VoIP三大安全隐患及防治方法

任何采用VoIP技术的企业都需要认真的考虑它的安全问题。尽管可能的威胁有很多，但是有三种隐患表现的最为危险，对小型企业危害也最大：拒绝服务DoS，口水电话spit以及诈骗Fraud。

避免VoIP拒绝服务袭击

对于VoIP来说最严重的威胁莫过于拒绝服务(DoS)袭击。它能通过伪造的流量和服务需求淹没网络。一般这种袭击都是通过感染了病毒或者其他恶意软件的计算机发起进攻，陡然增加的流量使得服务器无暇处理任何有效的请求，整个系统陷入停顿。

防病毒软件企业趋势科技首席技术官Dave Rand说：“有如此众多的与互联网相连接的设备遭到入侵。我们相信互联网上的PC中有7%曾受到危害，仅在EMBA地区就有680万台电脑曾被用来发送垃圾邮件。”

垃圾邮件发送者通过让网络保持“缓慢低速”来使用户很难察觉他们的设备已经遭到侵害。

尽管目前只有很少数专门针对VoIP系统的DoS袭击，但是语音流量的本质使其很容易受到极大的影响。用户会立即发现服务质量的下降，最终VoIP电话会失去作用。对于那些打算使某个组织机构的整个通讯系统瘫痪的黑客来说，拒绝服务袭击绝对有效。

防止网络免于遭受DoS袭击相当的困难，但是企业至少能够防止他们的电脑成为袭击的一部分。企业因该使用防病毒软件并及时更新，安装防火墙并对其进行配置以限制进出的流量，并使用防止垃圾邮件的工具来切断通过电子邮件传播的恶意软件。

良好的网络管理，如修改默认登录的设置，使用防火墙等，都能帮助减轻袭击带来的影响。在很多情况下，雇用顾问来进行有关VoIP的安全问题的审计是相当值得的。PBX厂商Mitel公司IP技术总监Dan York建议企业使用为语音流量提供单独的VLAN，当发生拒绝服务袭击时可以继续使用。有些路由器能够限制流入的流量以防止网络被完全淹没。

为了防止VoIP被暴露在任何袭击之前，Tipping Point公司的Endler说企业应该仔细研究VoIP的基础架构并确保删除任何不必要的应用。比如网络服务器内建了VoIP话机以方便进行远程管理。如果配置不当，那么企业可能最后会发现服务器已经上了Google的检索目录。Telnet和FTP也应给予删除。

阻断口水VoIP电话

尽管以上的网络缺陷可能给采用VoIP的企业带来切实的危险，但是媒体更关注的则是通过网络电话传播的垃圾信息，或者称为spit——口水电话。

Spam多年以来都是很热门的话题，不请自来的商业信件和恶意电子邮件已经成为电子邮件世界中的一个主要主要部分。根据分析家Radicati,介绍，欧洲在2006年每天发送的垃圾邮件超过160亿封，占欧洲全部电子邮件数量的60%，而且这一数字在2010年还会增加到每天370亿封。

人们很担心VoIP会重蹈覆辙。毫无疑问垃圾信息发送者拥有足够的实力并会相当热衷接受新的通过语音渠道传播信息的方法。如果VoIP遭遇电子邮件同样的命运，企业IP电话将会变得毫无用处。

VoIP垃圾信息的问题在于反垃圾邮件方法对它无效。Ovum分析专家Graham Titterington说：“普通的内容过滤器根本无效，还有些人寄希望于声音识别。但是企业更有可能使用流量分析来识别spit来自哪里并阻断来自受到侵害的服务器的语音流量。”

Spit可能带来的威胁正在驱动厂家开发替代的反垃圾信息解决方案。NEC发布了一款模块化工具，被称为VoIP Seal，同时使用多种方法来识别spit。当有电话打进来时，系统通过检查其是否来自可疑源头以判断是否是spit。

如果是可疑呼叫，它会被转移给使用图灵测试方法的系统来判断是来自人类还是设备。比方说，系统可能会播放一段告示来检测打入电话的人是否能够做出相应反应。其他方法还有通过系统对用户身份进行确定并且只允许特殊用户打入电话，不过这样可能会误将某些正常用户确认为垃圾语音发送者。

除了这些可怕的猜想以外，并没有发生什么实际的spit入侵。在Mitel公司York看来，出现这种情况的主要原因在于大部分IP电话系统依然只是浩淼PSTN系统中的一个孤岛，还不成气候。大量的VoIP呼叫都要在某个阶段中通过PSTN，因为大部分VoIP电话网络还不能实现直连。不过依然要给企业提个醒，企业需要将他们反垃圾邮件工作扩展到语音领域。

对抗VoIP诈骗

恶意软件能给VoIP用户带来的一个严重问题就是诈骗。对企业来说最大的担忧可能就是遭受保险费率诈骗，可能有罪犯闯入VoIP系统，然后给保险客户打电话。

这种诈骗并不新鲜，PBX一直都存在发生这种袭击的可能。不同之处在于，与闯入IP系统的人相比，只有更少的人会闯入PBX系统。

Mitel公司的York说：“那些可以使用呼叫计费软件等传统解决方案解决的老问题。大部分PBX系统都具有分析呼叫记录的功能，从而能够允许企业快速发现任何反常现象。”

尽管它们对消费者来说更吓人，电子邮件钓鱼所用的骗术在语音呼叫中可以继续使用。在早期阶段是有可能发生大量语音钓鱼诈骗的，因为用户与电子邮件相比会更信任电话信息。目前已经出现了电子邮件和语音配合使用的巧妙骗局。

举个例子来说，在VoIPSA(VoIP安全联盟)博客上曾经详细的记载了一个案例，骗子通过一封伪装成来自PayPal的电子邮件让用户拨打某个电话号码来确认帐户信息。这个手法并不新鲜，只是新加入了电话系统的使用。很不幸，骗子成功的只是简单的记录了一个真实的业务过程就成功进行了伪装。用户能够判断是否是骗子的唯一方法就是核对他们要拨打的电话号码是否与真正的PayPal号码一致。

尽管VoIP的安全威胁切实存在，如果企业采取适当的措施就能确保语音通信的安全。