避免网路电话三大安全威胁 专家授机宜

网路电话（VoIP)自1995年开始萌芽，历经国际通信业者10多年的研发及应用，目前在技术上已日臻成熟。随着全球宽频网络的普及，网络电话更加蓬勃发展，已成为一个不可阻挡的发展趋势，对传统电话形成严峻挑战。

不过与传统电话相比，网络电话安全性不如传统电话。随着使用网络电话人数的增加，黑客进行网路电话攻击的机会也随之增加。这些安全威胁涉及隐私权、电话盗打和恶意攻击等问题，可能冲击所有网路电话使用者。许多企业为了节省开支已开始使用会议网路电话，不过在导入网路电话之际必须认真考虑其安全性。

在网路电话的各类安全威胁中，有三种威胁是最危险的，特别是对没有足够防护的小型企业更是如此。他们是阻断服务攻击（denial of service，DoS），垃圾网路电话（spam over internet telephony，SPIT）和网路电话诈欺（fraud）。那么如何保护企业的网路电话免受这三大安全威胁的影响？下面由各路网络专家向您传授机宜。

避开阻断服务攻击

网路电话的最大威胁是分散式（distributed）阻断服务攻击。它可以影响所有连接互连网的设备，并且藉由假流量或伺服器要求来泛滥网路从而达成攻击目的。这种攻击是由受到病毒或其他恶意软件感染的机器运作，而流量大增表示受影响的伺服器无法处理任何有效的要求，导致整个系统停止运作。

致力于反恶意软件的Trend Micro公司首席技术主管兰德（Dave Rand）表示：“这么多连网的机器已经被感染，所以即使是小规模阻断服务攻击也有约每秒2G字节的流量，大的可达到17G。我们认为7%的上网个人电脑受到感染，而且单单在欧洲、中东及非洲就有680万台机器被用来传送垃圾邮件。”

垃圾邮件传播者以 “低又慢”的方式(low and slow approach)培养这些机器网路，所以使用者根本不知道他们的机器已经被感染。在阻断服务攻击中，使用者会立即感受到服务品质的下降，而且最后他们的网路电话机停止工作。对想要瘫痪机构整个通讯系统的骇客而言，散式阻断服务攻击是一个非常有效的工具。

防御网路不受分散式阻断服务攻击非常困难，不过企业至少可以不让他们的机器成为问题的一部份。企业应该利用防毒软体并且保持更新，设置防火墙，设定好流量进出限制，并且用反垃圾邮件的工具以减低邮件传播的恶意软体。

好的网路习惯，如更改登入设定，并且使用防火墙，可以减轻这类攻击的影响。雇用顾问做网路电话安全稽核是值得花的钱。贩售电话交换机的Mitel 公司的网路技术主任约克（Dan York）建议企业为语音流量使用单独的语音网路，所以一旦有任何分散式阻断服务攻击就可以优先处理。有些路由器也可以抑制流量的进入以使网路不被完全泛滥。

为了降低被攻击的风险，Tipping Point公司的恩德勒（Endler）认为，企业必须审慎检视网路电话基础架构，并且确定所有不需要的应用都被移除。将网路伺服器建置在网路电话机内以便于遥控管理是一个好办法。如果这些没有适当的设定好，企业可能发现被古狗在网路上编索引。其他必须移除的应用还包括网络终端载入（telnet）以及档案传输程式（FTP）。

阻止垃圾网路电话

垃圾电子邮件几年来都是热门话题。商业或恶意垃圾邮件现在占到全球电子邮件的大部份。根据分析师拉迪凯提（Radicati）所称，2006年在欧洲每天有160亿条（代表62%的欧洲电子邮件）的垃圾讯息被发出，到2010年这个数字将会增加到每天370亿条。

已经有人担心网路电话也会面临相同的命运。当然，垃圾邮件传播者有足够的能力 而且很乐于接受一个新的语音管道来传播讯息。如果网路电话像电子邮件一样遭受相同的痛苦，企业的网路电话就不能用了。

