編者按:自從1999年開(kāi)始部署VoIP商業(yè)服務(wù)以來(lái),VoIP的使用迅速普及。全球市場(chǎng)包括中國(guó)已有相當(dāng)大的一部分語(yǔ)音業(yè)務(wù)通過(guò)IP來(lái)傳送。VoIP給運(yùn)營(yíng)商、有線運(yùn)營(yíng)商、企業(yè)和消費(fèi)者帶來(lái)的經(jīng)濟(jì)性與移動(dòng)性及靈活性,強(qiáng)勁地推動(dòng)了這一業(yè)務(wù)的普及。因而VoIP的安全性與質(zhì)量保證也日益成為人們關(guān)注的焦點(diǎn)。
VoIP的前景固然是美好的,但是想真正實(shí)現(xiàn)其目標(biāo)所無(wú)法回避的一個(gè)問(wèn)題就是安全。在VoIP應(yīng)用規(guī)模相對(duì)較小的時(shí)期,安全方面的問(wèn)題還沒(méi)有明顯暴露。但是當(dāng)業(yè)務(wù)量達(dá)到與傳統(tǒng)電話相差無(wú)幾的時(shí)候,由于IP到末端,在以前被回避了的一些IP網(wǎng)絡(luò)的問(wèn)題又涌現(xiàn)出來(lái),如QoS、安全、用戶業(yè)務(wù)管理等。特別是安全問(wèn)題,可以說(shuō)是VoIP技術(shù)的致命傷。針對(duì)這種情況,AVAYA、賽門鐵克、西門子等業(yè)界重量級(jí)的業(yè)界廠商于近日專門成立了VoIP安全聯(lián)盟,以期為VoIP創(chuàng)造一個(gè)更加堅(jiān)實(shí)的發(fā)展基礎(chǔ)。
那么,VoIP安全問(wèn)題是如何產(chǎn)生的并且該如何解決呢?
由于VoIP基于可同時(shí)承載語(yǔ)音、數(shù)據(jù)和其它流量的統(tǒng)一網(wǎng)絡(luò)架構(gòu),顯著減少了用戶語(yǔ)音與數(shù)據(jù)通信服務(wù)開(kāi)銷,提供傳統(tǒng)PBX系統(tǒng)無(wú)法比擬的諸多新型服務(wù)。但是,VoIP在融合了傳統(tǒng)PBX系統(tǒng)與數(shù)據(jù)網(wǎng)絡(luò)二者優(yōu)勢(shì)的同時(shí),也把二者的安全風(fēng)險(xiǎn)集于一身,除了會(huì)遭遇存在于傳統(tǒng)PBX系統(tǒng)中的非法搭線偵聽(tīng)等安全風(fēng)險(xiǎn)外,還面臨著病毒、DoS(Denial-of-Service)拒絕服務(wù)攻擊等數(shù)據(jù)網(wǎng)絡(luò)常見(jiàn)的安全威脅。
就總體來(lái)看,可以將VoIP系統(tǒng)安全問(wèn)題劃分為兩大類,一類是語(yǔ)音網(wǎng)絡(luò)架構(gòu)的安全,包括網(wǎng)絡(luò)內(nèi)用作IPPBX系統(tǒng)的服務(wù)器的安全。另一類是VoIP語(yǔ)音會(huì)話內(nèi)容的安全。前者主要涉及VoIP運(yùn)營(yíng)商,而后者更多地針對(duì)VoIP用戶。
對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)除了傳統(tǒng)的安全威脅外,VoIP運(yùn)營(yíng)商面臨的安全威脅還包括眾多數(shù)據(jù)網(wǎng)絡(luò)遺傳下來(lái)的風(fēng)險(xiǎn)因素。比如除呼叫管理系統(tǒng)、IP電話交換機(jī)、路由器和語(yǔ)音網(wǎng)關(guān)等方面的傳統(tǒng)易受攻擊對(duì)象外,計(jì)算機(jī)網(wǎng)絡(luò)類軟件與設(shè)備還面臨著非法接入、特權(quán)升級(jí)和系統(tǒng)濫用、病毒和DoS攻擊等。