避免網路電話三大安全威脅 專家授機宜

網路電話（VoIP)自1995年開始萌芽，歷經國際通信業者10多年的研發及應用，目前在技術上已日臻成熟。隨著全球寬頻網路的普及，網路電話更加彭勃發展，已成為一個不可阻擋的發展趨勢，對傳統電話形成嚴峻挑戰。

不過與傳統電話相比，網路電話安全性不如傳統電話。隨著使用網路電話人數的增加，黑客進行網路電話攻擊的機會也隨之增加。這些安全威脅涉及隱私權、電話盜打和惡意攻擊等問題，可能衝擊所有網路電話使用者。許多企業為了節省開支已開始使用會議網路電話，不過在導入網路電話之際必須認真考慮其安全性。

在網路電話的各類安全威脅中，有三種威脅是最危險的，特別是對沒有足夠防護的小型企業更是如此。他們是阻斷服務攻擊（denial of service，DoS），垃圾網路電話（spam over internet telephony，SPIT）和網路電話詐欺（fraud）。那麼如何保護企業的網路電話免受這三大安全威脅的影響？下面由各路網路專家向您傳授機宜。

避開阻斷服務攻擊

網路電話的最大威脅是分散式（distributed）阻斷服務攻擊。它可以影響所有連接互連網的設備，並且藉由假流量或伺服器要求來氾濫網路從而達成攻擊目的。這種攻擊是由受到病毒或其他惡意軟體感染的機器運作，而流量大增表示受影響的伺服器無法處理任何有效的要求，導致整個系統停止運作。

致力於反惡意軟體的Trend Micro公司首席技術主管蘭德（Dave Rand）表示：「這麼多連網的機器已經被感染，所以即使是小規模阻斷服務攻擊也有約每秒2G位元組的流量，大的可達到17G。我們認為7%的上網個人電腦受到感染，而且單單在歐洲、中東及非洲就有680萬臺機器被用來傳送垃圾郵件。」

垃圾郵件傳播者以 「低又慢」的方式(low and slow approach)培養這些機器網路，所以使用者根本不知道他們的機器已經被感染。在阻斷服務攻擊中，使用者會立即感受到服務品質的下降，而且最後他們的網路電話機停止工作。對想要癱瘓機構整個通訊系統的駭客而言，散式阻斷服務攻擊是一個非常有效的工具。

防禦網路不受分散式阻斷服務攻擊非常困難，不過企業至少可以不讓他們的機器成為問題的一部分。企業應該利用防毒軟體並且保持更新，設置防火牆，設定好流量進出限制，並且用反垃圾郵件的工具以減低郵件傳播的惡意軟體。

好的網路習慣，如更改登入設定，並且使用防火牆，可以減輕這類攻擊的影響。僱用顧問做網路電話安全稽核是值得花的錢。販售電話交換機的Mitel 公司的網路技術主任約克（Dan York）建議企業為語音流量使用單獨的語音網路，所以一旦有任何分散式阻斷服務攻擊就可以優先處理。有些路由器也可以抑制流量的進入以使網路不被完全氾濫。

為了降低被攻擊的風險，Tipping Point公司的恩德勒（Endler）認為，企業必須審慎檢視網路電話基礎架構，並且確定所有不需要的應用都被移除。將網路伺服器建置在網路電話機內以便於遙控管理是一個好辦法。如果這些沒有適當的設定好，企業可能發現被古狗在網路上編索引。其他必須移除的應用還包括網路終端載入（telnet）以及檔案傳輸程式（FTP）。

阻止垃圾網路電話

垃圾電子郵件幾年來都是熱門話題。商業或惡意垃圾郵件現在佔到全球電子郵件的大部分。根據分析師拉迪凱提（Radicati）所稱，2006年在歐洲每天有160億條（代表62%的歐洲電子郵件）的垃圾訊息被發出，到2010年這個數字將會增加到每天370億條。

已經有人擔心網路電話也會面臨相同的命運。當然，垃圾郵件傳播者有足夠的能力 而且很樂於接受一個新的語音管道來傳播訊息。如果網路電話像電子郵件一樣遭受相同的痛苦，企業的網路電話就不能用了。

