详谈VoIP安全漏洞以及防护办法

再次就是服务窃取，这个问题在模拟话机的情况下同样存在。如同我们在一根普通模拟话机线上又并接了多个电话一样，将会出现电话盗打的问题。尽管IP话机没办法通过并线的方式来打电话，但通过窃取使用者IP电话的登陆密码同样能够获得话机的权限。通常在IP话机首次登陆到系统时，会要求提示输入各人的分机号码和密码;很多采用了VoIP的企业为了方便员工远程/移动办公，都会在分配一个桌面电话的同时，再分配一个虚拟的IP电话，并授予密码和拨号权限。

这样，即使员工出差或是在家办公情况下，都可以利用VPN方式接入到公司的局域网中，然后运行电脑中的IP软件电话接听或拨打市话，如同在公司里办公一样。当密码流失之后，任何人都可以用自己的软电话登陆成为别人的分机号码;如果获得的权限是可以自由拨打国内甚至国际长途号码，将会给企业带来巨大的损失且很难追查。

最后是媒体流的侦听问题。模拟话机存在并线窃听的问题，当企业用户使用了数字话机之后，由于都是厂家私有的协议，很难通过简单的手段来侦听。但VoIP环境下，这个问题又被提了出来。一个典型的VoIP呼叫需要信令和媒体流两个建立的步骤，RTP/RTCP是在基于包的网络上传输等时话音信息的协议。由于协议本身是开放的，即使是一小段的媒体流都可以被重放出来而不需要前后信息的关联。如果有人在数据网络上通过Sniffer的方式记录所有信息并通过软件加以重放，会引起员工对话音通信的信任危机。

在这项技术研发伊始，开发者期望它作为传统长途电话的一种廉价的替代方式，因此并未太多在意安全问题;同时，VoIP技术也是跟随着整个网络市场的发展而发展，太多不同厂家和产品的同时存在导致一时无法提出一个统一的技术标准;VoIP的基础还是IP网络，开放的体系构架不可避免受到了来自网络的负面影响。最大限度地保障VoIP的安全主要的方法有以下几种:

1.将用于话音和数据传输的网络进行隔离

这里所说的隔离并不是指物理上的隔离，而是建议将所有的IP话机放到一个独立的VLAN当中，同时限制无关的PC终端进入该网段。通过很多评测者的反馈信息表明，划分VLAN是目前保护IP话音系统最为简单有效的方法，可以隔离病毒和简单的攻击。同时，配合数据网络的QoS设定，还将有助于提高话音质量。

2.将VoIP作为一种应用程序来看待

这也意味着我们需要采用一些适用于保护重要的应用服务器之类的手段，来保护VoIP设备中一些重要的端口和应用，例如采用北电网络Aleton交换防火墙就可以有效地抵御DoS的攻击。同样的办法也适用于VoIP系统，当两个IP终端进行通话时，一旦信令通过中心点的信令服务进程建立之后，媒体流只存在于两个终端之间;只有当IP终端上发起的呼叫需要透过网关进入PSTN 公网时，才会占用媒体网关内的DSP处理器资源。所以，我们需要对信令和媒体流两类对外的地址和端口进行保护。

同时，尽可能少的保留所需要的端口，例如基于Web方式的管理地址，并且尽可能多的关闭不需要的服务进程。需要提醒的是H.323/SIP在穿越NAT和防火墙的时候会遇到障碍，这是由于协议本身的原因造成的，但通过启用"应用层网关"(Application Layer Ga-teway简称ALG)之后，就可以解决这个问题;随着呼叫量的增长，可以采用外置媒体流代理服务器(RTP Media Portal)的办法来支持更大规模的VoIP系统。

来源：全球IP通信联盟