隨著科技的發(fā)展，DoS攻擊、病毒、蠕蟲、特洛伊木馬、數(shù)據(jù)包嗅探、垃圾郵件、網(wǎng)絡(luò)釣魚、電話費欺詐和偷聽……企業(yè)VoIP需要敲響安全問題警鐘。事實上，企業(yè)VoIP實際上只是IP網(wǎng)絡(luò)上的另一種應(yīng)用。當(dāng)前典型的企業(yè)IP電話系統(tǒng)的主要包括呼叫控制服務(wù)器、VoIP客戶機和VoIP網(wǎng)關(guān)。呼叫控制服務(wù)器一般運行在Linux、Windows或VxWorks等操作系統(tǒng)上。VoIP客戶機或是電話機或是軟電話。而VoIP網(wǎng)關(guān)安裝在網(wǎng)絡(luò)邊緣上，提供VoIP與PSTN之間的轉(zhuǎn)換服務(wù)。它們都使用比較標(biāo)準(zhǔn)的協(xié)議――一般要么是國際電信聯(lián)盟的H.323系列協(xié)議，要么是IETF用于服務(wù)器與客戶機的SIP和用于網(wǎng)關(guān)的MGCP（媒體網(wǎng)關(guān)控制協(xié)議）或Megaco/H.248協(xié)議。絕大多數(shù)VoIP系統(tǒng)共享數(shù)據(jù)網(wǎng)絡(luò)，依靠同樣的路由器和交換機進行語音包傳輸，并且完美地與其他數(shù)據(jù)應(yīng)用（包括消息應(yīng)用）連接。

　　從理論上講，VoIP系統(tǒng)至少像其他數(shù)據(jù)應(yīng)用一樣易于受到攻擊的威脅。羅列潛在威脅的清單長得驚人――包括DoS攻擊、病毒、蠕蟲、特洛伊木馬、數(shù)據(jù)包嗅探、垃圾郵件和網(wǎng)絡(luò)釣魚。垃圾郵件？如果你記得謝絕來電電話目錄（do-not-call-list）出現(xiàn)前的黑暗日子，就可以想象到SPIT（通過Internet電話傳送的垃圾信息）的可能。BorderWare Technolgies公司技術(shù)副總裁Andrew Graydon說："假如我想打100個電話，必須撥100次電話或使用自動撥號器?？墒抢肐P連接，我可以將一個WAV文件上載到巴哈馬的一臺計算機上，按一個鍵，立即將文件發(fā)送2000位雇員。"網(wǎng)絡(luò)釣魚只需通過假冒主叫方ID信息，偽裝成一家合法機構(gòu)的代表來實現(xiàn)。

　　其中，SIP協(xié)議是IETF定義多媒體數(shù)據(jù)和控制體系結(jié)構(gòu)中的重要組成部分。同時，由于SIP只負責(zé)提供會話連接和會話管理，而與應(yīng)用無關(guān)，因此SIP可以被用于多個領(lǐng)域。如今，市場上已隨處可見SIP IP 電話、群組視頻會議系統(tǒng)、專為服務(wù)提供商提供的音頻會議媒體服務(wù)器，以及可同時兼容H.323和SIP的音視頻會議多點控制單元。目前，SIP正給會議市場帶來廣泛的互聯(lián)互通。然而，即使是協(xié)議本身也有潛在的安全問題：

　　H.323和SIP總體上都是一套開放的協(xié)議體系。在一系列的通話過程方面，各設(shè)備廠家都有獨立的組件來承載。這些產(chǎn)品有的采用Windows NT操作系統(tǒng)，也有基于Linux的。而越是開放的操作系統(tǒng)，其產(chǎn)品應(yīng)用過程就越容易受到病毒和惡意攻擊的影響。而這些應(yīng)用都是在產(chǎn)品出廠時就已經(jīng)安裝在設(shè)備當(dāng)中的，無法保證是版本或是承諾已經(jīng)彌補了某些安全漏洞。同時，為一種新興發(fā)展技術(shù)的傳輸協(xié)議，SIP并不完善，它采用類似于FTP、電子郵件或者HTTP服務(wù)器的形式來發(fā)起用戶之間的連接。利用這種連接技術(shù)，黑客們同樣會對VoIP進行攻擊。

