首頁(yè) > 每個(gè)考慮部署VoIP電話(huà)系統的組織都聽(tīng)到過(guò)同樣可怕的警告:“在數據網(wǎng)絡(luò )上進(jìn)行路由語(yǔ)音呼叫會(huì )將呼叫內容暴露給竊聽(tīng)者”。
盡管事實(shí)上,任何電話(huà)呼叫都承受著(zhù)某種程度被竊聽(tīng)的風(fēng)險,但VoIP呼叫系統真的本身就具有高風(fēng)險?在本文中我們會(huì )探索VoIP竊聽(tīng)的來(lái)龍去脈。
VoIP竊聽(tīng)是可能的
首先澄清一件事情十分重要:竊聽(tīng)VoIP呼叫絕對是可能的。同樣也可能竊聽(tīng)使用傳統PSTN(publicswitchedtelephonenetwork,公共交換電話(huà)網(wǎng)絡(luò ))的電話(huà)呼叫。兩者的差別僅在于進(jìn)行竊聽(tīng)所需的工具和技能集。
在傳統的電話(huà)網(wǎng)絡(luò )上,如果某人尋求竊聽(tīng)某個(gè)電話(huà)呼叫,通常至少在攻擊的發(fā)起階段必須物理上要么能訪(fǎng)問(wèn)電話(huà)、或是電話(huà)線(xiàn)纜。這種類(lèi)型的攻擊是電影中的典型。無(wú)論是好人或壞人實(shí)施該竊聽(tīng),某人要么能接觸電話(huà)聽(tīng)筒、或是電話(huà)網(wǎng)絡(luò )接口箱,后者有時(shí)位于房子或辦公室的外面,然后在箱子上放置一個(gè)竊聽(tīng)的監聽(tīng)設備,持續地監控電話(huà)呼叫內容。
可能的VoIP竊聽(tīng)通常遵循同樣的過(guò)程,但利用了不同的工具。第一個(gè)要求是能訪(fǎng)問(wèn)承載語(yǔ)音呼叫的媒介。這個(gè)可能通過(guò)入侵VoIP電話(huà)、運行軟電話(huà)設備的工作站、或是VoIP網(wǎng)絡(luò )基礎架構組件如網(wǎng)絡(luò )交換機或線(xiàn)纜來(lái)達到目的。下一步,攻擊者必須利用軟件工具來(lái)捕獲網(wǎng)絡(luò )上的流量。類(lèi)似于在傳統竊聽(tīng)攻擊中的竊聽(tīng)設備,網(wǎng)絡(luò )嗅探工具例如開(kāi)源工具Wireshark能捕捉穿過(guò)網(wǎng)絡(luò )的所有數據報文,并且要么在線(xiàn)分析它們,或是寫(xiě)入到某個(gè)文件后離線(xiàn)分析。
最后,攻擊者需要搞清楚捕獲到的數據的意義。這需要能將數據報文轉換為語(yǔ)音通話(huà)的翻譯工具。同樣,線(xiàn)上有可用的免費工具例如VOMIT和VoIPong,這些工具能幫助完成這個(gè)任務(wù)。
交換機安全至關(guān)重要
為減少像竊聽(tīng)這樣的VoIP風(fēng)險,網(wǎng)絡(luò )管理員能做的最重要的事情之一,就是為網(wǎng)絡(luò )交換機部署基本的安全控制。雖然終端安全很重要,但網(wǎng)絡(luò )交換機是流量聚合的地方。大范圍的竊聽(tīng)攻擊很可能是通過(guò)惡意地使用交換機的span端口,相對于來(lái)自單個(gè)終端的語(yǔ)音流量,該端口能鏡像穿過(guò)交換機的所有流量。
以下是一些交換機管理最佳實(shí)踐,能幫助保護這個(gè)網(wǎng)絡(luò )基礎設施中重要的組件:
重要的是,確保交換機在物理上是安全地位于被鎖著(zhù)的房間,并有適當的訪(fǎng)問(wèn)控制。如果攻擊者能物理上訪(fǎng)問(wèn)到交換機,那么已經(jīng)全盤(pán)皆輸了。
組織應為管理交換機和其它關(guān)鍵的基礎設施設備使用分隔的網(wǎng)絡(luò )。對于攻擊者來(lái)說(shuō),他不應該能夠通過(guò)訪(fǎng)問(wèn)一般目的的網(wǎng)絡(luò )來(lái)嘗試獲得對網(wǎng)絡(luò )設備管理端口的訪(fǎng)問(wèn)。
組織必須盡可能地經(jīng)常更新交換機固件,以便將廠(chǎng)商糾正的已知漏洞打上補丁。
當然,比起這些基本的建議還有更多的事情可以做,從而確保交換機管理的安全。要想了解更多信息,請閱讀我們有關(guān)交換機安全的文章。
加密技術(shù)大大減輕VoIP風(fēng)險
加密技術(shù)也是在VoIP安全軍火庫中能找到的強大武器。現在所有主要的VoIP提供商都提供加密的能力,該方法使用密碼學(xué)的技術(shù)來(lái)混淆發(fā)生在終端間的通信。即使設法使用網(wǎng)絡(luò )嗅探器攔截語(yǔ)音通信,但沒(méi)有對應的解密密鑰,竊聽(tīng)者也無(wú)法解密所有經(jīng)過(guò)加密的呼叫內容。
在部署VoIP加密技術(shù)前,確保先研究在你網(wǎng)絡(luò )上應用該技術(shù)可能對網(wǎng)絡(luò )提供服務(wù)質(zhì)量造成的影響。加密要求大量的計算能力,并且如果沒(méi)有由廠(chǎng)商正確的實(shí)施,有可能會(huì )降低網(wǎng)絡(luò )上的呼叫語(yǔ)音質(zhì)量。也就是說(shuō),加密技術(shù)是企業(yè)應該考慮部署的技術(shù),特別是對于那些可能承載著(zhù)高敏感度信息的線(xiàn)路來(lái)說(shuō)。
如果組織決定使用加密技術(shù)做為網(wǎng)絡(luò )上的安全措施,不能忽視使用合理的加密密鑰管理實(shí)踐這個(gè)需要。如果竊聽(tīng)者能訪(fǎng)問(wèn)企業(yè)的加密密鑰,那他可以輕易地解密語(yǔ)音流量。
結論
正確防護的VoIP環(huán)境不會(huì )比傳統的電話(huà)系統具有更多的風(fēng)險。將牢固的網(wǎng)絡(luò )安全與正確部署的加密技術(shù)相結合,你可以安全地在組織中充分利用VoIP技術(shù)。
TechTarget中國
