首頁>>>技術(shù)>>>VoIP

VoIP六惑(之二)

2007/08/13

3.VoIP安全嗎?

  VoIP的安全性是一個(gè)寬泛的問題,涉及到IP電話系統(tǒng)工作的各個(gè)方面,以及VoIP系統(tǒng)的各個(gè)網(wǎng)絡(luò)組件。據(jù)有關(guān)調(diào)查顯示,目前VoIP對(duì)于多數(shù)企業(yè)而言還不夠安全。

  50%的認(rèn)可

  在最近的一項(xiàng)CompTIA 研究中,只有一半的CIO認(rèn)為企業(yè)VoIP產(chǎn)品和服務(wù)中所采用的安全技術(shù)能夠提供充分的保障。這項(xiàng)調(diào)查訪問了350家員工人數(shù)在500人左右的公司。調(diào)查表明,雖然這些企業(yè)有很多對(duì)VoIP的安全性表示了滿意,但無線以及軟件等傳輸方面存在的安全弱點(diǎn)乃是企業(yè)所擔(dān)心的最大門檻。

  在CompTIA的調(diào)查中,人們的擔(dān)憂不僅局限于VoIP設(shè)備和軟件可能受到的攻擊上,而且也包括蠕蟲或病毒的大規(guī)模爆發(fā)可能對(duì)IP語音呼叫的質(zhì)量構(gòu)成的影響。蠕蟲和病毒會(huì)導(dǎo)致企業(yè)網(wǎng)絡(luò)數(shù)據(jù)流量大增,因此,有可能導(dǎo)致電子郵件投遞延誤以及應(yīng)用響應(yīng)速度變慢,僅延遲一項(xiàng)就可能使IP電話通話完全中斷。

  來自軟件的威脅

  在VoIP產(chǎn)品中,漏洞最多的是IP電話應(yīng)用系統(tǒng)和操作系統(tǒng)等軟件。例如,Cisco在過去18個(gè)月中,共發(fā)布了9次重大產(chǎn)品漏洞警報(bào),涉及的產(chǎn)品從IP電話和IP PBX到執(zhí)行VoIP處理和功能的路由器。這9次警報(bào)已經(jīng)具備了足夠的嚴(yán)重性,廠商完全有必要發(fā)布軟件補(bǔ)丁。相比之下,Cisco在同樣的18個(gè)月中,只公布了兩個(gè)與VoIP直接相關(guān)的漏洞。

  另外,許多廠商的IP電話處理和消息產(chǎn)品都運(yùn)行在Linux、Windows、Sun或其他服務(wù)器操作系統(tǒng)上。軟件電話通常都運(yùn)行在Windows桌面系統(tǒng)上,而基于VoIP的呼叫中心平臺(tái)等應(yīng)用也可能涉及其他多種應(yīng)用。根據(jù)研究性網(wǎng)站Secunia的報(bào)告,如果將這些因素都考慮在內(nèi),Avaya共公布了25個(gè)產(chǎn)品安全性警報(bào),其中既有直接與VoIP產(chǎn)品有關(guān)的,也有可能影響到Avaya技術(shù)運(yùn)行的下層軟件產(chǎn)品的。而Internet安全系統(tǒng)X-Force漏洞數(shù)據(jù)庫在過去的5年中,共收錄了100條與VoIP產(chǎn)品、應(yīng)用和下層協(xié)議有關(guān)的漏洞報(bào)告。

  協(xié)議的缺陷

  一些安全研究人員認(rèn)為,某些VoIP協(xié)議的基本技術(shù)天生就容易受到黑客、拒絕服務(wù)或呼叫截獲攻擊。

  Scanit公司的研究員Sheran Gunasekera在一篇報(bào)告中指出,如果攻擊的目標(biāo)設(shè)備和流量使用的是沒有加密的標(biāo)準(zhǔn)協(xié)議,那么,VoIP呼叫截獲有時(shí)是非常容易的。Scanit稱,該公司在測試時(shí)使用了標(biāo)準(zhǔn)SIP信令協(xié)議和實(shí)時(shí)協(xié)議(RTP)作為傳輸媒介,結(jié)果證明這些都很容易被截獲。

  Gunasekera在報(bào)告中指出,專門針對(duì)基于SIP的VoIP對(duì)話的“信令攻擊有可能竊聽通話的內(nèi)容,也可能重新路由或者截獲這些通話。而且SIP消息的重放或重新發(fā)送也很方便,可以很容易地傳送給基于SIP的呼叫控制設(shè)備,為SIP呼叫增加參與者或者對(duì)流量進(jìn)行重新路由!

