小心VoIP带来的安全威胁

如果你的公司正在使用或者在考虑使用VoIP,您也许应该了解一些VoIP可能对系统造成的危害。笔者将为您介绍可能损害IP电话服务的新老威胁。

语音IP徘徊在通讯技术边缘多年以后，终于在最近几年开始上位。

中小型企业对此有迫切的需求。根据市场调研机构AMI公司的数据，世界范围内的中小型企业在VoIP解决方案方面的投入在2006年为30亿美元，与2005年相比提高了26%。AMI估计大部分中小型企业会在未来五年内选用VoIP技术。

尽管如此，有些企业没有考虑这项技术带来的安全隐患就冒然上马。目前的语音IP电话还不够安全，使业务可能遭受入侵。

随着越来越多的用户接受VoIP,也有更多的黑客和罪犯瞄准了这项技术的缺陷。本文主要介绍一些采用了VoIP技术的任何规模的企业都可能面临的对业务威胁。

通过“常规”数据袭击进行的破坏

集成网络的美好之处就在于语音IP不过是数据网络上运行的一个应用。很不幸从安全角度来看，这就意味着它也会遭到任何针对数据网络的袭击，而这些袭击的目标可能并不是语音IP。

对VoIP最显著的威胁就是拒绝服务(DoS)袭击，因为这能导致数据网络瘫痪并关闭在其上运行的全部应用，当然包括VoIP在内。您的员工在网络恢复之前都无法使用电话。

能够破坏数据应用的安全bug也能够影响VoIP用户。例如，安全企业Core Security技术公司在流行的VoIP应用Asterisk PBX中发现了一个缺陷，它允许黑客造成缓冲溢出，以完成拒绝服务袭击。任何您所使用的小应用中的Bug都能使您的网络成为恶意用户的温床。

SIP电话缺陷

VoIP会话发起协议（session initiation protocol，SIP）将会掀起一场新的安全大战。SIP是一个相对较新的协议，自身的安全性比较薄弱。有些特性使其容易遭到黑客的利用，例如使用文本编码以及SIP扩展名都可能成为安全漏洞。

利用SIP进行的袭击包括注册劫持，黑客能够截获呼入的电话呼叫并重新引导；消息修改，允许黑客修改SIP地址之间交换的数据包; 对话终止，允许黑客中断呼叫或者使用关闭要淹没系统进行以VoIP为目标的拒绝服务袭击。