如何解决VoIP安全问题

2016-09-05 root

自从1999年开始部署VoIP商业服务以来,VoIP的使用迅速普及。市场包括中国已有相当大的一部分语音业务通过IP来传送。VoIP给运营商、有线运营商、企业和消费者带来的经济性与移动性及灵活性,强劲地推动了这一业务的普及。因而VoIP的安全性与质量保证也日益成为人们关注的焦点。

    VoIP的前景固然是美好的,但是想真正实现其目标所无法回避的一个问题就是安全。在VoIP应用规模相对较小的时期,安全方面的问题还没有明显暴露。但是当业务量达到与传统电话相差无几的时候,由于IP到末端,在以前被回避了的一些IP网络的问题又涌现出来,如QoS、安全、用户业务管理等。特别是安全问题,可以说是VoIP技术的致命伤。针对这种情况,AVAYA、赛门铁克、西门子等业界重量级的业界厂商于近日专门成立了VoIP安全联盟,以期为VoIP创造一个更加坚实的发展基础。

    那么,VoIP安全问题是如何产生的并且该如何解决呢?

    由于VoIP基于可同时承载语音、数据和其它流量的统一网络架构,显著减少了用户语音与数据通信服务开销,提供传统PBX系统无法比拟的诸多新型服务。但是,VoIP在融合了传统PBX系统与数据网络二者优势的同时,也把二者的安全风险集于一身,除了会遭遇存在于传统PBX系统中的非法搭线侦听等安全风险外,还面临着病毒、DoS(Denial-of-Service)拒绝服务攻击等数据网络常见的安全威胁。

    就总体来看,可以将VoIP系统安全问题划分为两大类,一类是语音网络架构的安全,包括网络内用作IPPBX系统的服务器的安全。另一类是VoIP语音会话内容的安全。前者主要涉及VoIP运营商,而后者更多地针对VoIP用户。

    对于运营商来说除了传统的安全威胁外,VoIP运营商面临的安全威胁还包括众多数据网络遗传下来的风险因素。比如除呼叫管理系统、IP电话交换机、路由器和语音网关等方面的传统易受攻击对象外,计算机网络类软件与设备还面临着非法接入、特权升级和系统滥用、病毒和DoS攻击等。而提供在线支付与服务规划管理的运营商,则还会面临账户与数据库系统的安全问题。具体说来,VoIP的实现依赖于TCP/IP协议栈的运行,所以TCP/IP协议面临的所有安全问题我们都无法回避。包括蠕虫病毒、木马程序、DoS攻击,这些让人头痛的问题也注定要对VoIP应用环境造成困扰。这些方面的问题除了依赖厂商不断对设备进行安全强化之外,还需要管理员将VoIP设施与其它计算机设施等同视之,注意跟踪相关的安全漏洞信息发布,及时为VoIP设备打好补丁,并为VoIP环境提供防火墙等安全防御设施的保护。对于VoIP设备,应该比普通的计算机设备更加注重常见信息安全原则的实现,例如只提供必要的服务,关闭和屏蔽无用的端口等等。忽视这些原则将造成非常严重的安全危害。

    而对于用户来说,受到的安全威胁包括通过话费欺诈、盗取身份认证信息等手段获取经济利益,或者通过干扰或中断用户正常的VoIP语音通信服务进行恶作剧,另外由于IP电话实际上就是在计算机上运行VoIP应用,所以它还牵涉到诸如操作系统、协议等问题,会受到系统失误、病毒攻击等潜在的威胁。为了解决这些问题,一个*基本的方法就是对数据传输进行加密。一旦数据、话音等实施了加密之后,即使攻击者突破层层限制获取了这些数据,但他们也无法从中破解得到有用的东西。另外,也有人提出这样的解决方案,那就是进行地址认证,我们应该对访问VoIP服务的客户端地址及登录VoIP设备进行管理配置的远程终端地址进行绑定,阻止来自不合法的IP地址访问。这种方法也值得我们认真考虑。

    许多涉及SIP呼叫信令、RTP语音信息传递和RTCP控制协议的安全漏洞既可以危及运营商,也可以危及VoIP用户。与IP电话一样,VoIP呼叫服务器也同样能够被非授权呼叫控制包实施Flood攻击。攻击者可以对VoIP运营商的基础架构与Internet协议发起全面攻击,诸如语音邮件等VoIP应用被攻击后,可能会导致合法用户无法发送语音邮件信息。面对种种棘手的问题,各方专家也提出许多解决之道,例如慎重选择VoIP协议、停用不必要的协议、周密考虑VoIP组件遭遇攻击的可能性、将VoIP与其它IP架构分而治之、对远程操作进行认证等等。