  此外,“在典型的VoIP實(shí)施中,媒體流攻擊在執(zhí)行時(shí)也很方便!惫粽呓孬@任何RTP流后都可以使用相關(guān)的音頻編碼解碼器對(duì)其進(jìn)行解碼,并且可以記錄和收聽實(shí)際的聲音!

  其他的新型VoIP威脅還包括惡意VoIP音頻編碼解碼器。理論上來說,這些所謂的“惡意編碼解碼器”是一種用于使VoIP端點(diǎn)或服務(wù)器發(fā)生崩潰的VoIP音頻流。VoIP業(yè)界先驅(qū)Henry Sinnreich在運(yùn)營商MCI公司工作時(shí)曾經(jīng)參與過SIP的早期實(shí)施。他最近指出,研究人員已經(jīng)證實(shí),這類攻擊是完全可能的。

  過度安全憂慮癥

  Gartner公司研究員Lawrence Orans在一次訪談時(shí)說:“竊聽是一個(gè)被過度炒作的威脅。當(dāng)然,從技術(shù)上來說確實(shí)可以執(zhí)行一項(xiàng)中間人式的攻擊,并且捕獲一些包。但人們對(duì)這一問題明顯有些反應(yīng)過度了。最重要的是將注意力集中于更大的威脅上,例如對(duì)IP PBX服務(wù)器本身的攻擊!

  VoIP安全聯(lián)盟(VoIPSA)主席兼安全研究機(jī)構(gòu)、TippingPoint公司創(chuàng)始人David Endler認(rèn)為:“如果按照最佳慣例來做,完全有可能實(shí)現(xiàn)安全的VoIP部署。所有這些系統(tǒng)的安全都是可以實(shí)現(xiàn)的,但用戶需要一些專業(yè)的知識(shí)才能達(dá)到這一目的!笔褂肰oIP信令(SIP和H.323)和負(fù)載流(通常為RTP和UDP)上的加密技術(shù)即可實(shí)現(xiàn)安全的VoIP部署。要想確保IP PBX服務(wù)器的安全,則需要施加補(bǔ)丁和正確地進(jìn)行配置,并且需要嚴(yán)格限制可接受IP端點(diǎn)的流量類型。

  Orans認(rèn)為,IT安全最佳慣例可以對(duì)抗VoIP網(wǎng)絡(luò)遇到的多數(shù)常見威脅。他在報(bào)告中指出:“那些認(rèn)真使用安全最佳慣例的企業(yè)完全可以保護(hù)其IP電話服務(wù)器,防止VoIP威脅給自己的計(jì)劃帶來災(zāi)難!

  在過去的一些訪談和報(bào)告中,他還指出,人們對(duì)VoIP安全威脅的擔(dān)憂多數(shù)都源于炒作和臆斷,并不是企業(yè)IT專家面臨的實(shí)際安全問題。他甚至指責(zé)VOIPSA和其他一些VoIP安全警報(bào)機(jī)構(gòu)在過去故意“散布謠言”。

  他說:“對(duì)IP電話實(shí)施的威脅被過分夸大了,實(shí)際的攻擊事件其實(shí)非常罕見。”(未完待續(xù))

  相關(guān)鏈接

  常見的VoIP安全威脅

網(wǎng)界網(wǎng)



相關(guān)鏈接:
VoIP六惑(之一) 2007-08-13
VoIP遷移不可忽視的細(xì)節(jié) 2007-08-13
專家VoIP經(jīng)驗(yàn)短談 2007-08-13
VoIP:語音管理者應(yīng)該知道什么 2007-08-10
國內(nèi)外運(yùn)營商移動(dòng)IP發(fā)展現(xiàn)狀 2007-08-10

分類信息: