　同時傳統(tǒng)電話通信中的盜打和竊聽問題依然存在
　　紅紅火火的VoIP發(fā)展浪潮之中，用戶和廠商考慮最多的是如何改善話音質(zhì)量以及如何同現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)的融合，很少考慮到VoIP的安全。有人不以為然地認(rèn)為，“不就是在網(wǎng)絡(luò)上打電話嗎，安全問題有那么重要嗎”。推敲一下，這個論點是站不住腳的。
　　防病毒與防攻擊
　　既然VoIP設(shè)備是一種網(wǎng)絡(luò)設(shè)備，那么這個設(shè)備的操作系統(tǒng)的安全情況將直接影響到整個VoIP系統(tǒng)的安全。由于VoIP使用通用的操作系統(tǒng)，并與普通的計算機一樣，連接到局域網(wǎng)甚至是廣域網(wǎng)上，IP PBX的安全性自然受到了更多的關(guān)注。并且，所有的IP PBX都使用IP堆棧，這使系統(tǒng)容易出現(xiàn)服務(wù)拒絕或被黑客侵襲的問題。很多IP PBX中還包括了在ISS（與 Windows NT Server集成的Web服務(wù)器）和Apache Web服務(wù)器平臺上的基于網(wǎng)絡(luò)的用戶-管理員工具或圖形工具，而這兩種平臺本身就因為安全漏洞和故障問題而經(jīng)常要修修補補。
　　目前VoIP技術(shù)采用的協(xié)議是， H.323和SIP協(xié)議，盡管它們之間有若干區(qū)別，但都是開放的協(xié)議體系，起到話音建立和控制信令的重要作用。廠商提供的VoIP設(shè)備，無論是IP PBX還是VoIP關(guān)守等設(shè)備，實現(xiàn)這些協(xié)議的平臺或者采用Windows 2000操作系統(tǒng)，或者采用Linux系統(tǒng)，這兩種操作系統(tǒng)都是開放的操作系統(tǒng)，有著不同的漏洞和補丁需要完善，但是這些設(shè)備又不像一般的單個計算機或者服務(wù)器那樣可以直接人為或者從Internet上下載新的補丁。VoIP的設(shè)備一般都放置在機房內(nèi)獨立運行，不需要人為干預(yù)。但是這些設(shè)備出廠的時候，如果沒有打上最新的補丁，就需要網(wǎng)絡(luò)管理維護(hù)部門不斷跟蹤最新的安全信息或者和設(shè)備廠商保持聯(lián)系，通過更新軟件的方式為這些骨干設(shè)備升級操作系統(tǒng)，避免遭到黑客的襲擊。因為在網(wǎng)絡(luò)上的黑客看來，VoIP設(shè)備對于它來說也就是一臺運行Windows或Linux的計算機，如果沒有安全補丁，那么一些在網(wǎng)絡(luò)流行的最新漏洞攻擊工具就可以讓VoIP立即成了啞巴。
　　Cicso的高級技術(shù)分析專家透露，由于沒有及時防范最新病毒，他們的一個演示系統(tǒng)的Call Manager去年感染了尼姆達(dá)病毒。這臺Cisco IP PBX運行在目的驅(qū)動的基于Intel和Windows的服務(wù)器，當(dāng)時只用于內(nèi)部IT部門的測試。這次事故盡管沒有給公司運營帶來影響，但卻給公司敲響了警鐘。從此以后，Cisco不但定期對這個系統(tǒng)進(jìn)行維護(hù)，而且不斷對其進(jìn)行更新和監(jiān)控。這個系統(tǒng)已加入運營，至今仍在正常工作。
　　另外的一個安全問題就是要設(shè)置好防火墻，預(yù)防拒絕服務(wù)攻擊（DoS）。攻擊者向服務(wù)器發(fā)送相當(dāng)多數(shù)量的帶有虛假地址的服務(wù)請求，但因為所包含的回復(fù)地址是虛假的，服務(wù)器將等不到回傳的消息，直至所有的資源被耗盡。VoIP技術(shù)已經(jīng)有很多知名的端口，像1719、1720、5060等。還有一些端口是產(chǎn)品本身需要用于遠(yuǎn)端管理或是私有信息傳遞的用途，總之是要比普通的某個簡單的數(shù)據(jù)應(yīng)用多。有些管理員在設(shè)置防火墻的時候，為了圖簡便，把所有的端口都打開了，以防無意中封掉有用的端口影響VoIP通信。這樣就把整個設(shè)備暴露在網(wǎng)絡(luò)上，不用的那些端口很容易遭到拒絕服務(wù)攻擊。
