VoIP上演“竊聽風(fēng)云”

責(zé)任編輯:editor008

2014-01-09 09:27:42

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

在通信領(lǐng)域,隨著VoIP應(yīng)用的廣泛,VoIP在應(yīng)用過程中遇到的問題也逐漸暴露出來。每個考慮部署VoIP電話系統(tǒng)的組織都聽到過同樣可怕的警告:“在數(shù)據(jù)網(wǎng)絡(luò)上進行路由語音呼叫會將呼叫內(nèi)容暴露給竊聽者”

《企業(yè)網(wǎng)D1Net》1月9日訊

在通信領(lǐng)域,隨著VoIP應(yīng)用的廣泛,VoIP在應(yīng)用過程中遇到的問題也逐漸暴露出來。每個考慮部署VoIP電話系統(tǒng)的組織都聽到過同樣可怕的警告:“在數(shù)據(jù)網(wǎng)絡(luò)上進行路由語音呼叫會將呼叫內(nèi)容暴露給竊聽者”。

盡管事實上,任何電話呼叫都承受著某種程度被竊聽的風(fēng)險,但VoIP呼叫系統(tǒng)真的本身就具有高風(fēng)險?在本文中我們會探索VoIP竊聽的來龍去脈。

VoIP竊聽是可能的

首先澄清一件事情十分重要:竊聽VoIP呼叫絕對是可能的。同樣也可能竊聽使用傳統(tǒng)PSTN(public switched telephone network,公共交換電話網(wǎng)絡(luò))的電話呼叫。兩者的差別僅在于進行竊聽所需的工具和技能集。

在傳統(tǒng)的電話網(wǎng)絡(luò)上,如果某人尋求竊聽某個電話呼叫,通常至少在攻擊的發(fā)起階段必須物理上要么能訪問電話、或是電話線纜。這種類型的攻擊是電影中的典型。無論是好人或壞人實施該竊聽,某人要么能接觸電話聽筒、或是電話網(wǎng)絡(luò)接口箱,后者有時位于房子或辦公室的外面,然后在箱子上放置一個竊聽的監(jiān)聽設(shè)備,持續(xù)地監(jiān)控電話呼叫內(nèi)容。

可能的VoIP竊聽通常遵循同樣的過程,但利用了不同的工具。第一個要求是能訪問承載語音呼叫的媒介。這個可能通過入侵VoIP電話、運行軟電話設(shè)備的工作站、或是VoIP網(wǎng)絡(luò)基礎(chǔ)架構(gòu)組件如網(wǎng)絡(luò)交換機或線纜來達到目的。下一步,攻擊者必須利用軟件工具來捕獲網(wǎng)絡(luò)上的流量。類似于在傳統(tǒng)竊聽攻擊中的竊聽設(shè)備,網(wǎng)絡(luò)嗅探工具例如開源工具Wireshark能捕捉穿過網(wǎng)絡(luò)的所有數(shù)據(jù)報文,并且要么在線分析它們,或是寫入到某個文件后離線分析。

最后,攻擊者需要搞清楚捕獲到的數(shù)據(jù)的意義。這需要能將數(shù)據(jù)報文轉(zhuǎn)換為語音通話的翻譯工具。同樣,線上有可用的免費工具例如VOMIT和VoIPong,這些工具能幫助完成這個任務(wù)。

交換機安全至關(guān)重要

為減少像竊聽這樣的VoIP風(fēng)險,網(wǎng)絡(luò)管理員能做的最重要的事情之一,就是為網(wǎng)絡(luò)交換機部署基本的安全控制。雖然終端安全很重要,但網(wǎng)絡(luò)交換機是流量聚合的地方。大范圍的竊聽攻擊很可能是通過惡意地使用交換機的span端口,相對于來自單個終端的語音流量,該端口能鏡像穿過交換機的所有流量。

以下是一些交換機管理最佳實踐,能幫助保護這個網(wǎng)絡(luò)基礎(chǔ)設(shè)施中重要的組件:

· 重要的是,確保交換機在物理上是安全地位于被鎖著的房間,并有適當(dāng)?shù)脑L問控制。如果攻擊者能物理上訪問到交換機,那么已經(jīng)全盤皆輸了。

· 組織應(yīng)為管理交換機和其它關(guān)鍵的基礎(chǔ)設(shè)施設(shè)備使用分隔的網(wǎng)絡(luò)。對于攻擊者來說,他不應(yīng)該能夠通過訪問一般目的的網(wǎng)絡(luò)來嘗試獲得對網(wǎng)絡(luò)設(shè)備管理端口的訪問。

· 組織必須盡可能地經(jīng)常更新交換機固件,以便將廠商糾正的已知漏洞打上補丁。

當(dāng)然,比起這些基本的建議還有更多的事情可以做,從而確保交換機管理的安全。要想了解更多信息,請閱讀我們有關(guān)交換機安全的文章。

加密技術(shù)大大減輕VoIP風(fēng)險

加密技術(shù)也是在VoIP安全軍火庫中能找到的強大武器。現(xiàn)在所有主要的VoIP提供商都提供加密的能力,該方法使用密碼學(xué)的技術(shù)來混淆發(fā)生在終端間的通信。即使設(shè)法使用網(wǎng)絡(luò)嗅探器攔截語音通信,但沒有對應(yīng)的解密密鑰,竊聽者也無法解密所有經(jīng)過加密的呼叫內(nèi)容。

在部署VoIP加密技術(shù)前,確保先研究在你網(wǎng)絡(luò)上應(yīng)用該技術(shù)可能對網(wǎng)絡(luò)提供服務(wù)質(zhì)量造成的影響。加密要求大量的計算能力,并且如果沒有由廠商正確的實施,有可能會降低網(wǎng)絡(luò)上的呼叫語音質(zhì)量。也就是說,加密技術(shù)是企業(yè)應(yīng)該考慮部署的技術(shù),特別是對于那些可能承載著高敏感度信息的線路來說。

如果組織決定使用加密技術(shù)做為網(wǎng)絡(luò)上的安全措施,不能忽視使用合理的加密密鑰管理實踐這個需要。如果竊聽者能訪問企業(yè)的加密密鑰,那他可以輕易地解密語音流量。

D1Net評論:

VoIP應(yīng)用中的“竊聽風(fēng)云”問題必須徹底解決,否則會影響VoIP的應(yīng)用效果,正確防護的VoIP環(huán)境不會比傳統(tǒng)的電話系統(tǒng)具有更多的風(fēng)險。將牢固的網(wǎng)絡(luò)安全與正確部署的加密技術(shù)相結(jié)合,可以安全地在組織中充分利用VoIP技術(shù)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號