垃圾网路电话的问题在于目前存在的反垃圾邮件的方法无法派上用场。Ovum公司 分析师提特林顿（Graham Titterington）表示：“普通的内容过滤器（content filter）没有用，虽然有些人期望于语音辨识（speech recognition）能解决问题。不过更可能的是，公司采用流量分析来辨别网路垃圾电话的来源，并且拦截来自受感染伺服器的流量。”

垃圾网路电话的可能威胁正在促使商家开发其它替代性反垃圾解决方案。日本电器公司（NEC）已经公布一个叫作“网路电话海豹”（VoIP Seal）的模组工具（modular tool）使用多种方法来分辨垃圾网路电话。当一通电话进来的时候，系统通过检查其来源是否可疑从而决定这通电话是否是垃圾。

如果是一通可疑电话，它就会被转到使用“突林测试法”（Turing test）来辨识电话那端是人还是机器的自动系统。这个系统会发出通告并且侦测对方是否要说话。其它方式包括让系统决定对方身份以便只让特定的对方通过，不过这又可能陷入伪造身份以欺骗登录（spoofing）的危险之中。

尽管垃圾网路电话的潜在后果是可怕的，但到目前为止尚没有太多证明任何真实的垃圾网路电话攻击已经发生。根据Mitel公司的约克表示，主要原因在于目前多数网路电话系统还处于公共电话交换网路（public switched telephone network ，PSTN）之中。因为多数网路电话网还没有直接互连，大部份的网路电话在某些段落要通过公共电话交换网路。然而这个威胁是存在的，尤其在网路电话能够自行连结而不须经过公共电话交换网路之时会更为显著。企业将应将此当成预先警告，必须准备现在就切实将他们反垃圾邮件的努力延伸到语音。

对抗网络电话欺诈现象

黑客进行网络电话欺诈的手法相当多，可以伪造身份以欺骗登录，藉此盗打电话，也能使用简单的封包窃听程式，进行非法窃听。黑客还可能入侵小型电讯业者的入口网站，盗取“语音时段”并以印制好的电话卡或以电话操作中心方式转售。

据纽约一家电讯公司Stealth Communications统计，这些黑客每月平均盗取二亿分钟，约值二千六百万美元的网络电话时段。要抓出这些偷盗者并不容易，因为他们主要分布在网络上，且涉及全世界五千多家网络电话批发时段市场。香港一家专门调查网络电话欺诈现象的公司表示，偷盗者的行踪遍及保加利亚、加拿大、哥斯达黎加、香港和美国。

网络电话欺诈中的一个严重问题是由恶意软件造成的诈欺。企业最担心的可能是高费率诈欺，就是罪犯入侵网路电话系统并且拨打高费率的电话号码。

这种诈欺并不是新鲜事，交换机一直都受到这类骇客的伤害。不同的是，网路电话系统比交换机系统更容易遭到骇客的积极入侵。

约克表示：“像这样的老问题可以用电话记录软体（call-accounting software）这种传统方式来解决。大部份的交换机有分析电话记录的设备以便让商家很快地辨别出异常现象。”

网络电话欺诈可能对消费者比对企业更具威胁，因为从电子邮件网路钓鱼试练（phishing）出的诈欺技术可以直接用于语音电话。语音网路钓鱼初期可能会有大量的诈欺，因为与电子邮件相比，使用者比较相信电话讯息。已经有一些聪明的网路钓鱼攻击结合电子邮件和语音来扩大骗局的可信度。

在网路电话安全联盟（VoIP Security Alliance）的部落格上详细记载了一个例子，是一个号称从PayPal发出的电子邮件，要求用户打电话以证明他们的帐户细节。除了使用网路电话外，这个骗局并无新意。不幸的是，诈骗人仅仅录制真实的声音就能让这个自动服务完全取信于人。用户能够决定这是不是诈欺的唯一办法是检查他们拨打的号码与 PayPal的真实电话号码是否相符。

网路电话的安全威胁确实存在，如果企业采取适当措施还是可以确保他们的语音通讯得以安全实施。

资料来源：silicon.com网站、新闻周刊 看中国网站 禁止建立鏡像網站。返回正版看中国网站。

来源:大纪元

短网址: 版权所有，任何形式转载需本站授权许可。 严禁建立镜像网站.