根據Gartner研究發現,現在使用VoIP的主力是在中小型企業,而家庭也在電信與有線電視公司力推之下未來幾年前景看俏,唯獨大型企業對於VoIP服務仍舊遲疑不進,因此其以『當企業要採取VoIP服務之前,會考慮到什麼?』為前提來調查北美與西歐大型企業.
|
圖一 購買VoIP之前,所考量的重點 |
|
|
|
Source:Gartner,2004年10月 |
根據研究機構Gartner的調查發現,其考慮的重點前幾名分別是:快速的價格下跌、與其他產品服務整合在一起、改善安全問題、改善通話品質的可信賴度、以及有較多的應用服務出現.
如果單純來看問題,其實前兩項問題不難解決.但是遇到資訊安全時,VoIP就成為一大缺失了. 從安全觀點來看,VoIP的缺陷還真的蠻多的.例如VoIP是透過IP網路來達到語音通話的目的.因此其安全上的威脅包括,認證失效、完整性失效與隱私權被侵犯.
在傳統電路交換系統中,交換機和配線室的物理接入通常需要截取雙方的通訊才能竊取通話的內容.如果使用IP網路的話,數據網路透過分組傳輸語音,使得語音通信的接入和截取變得非常容易,尤其是在網際網路上可以很容易地發現大量駭客散佈的惡意工具集。
總結來看,VoIP環境中特別需要注意的安全威脅包括:1.拒絕服務(Denial of Service)攻擊;2.電話竊聽(call interception);3.篡改信號協定 (signal protocol tampering);4.竊取現狀(presence theft);5.費用欺騙(toll fraud);6.呼叫處理作業系統(call handling OS).
從物理層來看,大多數VoIP設備不支援802.1x認證標準。如果要用802.11來做VoIP,就得要求無線設備商保障QoS以及漫遊的安全.
在IP層,DHCP和DNS之類服務的安全問題.會話層負責所有的認證。因此接入VoIP網路的每一部電話最好都要註冊.應用層是最難處理的部分,因為VoIP網路的大部分內容都是在電話上傳送,而電話又很難強化其安全,所以需要有針對電話失效的計畫,需要非常及時地將其更新換代。
不過VoIP面臨的安全挑戰也不是不可解決的,只是需要針對不同『層』提出一個完整的安全計畫.
--------------------------------------------------------------------------------------------------------------------------------------------