彻底改变VoIP渗透威胁的三步曲

　   圣地亚哥黑客会议局两个安全通过Cisco VoIPdia进入了其所在酒店的内部公共网络系统。有两名黑客说，他们是通过Wired.com网站一篇博客进入到了这家酒店财务系统和内部公共网络系统的，获取了酒店内部通话记录。他们使用了由一种叫VoIP Hopper提供的渗透测试模式。VoIP Hopper将模拟Cisco数据包每隔3分钟发送信息，转换成为新的以太网界面，通过博客的地址，用计算机代替酒店的电话系统转换到网络中去，以此来运转VoIP。由此可见VoIP是非常危险的，从某种角度上对网络产生了一定的安全威胁。

黑客通过VoIP渗透来窃取、私用企业的VoIP电话，造成了VoIP的不安全性。所有的影响数据网络的攻击都可能会影响VoIP网络,比如病毒、垃圾邮件、劫持电话、偷听、数据嗅探等。

　　VoIP在IP网络上运行。意味着，它与WEB和电子邮件等其它IP应用一样，有着同样的威胁和漏洞等安全问题。这些威胁和漏洞包括所有IP网络层面的威胁。每天很疲惫地应对这些威胁；以及人们应采用标准的网络安全技术和良好的网络设计来消除未知的威胁。网络的安全性根本技术问题(因为技术问题迟早会通过技术解决)；我们并没有因为经常存在黑客、病毒的侵袭而不发展网络。同样的道理，也不能因为有了安全性问题而不去发展网络电话，否则就是本末倒置的做法；对网络电话安全问题考虑得比较多的一般是大型企业，因为这些企业担心机密外泄而拒绝使用网络电话。

　　 针对通话过程方面，设备厂家都有独立组件来承载。一般越是开放的操作系统，其产品应用过程就越容易受到病毒和恶意攻击的影响。而这些应用都是在产品出厂时就已经安装在设备当中的，无法保证是版本或是承诺已经弥补了某些安全漏洞。同时，为一种新兴发展技术的传输协议，采用类似FTP、电子邮件或HTTP服务器形式发起用户之间的连接。黑客们同样也会对VOIP进行攻击。若网关被黑客攻破，没有经保护的语音通话有可能遭到拦截和窃听，也可以被随时截断。黑客利用重定向攻击可把语音邮件地址换成自己指定的特定IP地址，为其打开通道。黑客们可骗过SIP和IP地址的限制而窃取到整个的谈话过程。

     与VoIP相关的网络技术协议比较多，较常见的有控制实时数据流采用在IP网络传输的实时传输协议及实时传输控制协议；还有传统语音数字化编码的一系列协议比如G.711、G.728、G.723等。然而目前VoIP技术常用的话音建立与控制信令则是H.323和会话初始协议。SIP协议是IETF定义多媒体数据和控制体系结构中非常重要的一部分，所以SIP可以被用于很多领域；即使是协议本身也存在潜在的安全问题。

　　如果VoIP的基础设施不能得到有效的保护，就能够被轻易地攻击，保存的谈话内容就会很容易被窃听到。与传统的电话设备相比，传输VoIP的网络的路由器、服务器，还有交换机，都比较容易受到攻击。但是传统电话使用的PBX，是稳定和安全的。应从以下三方面着手改变VoIP渗透威胁：

　　步：限制所有的VoIP数据都只能传输到一个VLAN上，确保网关的安全。

　　对语音和数据都分别进行划分VLAN，这样就有助于按照优先次序来处理语音和数据了。划分VLAN也有助于防御欺诈、DoS攻击、劫持通信等。VLAN的划分也可以使用户的计算机形成了一个封闭的圈子，它不允许任何其它计算机访问其设备，也就避免了电脑的攻击。VoIP网络也就相当安全；就是受到了攻击，也能将损失降到。要配置网关，只有经过允许的用户才可打出或接收VoIP电话；列示经过鉴别和核准的用户，就可以确保其它人不占线打电话。通过SPI防火墙、网络地址转换工具、SIP对VoIP软客户端的支持等组合，保护网关及位于其后的局域网。

　　第二步：增加访问控制列表，及时更新VoIP的安全漏洞。

　　VoIP网络的安全性，不仅依赖于底层的操作系统还要靠运行其上的应用软件。保持操作系统和VoIP应用软件补丁及时更新对于防御恶意程序和传染性程序代码是非常必要的。通过端口管理，进行适当增加访问控制列表， VoIP安全漏洞及时更新。