垃圾網路電話的問題在於目前存在的反垃圾郵件的方法無法派上用場。Ovum公司 分析師提特林頓（Graham Titterington）表示：「普通的內容過濾器（content filter）沒有用，雖然有些人期望於語音辨識（speech recognition）能解決問題。不過更可能的是，公司採用流量分析來辨別網路垃圾電話的來源，並且攔截來自受感染伺服器的流量。」

垃圾網路電話的可能威脅正在促使商家開發其它替代性反垃圾解決方案。日本電器公司（NEC）已經公布一個叫作「網路電話海豹」（VoIP Seal）的模組工具（modular tool）使用多種方法來分辨垃圾網路電話。當一通電話進來的時候，系統通過檢查其來源是否可疑從而決定這通電話是否是垃圾。

如果是一通可疑電話，它就會被轉到使用「突林測試法」（Turing test）來辨識電話那端是人還是機器的自動系統。這個系統會發出通告並且偵測對方是否要說話。其它方式包括讓系統決定對方身份以便只讓特定的對方通過，不過這又可能陷入偽造身份以欺騙登錄（spoofing）的危險之中。

儘管垃圾網路電話的潛在後果是可怕的，但到目前為止尚沒有太多證明任何真實的垃圾網路電話攻擊已經發生。根據Mitel公司的約克表示，主要原因在於目前多數網路電話系統還處於公共電話交換網路（public switched telephone network ，PSTN）之中。因為多數網路電話網還沒有直接互連，大部分的網路電話在某些段落要通過公共電話交換網路。然而這個威脅是存在的，尤其在網路電話能夠自行連結而不須經過公共電話交換網路之時會更為顯著。企業將應將此當成預先警告，必須準備現在就切實將他們反垃圾郵件的努力延伸到語音。

對抗網路電話欺詐現象

黑客進行網路電話欺詐的手法相當多，可以偽造身份以欺騙登錄，藉此盜打電話，也能使用簡單的封包竊聽程式，進行非法竊聽。黑客還可能入侵小型電訊業者的入口網站，盜取「語音時段」並以印製好的電話卡或以電話操作中心方式轉售。

據紐約一家電訊公司Stealth Communications統計，這些黑客每月平均盜取二億分鐘，約值二千六百萬美元的網路電話時段。要抓出這些偷盜者並不容易，因為他們主要分布在網路上，且涉及全世界五千多家網路電話批發時段市場。香港一家專門調查網路電話欺詐現象的公司表示，偷盜者的行蹤遍及保加利亞、加拿大、哥斯大黎加、香港和美國。

網路電話欺詐中的一個嚴重問題是由惡意軟體造成的詐欺。企業最擔心的可能是高費率詐欺，就是罪犯入侵網路電話系統並且撥打高費率的電話號碼。

這種詐欺並不是新鮮事，交換機一直都受到這類駭客的傷害。不同的是，網路電話系統比交換機系統更容易遭到駭客的積極入侵。

約克表示：「像這樣的老問題可以用電話記錄軟體（call-accounting software）這種傳統方式來解決。大部分的交換機有分析電話記錄的設備以便讓商家很快地辨別出異常現象。」

網路電話欺詐可能對消費者比對企業更具威脅，因為從電子郵件網路釣魚試練（phishing）出的詐欺技術可以直接用於語音電話。語音網路釣魚初期可能會有大量的詐欺，因為與電子郵件相比，使用者比較相信電話訊息。已經有一些聰明的網路釣魚攻擊結合電子郵件和語音來擴大騙局的可信度。

在網路電話安全聯盟（VoIP Security Alliance）的部落格上詳細記載了一個例子，是一個號稱從PayPal發出的電子郵件，要求用戶打電話以證明他們的帳戶細節。除了使用網路電話外，這個騙局並無新意。不幸的是，詐騙人僅僅錄製真實的聲音就能讓這個自動服務完全取信於人。用戶能夠決定這是不是詐欺的唯一辦法是檢查他們撥打的號碼與 PayPal的真實電話號碼是否相符。

網路電話的安全威脅確實存在，如果企業採取適當措施還是可以確保他們的語音通訊得以安全實施。

資料來源：silicon.com網站、新聞週刊 看中國網站 禁止建立鏡像網站 。

来源:大紀元

短网址: 版權所有，任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。