　　兩年前，在VoIP協(xié)議安全方面，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CERT）曾了SIP協(xié)議棧中的一個缺陷。利用該缺陷，攻擊者將有機會獲得非法訪問特權(quán)，發(fā)起DoS攻擊，造成系統(tǒng)不穩(wěn)等問題。顯然，這個缺陷與SIP設(shè)備互相發(fā)送的、用來初始化VoIP呼叫、文本聊天或視頻等話路的"邀請"信有關(guān)。

　　從原理上說，利用漏洞可以發(fā)起各種類型的攻擊。比如一旦網(wǎng)關(guān)被黑客攻破，IP電話不用經(jīng)過就可隨意撥打，未經(jīng)保護的語音通話有可能遭到攔截和竊聽，而且可以被隨時截斷。黑客利用重定向攻擊可以把語音郵件地址替換成自己指定的特定IP地址，為自己打開秘密通道和后門。而典型的是，黑客們可以騙過SIP和IP地址的限制而竊取到整個談話過程。

　　因此，并不完善的協(xié)議會導(dǎo)致嚴(yán)重的后果：如果有人通過SIP漏洞冒充你的代理人與你通話，他就可以輕易的獲取你的各種資料（其中當(dāng)然包括銀行卡號和密碼），那么，當(dāng)電話掛斷時，你辛辛苦苦賺來的積蓄將被洗劫一空。另外，一個黑客也可以很容易地在您的SIP服務(wù)器中提交超量的假服務(wù)請求，這樣服務(wù)器即不能接也不能聽電話，造成服務(wù)拒絕現(xiàn)象。

　　VoIP協(xié)議安全上的問題遠遠不止這些。在網(wǎng)絡(luò)上截取SIP的協(xié)議，很容易獲得RTP的端口和路由，然后通過特定模式很輕松地就可以實現(xiàn)竊聽。通過網(wǎng)卡的混雜模式，黑客們可以很容易就可以實現(xiàn)截獲局域網(wǎng)中所有POP3的協(xié)議？？包括口令，都是很輕松的就能截取。

　　另外，VoIP的實現(xiàn)依賴于TCP/IP協(xié)議棧的運行，所以TCP/IP協(xié)議面臨的所有安全問題我們都無法回避。一些常見而麻煩的病毒問題也注定要對VoIP應(yīng)用環(huán)境造成困擾。因此，對于VoIP設(shè)備自身，應(yīng)該比普通的計算機設(shè)備更加注重常見信息安全原則的實現(xiàn)，例如只提供必要的服務(wù)，關(guān)閉和屏蔽無用的端口；停止使用不必要的協(xié)議？？沒有必要啟用不必要和未用過的協(xié)議和服務(wù)，以免為黑客提供更多的機會。

　　忽視這些原則將造成非常嚴(yán)重的安全危害。原因顯而易見：如果VoIP的基礎(chǔ)設(shè)施不能得到有效保護，它就能夠被輕易地攻擊，存儲的談話內(nèi)容就會被竊聽。與傳統(tǒng)的電話設(shè)備相比，用于傳輸VoIP的網(wǎng)絡(luò)━━路由器、服務(wù)器，甚至是交換機，都更容易受到攻擊。而傳統(tǒng)電話使用的PBX,它是穩(wěn)定和安全的。

　　傳統(tǒng)電話的壟斷時代即將過去，屬于VoIP的時代正在來臨。這都迫使VoIP服務(wù)提供商們重新審視他們的技術(shù)重心。值得欣慰的是，目前的一些傳輸協(xié)議日趨完善，而且各公司已經(jīng)開始意識到VoIP協(xié)議安全的重要性了。