而提供在線支付與服務(wù)規(guī)劃管理的運(yùn)營(yíng)商,則還會(huì)面臨賬戶與數(shù)據(jù)庫(kù)系統(tǒng)的安全問(wèn)題。具體說(shuō)來(lái),VoIP的實(shí)現(xiàn)依賴于TCP/IP協(xié)議棧的運(yùn)行,所以TCP/IP協(xié)議面臨的所有安全問(wèn)題我們都無(wú)法回避。包括蠕蟲(chóng)病毒、木馬程序、DoS攻擊,這些讓人頭痛的問(wèn)題也注定要對(duì)VoIP應(yīng)用環(huán)境造成困擾。這些方面的問(wèn)題除了依賴廠商不斷對(duì)設(shè)備進(jìn)行安全強(qiáng)化之外,還需要管理員將VoIP設(shè)施與其它計(jì)算機(jī)設(shè)施等同視之,注意跟蹤相關(guān)的安全漏洞信息發(fā)布,及時(shí)為VoIP設(shè)備打好補(bǔ)丁,并為VoIP環(huán)境提供防火墻等安全防御設(shè)施的保護(hù)。對(duì)于VoIP設(shè)備,應(yīng)該比普通的計(jì)算機(jī)設(shè)備更加注重常見(jiàn)信息安全原則的實(shí)現(xiàn),例如只提供必要的服務(wù),關(guān)閉和屏蔽無(wú)用的端口等等。忽視這些原則將造成非常嚴(yán)重的安全危害。
而對(duì)于用戶來(lái)說(shuō),受到的安全威脅包括通過(guò)話費(fèi)欺詐、盜取身份認(rèn)證信息等手段獲取經(jīng)濟(jì)利益,或者通過(guò)干擾或中斷用戶正常的VoIP語(yǔ)音通信服務(wù)進(jìn)行惡作劇,另外由于IP電話實(shí)際上就是在計(jì)算機(jī)上運(yùn)行VoIP應(yīng)用,所以它還牽涉到諸如操作系統(tǒng)、協(xié)議等問(wèn)題,會(huì)受到系統(tǒng)失誤、病毒攻擊等潛在的威脅。為了解決這些問(wèn)題,一個(gè)最基本的方法就是對(duì)數(shù)據(jù)傳輸進(jìn)行加密。一旦數(shù)據(jù)、話音等實(shí)施了加密之后,即使攻擊者突破層層限制獲取了這些數(shù)據(jù),但他們也無(wú)法從中破解得到有用的東西。另外,也有人提出這樣的解決方案,那就是進(jìn)行地址認(rèn)證,我們應(yīng)該對(duì)訪問(wèn)VoIP服務(wù)的客戶端地址及登錄VoIP設(shè)備進(jìn)行管理配置的遠(yuǎn)程終端地址進(jìn)行綁定,阻止來(lái)自不合法的IP地址訪問(wèn)。這種方法也值得我們認(rèn)真考慮。
許多涉及SIP呼叫信令、RTP語(yǔ)音信息傳遞和RTCP控制協(xié)議的安全漏洞既可以危及運(yùn)營(yíng)商,也可以危及VoIP用戶。與IP電話一樣,VoIP呼叫服務(wù)器也同樣能夠被非授權(quán)呼叫控制包實(shí)施Flood攻擊。攻擊者可以對(duì)VoIP運(yùn)營(yíng)商的基礎(chǔ)架構(gòu)與Internet協(xié)議發(fā)起全面攻擊,諸如語(yǔ)音郵件等VoIP應(yīng)用被攻擊后,可能會(huì)導(dǎo)致合法用戶無(wú)法發(fā)送語(yǔ)音郵件信息。面對(duì)種種棘手的問(wèn)題,各方專家也提出許多解決之道,例如慎重選擇VoIP協(xié)議、停用不必要的協(xié)議、周密考慮VoIP組件遭遇攻擊的可能性、將VoIP與其它IP架構(gòu)分而治之、對(duì)遠(yuǎn)程操作進(jìn)行認(rèn)證等等。