手機電話詐騙令人深惡痛絕，而企業(yè)電話會議系統(tǒng)使用卻是常態(tài)，一些不法分子甚至已將攻擊企業(yè)電話系統(tǒng)變成了一項利潤豐厚的業(yè)務。隨著SIP(會話發(fā)起協(xié)議)中繼在企業(yè)通信中越來越普遍，其也成為攻擊者的下一個目標。

[[272100]]

什么是SIP中繼

它是基于SIP(會話發(fā)起協(xié)議)將企業(yè)語音服務轉(zhuǎn)移到IP網(wǎng)絡上的一種流行方式。當然SIP中繼不僅可為企業(yè)電話系統(tǒng)提供語音服務的物理連接，還可適用于語音之外的各種通信應用，包括即時消息和視頻。一旦攻擊者入侵SIP中繼，企業(yè)的通信系統(tǒng)也就受人所控了。

SIP中繼攻擊易實現(xiàn)

曾經(jīng)有人說過，只要電話存在，就有可利用的弱點騙局。盡管這種論斷稍顯偏頗，但圍繞電話展開的攻擊卻無時不在。事實上，現(xiàn)在基于電話通信技術的惡意攻擊不僅變得頻繁，而且比以往任何時候都更容易實現(xiàn)。攻擊者通過重新安排通話線路，竊取通話時間，甚至直接展開社會工程學欺詐，如今還將觸角伸向了企業(yè)電話系統(tǒng)中的SIP中繼。

四類常見弱點需關注

面對來勢洶洶的惡意攻擊，SIP中繼會有哪些常見弱點呢?下面4點急需關注：

• 信號或呼叫攔截——部分存在漏洞的SIP中繼網(wǎng)絡可以允許敏感數(shù)據(jù)不加密通過。當攻擊者獲得對這些未加密數(shù)據(jù)的訪問權時，他們可以劫持信號并監(jiān)聽電話呼叫以檢索敏感的業(yè)務或個人信息。
• 拒絕服務攻擊——拒絕服務(DoS)攻擊是通過用數(shù)據(jù)壓倒SIP中繼網(wǎng)絡，使其對用戶不可用來實現(xiàn)的。當這些攻擊來自多臺計算機時，就是我們常聽到的分布式拒絕服務攻擊(DDoS)。
• 惡意軟件攻擊——此類攻擊可以借助任何類型的惡意軟件攻擊SIP中繼，它可以提取或竊取數(shù)據(jù)，泄露憑證，或為持續(xù)的攻擊和盜竊打開后門。病毒是一種惡意軟件，間諜軟件、廣告軟件和特洛伊木馬也是。
• 電信欺詐——這類攻擊通常利用SIP中繼漏洞修改電話號碼，使用虛假的偽裝成金融或政府機構，欺騙人們誤認為電話來源可靠，而自愿說出個人信息。

減少網(wǎng)絡漏洞

當企業(yè)了解上述面臨的攻擊類型后，接下來則該實施一些關鍵的安全策略去保證通信的安全了。雖然不能保證這些策略能讓你的企業(yè)電話系統(tǒng)100%安全，但是它至少會減少系統(tǒng)和網(wǎng)絡漏洞上提供幫助。而第一步就是減少IP電話網(wǎng)絡系統(tǒng)內(nèi)的漏洞。

默認拒絕

由于VoIP(基于IP的語音傳輸)號碼可以在世界上任何地方注冊，這就可能導致安全問題。因此建議將拒絕所有人訪問企業(yè)PBX(用戶級交換機)系統(tǒng)設為默認值，然后只允許企業(yè)的授權用戶進行訪問。

禁用不常用服務

如果有來自VoIP提供商的不常用服務，例如語音郵件等，請禁用這些功能。因為企業(yè)網(wǎng)管往往不會在這些不常使用的功能上花費精力去監(jiān)管，這就讓其成為攻擊者所覬覦的目標。俗話說，防止小偷的最好方法就是將門關上。

經(jīng)常更改密碼

在企業(yè)部署SIP中繼時，一些PBX還在使用著默認密碼，這就為字典暴力攻擊留下了入口。因此，建議立即更改PBX的默認密碼，并使用結合數(shù)字、字母、符號和大寫字母的組合強密碼為妙。

結語

盡管固話非主流通信，但在企業(yè)級電話會議應用還是常態(tài)，在無孔不入的攻擊者面前，企業(yè)電話系統(tǒng)如SIP中繼往往變?yōu)橄乱粋€惡意攻擊的目標。這時除了上述防護方法外，定期展開軟件和固件更新、限制國際呼叫(或阻止國際號碼)、管控訪問端口，以及使用VPN加密和身份驗證等方法，都將幫助企業(yè)在通信安全上構筑一座“安全長城”。