VoIP安全问题解析-CSDN博客

VoIP应用及其安全问题的现状

VoIP是Voice Over Internet Protocol的缩写，意即基于IP的语音通信，我们通常称其为网络电话技术。VoIP技术使我们可以基于类似Internet这样的数据网络实现电话业务。这种实现模式提供更多的集成功能、更高的通信带宽、更稳定的通信质量以及更灵活的管理能力，并能够显著降低成本。最为重要的是，由于VoIP为市场提供了传统通信服务商之外的选择，所以其对整个行业格局的深远影响恐怕才是近年来VoIP成为网络应用领域热门话题的最核心原因。VoIP的前景固然是极为美好的，但是想真正实现其目标所无法回避的一个问题就是安全。在当下VoIP应用规模相对较小的时期，安全方面的问题还没有暴露的特别明显。但是当业务量达到与传统电话一较短长的时候，安全方面的负担就可能称为VoIP技术的致命伤，这也是VoIP能否替代传统电话服务的重中之重。针对这种情况，AVAYA、赛门铁克、西门子等业界重量级的业界厂商还于近日专门成立了VoIP安全联盟，以期为VoIP创造一个更加坚实的发展基础。

VoIP技术概观

VoIP的基本技术原理是利用专门的算法对语音数据进行压缩和编码处理，然后将这些语音数据通过IP网络传输到接收端，而接收端利用同样的技术对语音数据进行解包还原处理，从而正确的恢复出语音信号。

VoIP在服务端的核心设备是VoIP网关，VoIP网关主要应用于企业内部分支机构之间的IP电话通信，而且该设备可以与企业已有的电话交换机（PBX）及集团电话设备良好的集成，有效节省企业的长话费用。另一种主要的服务端设备是VoIP网守，这种设备的主要功能是对网关设备进行管理。目前的VoIP网守主要负责实现用户认证、地址解析、带宽管理、路由管理、安全管理以及日志管理等功能。在客户终端主要使用IP电话交换机（IP PBX）这样的VoIP电话终端设备。IP PBX用于实现端到端的IP语音通信，同时其内置的CTI（计算机语音通信集成）功能能够实现计算机应用系统与电话系统交互，从而使得数据信号与语音信号可以同时传输。

VoIP目前使用的信令协议主要是ITU-T的H.323协议以及IETF的SIP协议，而传输协议主要使用RTP。另外，由于用于数据传输的IP网络通常是采用无服务质量保证的传输模式，容易造成数据分组丢失和延时等问题，而语音通信要求很高的实时性，所以VoIP通常还需要应用QoS技术来保障语音通信的正常进行。

VoIP的安全问题及解决方法

VoIP首先要面对的安全问题来自其自身的软硬件设施。因为目前大部分VoIP设备基于标准操作系统，传输协议也属于开放技术，所以有相当高的可能受到攻击者的袭击。而且在大部分情况下VoIP设施需要提供远程管理能力，其所依赖的服务和软件也同样可能存在安全漏洞。VoIP的实现依赖于TCP/IP协议栈的运行，所以TCP/IP协议面临的所有安全问题我们都无法回避。包括蠕虫病毒、木马程序、DdoS攻击这些让人头痛的问题也注定要对VoIP应用环境造成困扰。这些方面的问题除了依赖厂商不断对设备进行安全强化之外，还需要管理员将VoIP设施与其它计算机设施等同视之，注意跟踪相关的安全漏洞信息发布，及时为VoIP设备打好补丁，并为VoIP环境提供防火墙等安全防御设施的保护。对于VoIP设备，应该比普通的计算机设备更加注重常见信息安全原则的实现，例如只提供必要的服务，关闭和屏蔽无用的端口等等。忽视这些原则将造成非常严重的安全危害。

另外，还要求管理员能够不断根据应用环境的变化调整和优化整个VoIP设施的配置，因为根据我们的经验，即使一个系统在某一时点具有足够强健的配置，但是随着时间的推移，还是会有很多不易察觉的安全隐患滋生出来。特别是在VoIP设施的管理无法完全融入已有计算机设施管理的情况下，两者任意一方的变更都会对另外一方造成潜在的安全威胁。我们建议不要将VoIP和企业的其它网络应用部署在同样的网段，必要的时候可以考虑使用VLAN分隔出不同的网络区域供不同的应用使用，这样既可以实现管理上的灵活，又可以提高线路的传输质量。如果VoIP服务要基于互联网进行实施，应该尽可能的将其建构在VPN通讯之上，因为将会话毫无遮掩的暴露在互联网上将面临巨大的安全风险。虽然VPN信息同样有被盗用和劫持的可能，但至少可以提供相当强度的保护，更何况现在VPN的实施成本和管理负荷已经下降到相当低的程度。

除此之外，我们还要面对传统电话网络需要面对的一些问题。类似电话盗打和监听这样的问题在VoIP的世界里同样存在。尽管对基于IP技术的通信系统进行搭线要困难的多，但是网络电话系统的登录认证信息还是有可能被入侵者获取。恶意攻击者很容易使用诸如数据包嗅探之类手段监听VoIP设备的通信，并且诸如IP欺骗、会话劫持之类的入侵手段也会对我们的通信造成威胁。为了解决这些问题，一个最基本的方法就是对数据传输进行加密。其实这是任何攻击者都会感觉头痛的一种安全措施。一旦信令、话音等各种数据实施了良好的加密之后，即使攻击者成功突破种种限制获取了这些数据，他们也无法获得任何对他们有用的东西。另一个具有很高实效的安全措施是进行地址认证，我们应该对访问VoIP服务的客户端地址以及登录VoIP设备进行管理配置的远程终端地址进行绑定，阻止来自不合法IP地址的访问。虽然在某些情况下客户端无法获取固定的IP地址，使得这种策略无法实施，但是即使能够按照网段进行管理，也会阻止大量的麻烦，所以这种措施值得我们给予充分的重视。

未来的努力

在使用传统电话网的时候，我们通常无需为安全问题操心。而相比之下，VoIP网络需要在安全方面付出的考量甚至超过了类似局域网合广域网这样的数据网络。因为我们在面对TCP/IP网络所固有的安全问题的同时，还要面对传统电话网络所遗留的问题。好在从前我们在计算机设施方面所获得的所有安全知识和经验，都可以对VoIP设施的安全产生有效的促进。只要企业的相关管理人员持有正确的观念，认真的看待VoIP技术所面临的安全威胁，并做出确实的努力，VoIP的安全问题是有可能获得完满解决的。

本文转自离子翼 51CTO博客，原文链接：http://blog.51cto.com/ionwing/57315，如需转载请自行联系原作者