究竟有那幾種因素會影響到VoIP呢?首先是產品本身的問題。目前VoIP技術最常用的話音建立和控制信令是H.323和SIP協議。儘管它們之間有若干區別,但總體上都是一套開放的協議體系。設備廠家都會有獨立的組件來承載包括IP終端登陸註冊、關守和信令接續。這些產品有的採用Windows NT的操作系統,也有的是基於Linux或VxWorks。越是開放的操作系統,也就越容易受到病毒和惡意***的影響。尤其是某些設備需要提供基於Web的管理界面的時候,都會有機會採用Microsoft IIS或Apache來提供服務,而這些應用都是在產品出廠的時候已經安裝在設備當中,無法保證是最新版本或是承諾已經彌補了某些安全漏洞。
其次是基於開放端口的DoS(拒絕服務)***。從網絡***的方法和產生的破壞效果來看,DoS算是一種既簡單又有效的***方式。***者向服務器發送相當多數量的帶有虛假地址的服務請求,但因爲所包含的回覆地址是虛假的,服務器將等不到回傳的消息,直至所有的資源被耗盡。VoIP技術已經有很多知名的端口,像1719、1720、5060等。還有一些端口是產品本身需要用於遠端管理或是私有信息傳遞的用途,總之是要比普通的某個簡單的數據應用多。只要是***者的PC和這些應用端口在同一網段,就可以通過簡單的掃描工具,如X-Way之類的共享軟件來獲得更詳細的信息。
最近報道的一個安全漏洞是由NISCC(UK National Infrastructure Security Co-ordi-nation Center)提出,測試結果表明:“市場上很多采用H.323協議的VoIP系統在H.245建立過程中都存在漏洞,容易在1720端口上受到DoS的***,導致從而系統的不穩定甚至癱瘓”。
再次就是服務竊取,這個問題在模擬話機的情況下同樣存在。如同我們在一根普通模擬話機線上又並接了多個電話一樣,將會出現電話盜打的問題。儘管IP話機沒辦法通過併線的方式來打電話,但通過竊取使用者IP電話的登陸密碼同樣能夠獲得話機的權限。通常在IP話機首次登陸到系統時,會要求提示輸入各人的分機號碼和密碼;很多采用了VoIP的企業爲了方便員工遠程/移動辦公,都會在分配一個桌面電話的同時,再分配一個虛擬的IP電話,並授予密碼和撥號權限。
這樣,即使員工出差或是在家辦公情況下,都可以利用***方式接入到公司的局域網中,然後運行電腦中的IP軟件電話接聽或撥打市話,如同在公司裏辦公一樣。當密碼流失之後,任何人都可以用自己的軟電話登陸成爲別人的分機號碼;如果獲得的權限是可以自由撥打國內甚至國際長途號碼,將會給企業帶來巨大的損失且很難追查。
最後是媒體流的偵聽問題。模擬話機存在併線竊聽的問題,當企業用戶使用了數字話機之後,由於都是廠家私有的協議,很難通過簡單的手段來偵聽。但VoIP環境下,這個問題又被提了出來。一個典型的VoIP呼叫需要信令和媒體流兩個建立的步驟,RTP/RTCP是在基於包的網絡上傳輸等時話音信息的協議。由於協議本身是開放的,即使是一小段的媒體流都可以被重放出來而不需要前後信息的關聯。如果有人在數據網絡上通過Sniffer的方式記錄所有信息並通過軟件加以重放,會引起員工對話音通信的信任危機。
在這項技術研發伊始,開發者期望它作爲傳統長途電話的一種廉價的替代方式,因此並未太多在意安全問題;同時,VoIP技術也是跟隨着整個網絡市場的發展而發展,太多不同廠家和產品的同時存在導致一時無法提出一個統一的技術標準;VoIP的基礎還是IP網絡,開放的體系構架不可避免受到了來自網絡的負面影響。最大限度地保障VoIP的安全主要的方法有以下幾種:
