防患于未然 VoIP电话如何防止被窃听

VoIP电话不管是家庭用户还是企业用户来说都是很便宜产物，扎根非常迅速。我们知道VoIP电话是通过网络传输，使它摆脱了传统电话所必须面对的政府的管理和沉重的税收的束缚。在新技术和实际需求双重推动下，开始向市场级蔓延渗透，基于互联网的新技术，将来可能会完全居于主导地位。由于整个互联网开放，安全问题也必将随之大量爆发，网络威胁会变的越来越复杂，对VoIP防护的挑战也在加大。对于黑客来说，所有可能大规模普及的信息应用，都有可能成为它们物色的目标，VoIP电话也不例外。

　　我们发现，很多企业总是在已使用VoIP之后，才开始逐步意识到其安全的重要性。通过调查获悉，企业所担心的安全问题主要包括通过电话记录或者语音邮件泄漏公司敏感的信息、窃听、恶意软件导致的系统崩溃和其他恶意攻击、以及机构内部和外部人员不正当地使用语音服务等。

　　VoIP威胁的主要来源：可用性、隐私、服务窃取以及获得对敏感信息的访问权。可用性涉及是否易受分布式DoS或其他攻击，从而导致VoIP系统掉线。隐私涉及VoIP呼叫的泄密。服务窃取自然是指系统是否易受他人滥用，比如黑客可能会截获某个VoIP呼叫，将其ID修改成“××部门”，再拨到比如办公室，精心制造一些场景要求办公室提供领导的系统口令或其他机密信息。则会认为领导是在与××部门通话，从而轻易地将机密信息泄露给了黑客。曾经有过两名嫌犯侵入了多家企业和服务提供商的网络，“窃取”了大约1000万分钟的呼叫时长，使受害企业为此付出了人均30万美元的连接费用。

　　我们知道VoIP基于可同时承载语音、数据和其它流量的统一网络架构，显著减少了用户语音与数据通信服务开销，提供传统PBX系统无法比拟的诸多新型服务。要完全实现这些安全保障，企业需要在不同的网络层次实施各种安全措施，如认证、语音传输的加密、分离语音和数据网络、对语音服务器实施实时监控，应用一些专门防止黑客入侵和计算机病毒的产品如防火墙等。防止窃听是VoIP安全的一个重点，我们知道服务窃取，这个问题在模拟话机的情况下同样存在。如同我们在一根普通模拟话机线上又并接了多个电话一样，将会出现电话盗打的问题。尽管IP话机没办法通过并线的方式来打电话，但通过窃取使用者IP电话的登陆密码同样能够获得话机的权限。通常在IP话机首次登陆到系统时，会要求提示输入各人的分机号码和密码;很多采用了VoIP的企业为了方便员工远程/移动办公，都会在分配一个桌面电话的同时，再分配一个虚拟的IP电话，并授予密码和拨号权限。一个典型的 VoIP呼叫需要信令和媒体流两个建立的步骤，RTP/RTCP是在基于包的网络上传输等时话音信息的协议。

　　对于企业来说，为了更好地防止窃听，应该从以下四个方面着手：

　　一、VoIP安全需要有专人负责，需要管理员将VoIP设施与其它计算机设施等同视之，注意跟踪相关的安全漏洞信息发布，及时为VoIP设备打好补丁，并为VoIP环境提供防火墙等安全防御设施的保护。对于VoIP设备，应该比普通的计算机设备更加注重常见信息安全原则的实现，例如只提供必要的服务，关闭和屏蔽无用的端口等等。事实上，很多攻击都是利用了系统的漏洞。这一点与IP网络的安全防御是一致的。 采用支持VoIP的防火墙，以及入侵检测系统，入侵拦截系统。

　　二、VoIP信号统一到同一个VLAN中，可以大大降低窃听电话现象的发生。如果语音包被人用分析仪获取，重放语音就轻而易举。虚拟局域网可以阻止有人从外面发动攻击。通过身份验证方式确认从外部接入VoIP网络的用户都是合法用户。 内部网络要锁定能够访问VoIP管理界面的IP地址和MAC地址，同时在SIP网关前放置防火墙，以达到只允许合法用户才可以进入相关VoIP系统。 

　　三、可以通过实时安全协议（SRTP）来加密节点之间的通信，通过TLS来加密整个过程。 通过加密技术传输VoIP数据包，确保黑客即使拦截了数据包，也无法很快破解。

　　四、需要进行人员培训，提升网络安全维护意识。

　　我们要正确面对VoIP安全问题，既要承认它的存在，又要相信通过合理设计和良好的安全习惯，就可以把其安全风险控制在可以接受的范围之内。