　　防盜打
　　防止IP電話被盜打是VoIP時代的一個新問題，在以前的傳統(tǒng)電話中，需要預(yù)防搭線這樣的盜打方式。雖然IP話機沒辦法通過搭線的方式來打電話，但通過竊取使用者IP電話的登錄密碼同樣能夠獲得話機的權(quán)限。通常在IP話機首次登錄到系統(tǒng)時，會要求提示輸入各人的分機號碼和密碼；當(dāng)密碼流失之后，任何人都可以用自己的軟電話登錄成為別人的分機號碼。要避免IP電話被盜打，就需要保護(hù)好自己的用戶名和密碼。這個要求是和用戶保護(hù)好自己其他的賬戶是一樣的，在客戶端需要防止木馬以及其他一些盜號病毒的入侵。對于企業(yè)來說，最后是能把賬號（也就是虛擬電話號碼）和IP地址甚至MAC地址作一個綁定，使得即使賬號被竊，也不能在其它地方撥出電話。
　　如今大多數(shù)VoIP廠商采用的SIP協(xié)議，在呼叫設(shè)置過程中可傳輸兩種重要的信息，即被叫方電話號碼和驗證信息（如SIP用戶名和密碼）。多數(shù)VoIP廠商都假設(shè)SIP設(shè)備位于某種NAT路由器之后，并對其進(jìn)行相應(yīng)的優(yōu)化配置，這就大大減少了終端用戶需要進(jìn)行的配置。VoIP廠商通常擁有許多不同的呼叫網(wǎng)關(guān)，它們可能位于不同位置，這是為了確保最大可用性和呼叫質(zhì)量。利用VoIP進(jìn)行呼叫時，呼叫設(shè)置信息可暢通無阻地進(jìn)行傳輸，這使它具有了方便的可讀性。但這同時意味著數(shù)據(jù)嗅探器（一種可記錄網(wǎng)絡(luò)上傳輸信息的軟件）可以收集到許多關(guān)于呼叫設(shè)置的信息。近期Broadvox的用戶就發(fā)現(xiàn)，其包含敏感配置文件的整個目錄對任何Web瀏覽器都是開放的。
　　管理IP電話系統(tǒng)跟管理傳統(tǒng)電話系統(tǒng)有所不同，盡管面臨困難，但企業(yè)只要對VoIP設(shè)備加強管理，像對待個人隱私、信用卡信息一樣作為重要機密，那么安全應(yīng)該不是個大問題。有了網(wǎng)絡(luò)管理員工具，就可以很容易地配置VoIP設(shè)備和電話分機。他們定期的改變密碼，也在一定程度上加強了安全性。另外，VoIP設(shè)備還有防火墻的保護(hù)，減少了非法訪問和盜用的可能。而它自帶的訪問檢查功能使其自動記錄訪問者、訪問操作及訪問者的IP地址，也大大提高了系統(tǒng)的安全性。
　　防竊聽
　　如今多數(shù)廠商都不對語音數(shù)據(jù)進(jìn)行加密，這是基于實用性的考慮，因為加密要占用CUP。終端用戶的SIP設(shè)備和軟交換機必須對信息進(jìn)行幾乎是實時的加密和解密，并且不能影響呼叫質(zhì)量。這個問題可以解決（SIP通常提供端到端加密），但是需要對硬件和基礎(chǔ)設(shè)施進(jìn)行投資。要截獲呼叫設(shè)置或SIP呼叫過程中的語音數(shù)據(jù)，必須位于呼叫通過的位置，即在電話服務(wù)廠商或者SIP一端。由于連接可能改變流量路由，因此截獲SIP呼叫只有幾個可實施點，即在SIP客戶端、代理前端或者在兩個終端所使用的ISP上。