1.將用於話音和數據傳輸的網絡進行隔離
這裏所說的隔離並不是指物理上的隔離,而是建議將所有的IP話機放到一個獨立的VLAN當中,同時限制無關的PC終端進入該網段。通過很多評測者的反饋信息表明,劃分VLAN是目前保護IP話音系統最爲簡單有效的方法,可以隔離病毒和簡單的***。同時,配合數據網絡的QoS設定,還將有助於提高話音質量。
2.將VoIP作爲一種應用程序來看待
這也意味着我們需要採用一些適用於保護重要的應用服務器之類的手段,來保護VoIP設備中一些重要的端口和應用,例如採用北電網絡Aleton交換防火牆就可以有效地抵禦DoS的***。同樣的辦法也適用於VoIP系統,當兩個IP終端進行通話時,一旦信令通過中心點的信令服務進程建立之後,媒體流只存在於兩個終端之間;只有當IP終端上發起的呼叫需要透過網關進入PSTN公網時,纔會佔用媒體網關內的DSP處理器資源。所以,我們需要對信令和媒體流兩類對外的地址和端口進行保護。
同時,儘可能少的保留所需要的端口,例如基於Web方式的管理地址,並且儘可能多的關閉不需要的服務進程。需要提醒的是H.323/SIP在穿越NAT和防火牆的時候會遇到障礙,這是由於協議本身的原因造成的,但通過啓用“應用層網關”(Application Layer Ga-teway簡稱ALG)之後,就可以解決這個問題;隨着呼叫量的增長,可以採用外置媒體流代理服務器(RTP Media Portal)的辦法來支持更大規模的VoIP系統。
3.選擇合適的產品和解決方案
目前不同廠家的產品體系構架不盡相同,操作平臺也各有偏愛。我們無法斷言哪種操作系統最爲安全可靠,但廠家需要有相應的技術保障來讓用戶相信各自的產品有能力抵禦日益繁多的病毒侵襲。同時,很多廠家的產品也採用了管理網段和用戶的IP話音網段在物理上隔離的機制,儘可能少的將端口暴露在外網上。北電網絡推出的Succession 1000/1000M就採用了這些設計思路,將管理網段和用戶網段徹底在物理上隔離,並採用VxWorks操作系統,儘可能多的屏蔽外界對系統的影響。此外,VoIP的安全問題和數據網絡的安全本質上是緊密相關的,需要廠家提供的不僅僅是一套設備,更多的是如何幫助用戶在現有的網絡上提高安全和可靠性的思路和一些技巧。
4.話音數據流的加密
目前H.323協議簇中有一成員-H.235(又稱爲H.Secure)是負責身份驗證、數據完整性和媒體流加密的。更實際的情況是廠家會選用各自私有的協議來保證VoIP的安全性。但即使沒有H.235或其他的手段,想要偷聽一個IP電話呼叫仍要比偷聽一個普通電話要困難的多,因爲你需要編解碼器算法和相應的軟件。即使你獲得了軟件並且成功連接到公司的IP話音網段,仍然有可能一無所獲。因爲目前很多企業內部的數據網絡都採用以太網交換機的10/100M端口到桌面而不是HUB,因而無法通過Sniffer的方式竊取信息。
5.合理制定員工撥號權限
很多廠家已經將傳統交換機的豐富功能移植到了VoIP系統,這些功能將有效地抑制竊取登陸密碼進行盜打的現象。給IP電話設定能否撥打長途或特定號碼的權限,或者是通過授權碼的方式要求撥打長途號碼前必須輸入正確的若干位密碼等方式,可以簡單的解決上述問題。
IP網絡所存在的安全問題一直以來受到大家的關注。而作爲數據網絡上的一種新興的應用,VoIP所面臨的一些安全隱患,實際是IP網絡上存在的若干問題的延續。只有很好地解決了網絡的安全問題,同時配合產品本身的一些安全認證機制,基於VoIP的應用才能夠在企業中持久穩定的發揮作用,併成爲解決企業話音通信需求的有效方法。