VOIP安全比語音品質更值得重視
以往許多人對VOIP(
網路電話 )
是停留在聲音延遲,斷續等品質不良印象,但隨著全球網路頻寬提升,加上QOS語音優先的技術,語音品質已經不是議題。接下來,許多人,尤其是企業機構更關注在VOIP的安全性。理論上VOIP是以語音的數據封包的方式在網路傳輸,與其他資料型的數據封包傳輸的途徑與形式相同,安全性也是差異不大。但比起傳統的電話語音傳輸,VOIP應該更為安全性。
VOIP在網路的安全性
?
需多人以為傳統電話比較沒有安全疑慮,事實上竊聽傳統電話遠比網路電話簡單。一般電話總機工程人員常用的查線工具(鱷魚夾),併接在你的電話線或電信箱就可以完全聽到你的對話。市面上也可便宜的買到許多電話竊聽器,接到電信線路就可將你的對話全部錄音。這並沒有太高的技術門檻。
基本上,VOIP聲音傳輸的安全性,在網路上就如同資料在網路傳送一樣。如果你有足夠的網路安全措施,不管對資料或對聲音,都是得到同樣保障。
以區域網路而言,早期集線器是以HUB
為主,所有封包都會傳送到HUB每一個端口,因此,竊聽者只需將竊聽設備接到HUB其中一孔,就可將語音封包蒐集進來聽取。但現在的集線器都是
Switch HUB,封包傳送只有在兩點之間,語音傳送也僅限於傳送方與接收方的網路端口,竊聽語音就變得困難許多。
那如果VOIP的傳送是透過
Internet 呢 ? 如果要在茫茫internet
上,蒐集某一個IP位址發出來的封包,將之解開,重組再轉成語音聽取,難度是相當高的,何況VOIP如果是躲在路由器或防火牆底下,更大大提高了竊聽門檻。
VOIP
的風險在哪裡?
被竊聽的風險不大,但另一風險
– 被盜打電話卻時有所聞。VOIP
如果是網內撥打 ( VOIP to VOIP ),是不需費用的,駭客也沒有興趣。但如果你有透過電信公司做網外撥打,那風險就產生了。到打電話不純粹是惡搞,他還可大賺其錢,駭客通常在國外申請所謂的付費式服務電話
( 如0204 ),當有電話撥入,他就可抽取定比率的通話費,打得越多、賺的越多。於是,駭客寫程式以電腦駭到你的VOIP
設備,大打特打,等你發現,已經損失慘重,在台灣有發生一個月內被盜打70多萬元的慘劇。
基本上如果要註冊到VOIP
Server 成為分機,只需幾個參數: IP、端口(
通常為5060 )、 帳號、
密碼。需多人為省事,將帳密設成與分機號碼相同 ( 如
100,101…),就很容易被暴力破解而遭盜打。
那要如何建構安全的 VOIP系統
-
建構安全網路環境
在防止駭客盜打與竊聽VOIP,與防止電腦資料被竊取所做的所做的網路安全措施,是大同小異的,你建構的網路越安全,你VOIP的設備也越不會被盜。採用一個防火牆來保護你的電腦設備及VOIP設備是絕對有必要的。
-
QOS / VLAN
語音的品質除了VOIP設備本身的效能外,與網路頻寬有相當的關係。有些路由器或Switch有QOS的功能可讓語音封包通過,或保證一定頻寬給VOIP使用,可
讓語音品質更好。另一種方法是採用
VLAN 的方式,讓資料傳輸與語音傳輸在不同的網路進行,避免封包互相干擾影響通話品質。
-
Ports
更改
在VOIP設備中,SIP及
H.323 是最常用到的兩個通訊標準。SIP用到
UDP 5060 端口, H.323
用到 UDP1718,1719, 這些在業界的標準port
也是最容易被駭客入侵的port,
盡可能改用其他的端口,以增加入侵的困難度。
-
分機帳密
在SIP
server設定分機時,通常不會超過4碼,而在設分機的帳密時,管理人員有時求方便,帳密設得太短,或與分機相同,就很容易被駭客猜到而登入盜用VOIP設備。帳密設置最好大小寫,英數字混搭,超過8碼以上就相對安全。
-
限撥國際或增加前置碼
駭客大都來自海外,盜打國際電話。因此將你的分機限撥國外 ( 必要的分機才開放),撥打時避免一般的前置冠碼(如
002, 011, 00 ), 而改用其他的前置碼(如17911
) 也是增加VOIP安全的方法之一。
結論
就跟所有的資安一樣,沒有號稱絕對安全的防護。VOIP也如此,但只要多花一點功夫,他是可以比傳統的電話更安全。
|