　　VoIP電話的隱私也是一個頗引人關(guān)注的安全話題。由于VoIP數(shù)據(jù)在數(shù)據(jù)網(wǎng)絡(luò)上傳輸，對數(shù)據(jù)的偵聽就有可能得到語音通信的內(nèi)容。由于協(xié)議本身是開放的，即使是一小段的媒體流都可以被重放出來而不需要前后信息的關(guān)聯(lián)。如果有人在數(shù)據(jù)網(wǎng)絡(luò)上通過Sniffer的方式記錄所有信息并通過軟件加以重放，將嚴(yán)重影響到通信隱私。解決的辦法是，首先把網(wǎng)絡(luò)的結(jié)構(gòu)調(diào)整為全交換到桌面的方式，而放棄使用集線器HUB，這樣針對共享網(wǎng)絡(luò)的sniffer偵聽就無能為力了。另外，從協(xié)議的選擇上。設(shè)備廠家可以選擇H.323協(xié)議簇中的H.235(又稱為H.Secure)來負(fù)責(zé)身份驗證、數(shù)據(jù)完整性和媒體流加密。
　　OS漏洞和病毒攻擊
　　各個設(shè)備廠家都會有獨立的語音服務(wù)器來提供語音網(wǎng)關(guān)或IP話機的注冊和控制功能。這些語音服務(wù)器有的采用Windows NT/2000的操作系統(tǒng)，也有的是基于Linux或VxWorks平臺。而越是開放的操作系統(tǒng)，也就越容易受到病毒和惡意攻擊的影響，同時也越容易暴露出系統(tǒng)的漏洞。操作系統(tǒng)漏洞能使黑客獲取更高的權(quán)限，并利用漏洞在服務(wù)器上裝載并執(zhí)行任何應(yīng)用程序，
　　而且某些設(shè)備在產(chǎn)品出廠前運行了一些不必要的服務(wù)和應(yīng)用，也會造成語音服務(wù)器存在潛在的安全漏洞，受到網(wǎng)絡(luò)病毒和黑客的影響。（陳蔚）
　　端口掃描/拒絕服務(wù)攻擊
　　IP 語音通信最常用的話音建立和控制信令是H.323和SIP協(xié)議，它們都是一套開放的協(xié)議體系。而目前互聯(lián)網(wǎng)上存在大量的端口掃描工具，如X-Way之類的共享軟件，任何一個潛在的內(nèi)部黑客可以使用這些工具，獲取IP 語音通信各個組成部分（語音服務(wù)器、語音網(wǎng)關(guān)、IP話機等）的詳細(xì)的信息：IP地址、服務(wù)應(yīng)用的TCP/UDP端口等。
　　DoS拒絕服務(wù)攻擊是目前網(wǎng)絡(luò)上的一種簡單但很有效的破壞性攻擊手段，將造成計算機或網(wǎng)絡(luò)無法提供正常服務(wù)。對IP 語音通信系統(tǒng)各個組成部分的DoS攻擊，將造成這些設(shè)備上操作系統(tǒng)資源被消耗殆盡。
　　話費欺詐
　　雖然IP話機沒辦法通過并線的方式來打電話，但通過IP網(wǎng)絡(luò)管理的漏洞或者是通過Sniffer等軟件竊取IP 語音通信系統(tǒng)管理的密碼或IP話機的登錄密碼，同樣會使非法用戶獲取相應(yīng)的語音功能和權(quán)限。
　　很多采用了IP 語音通信的企業(yè)為了方便員工遠(yuǎn)程/移動辦公，允許員工出差或是在家辦公時，利用VPN方式接入到公司的局域網(wǎng)中，然后運行電腦中的IP軟件電話輸入相關(guān)密碼以后登錄IP語音系統(tǒng)，獲得接聽或撥打電話的權(quán)限。這樣存在相應(yīng)的安全問題就是，非法用戶可以竊取了VPN密碼和IP電話密碼。

　　傳統(tǒng)語音交換機上的模擬話機存在并線竊聽的問題，而IP 語音通信平臺同樣存在通過對IP電話之間的RTP語音流竊取并重放的問題。一個典型的IP呼叫需要信令和媒體流兩個建立的步驟，一旦IP語音設(shè)備之間通過控制信令建立起相應(yīng)聯(lián)系以后，將通過實時信息傳輸協(xié)議（RTP） 將語音打包后在IP網(wǎng)絡(luò)上傳輸，由于協(xié)議本身的開放性，即使是一小段的RTP媒體流都可以被重放出來而不需要前后或者其它信息的關(guān)聯(lián)。非法用戶可以在數(shù)據(jù)網(wǎng)絡(luò)上通過Sniffer的方式記錄IP語音包并通過相應(yīng)軟件加以重放實施竊聽。

賽迪網(wǎng) 中國信息化(industry.ccidnet.com)