研究機(jī)構(gòu)公布VoIP安全漏洞

Kate Dostart 2007/07/23

　　VOIP的安全風(fēng)險(xiǎn)是阻止多IT部門(mén)采用該系統(tǒng)的主要因素之一。除此之外，為了對(duì)抗止拒絕服務(wù)攻擊(DoS)，緩沖溢出攻擊和黑客攻擊，很多公司準(zhǔn)備去找出那些隱藏的安全漏洞。
　　其中就有這樣一個(gè)公司，這種對(duì)抗已經(jīng)持續(xù)了將近三年半的時(shí)間。在最近的一個(gè)聲明中，Sipera VIPER 實(shí)驗(yàn)室針對(duì)基于SIP的軟件電話(huà)和基于WEB的即時(shí)信息服務(wù)(特別是AOL，AVAYA，MSN和Nortel公司的產(chǎn)品)給出了七條新的安全建議。另外還為Avaya公司基于SIP的硬件電話(huà)提出了四條建議。
　　在2003年，Sipera 系統(tǒng)有限公司創(chuàng)建，伙同相關(guān)聯(lián)的Sipera VIPER實(shí)驗(yàn)室查出那些威脅VOIP在企業(yè)順利使用的安全漏洞。在對(duì)VOIP和IP通信進(jìn)行嚴(yán)格測(cè)試后，Sipera公司宣布他們已經(jīng)隨時(shí)準(zhǔn)備好為廠商和用戶(hù)通告那些會(huì)妨礙VOIP電話(huà)設(shè)備及軟件電話(huà)正常應(yīng)用的漏洞，
　　“VIPER實(shí)驗(yàn)室只關(guān)注VOIP和統(tǒng)一通信,”銷(xiāo)售主管布林達(dá)說(shuō)道。“提前找出漏洞，可以使我們?cè)谠馐芄�擊之前就做好�?duì)VOIP的保護(hù)。”
　　VIPER實(shí)驗(yàn)室提交的這些警報(bào)表明 VOIP軟件電話(huà)很容易出現(xiàn)諸如資源枯竭，緩沖溢出，拒絕服務(wù)攻擊以及SIP分析錯(cuò)誤的問(wèn)題。為發(fā)出這些警報(bào)，VIPER實(shí)驗(yàn)室首先聯(lián)系廠商，向他們提供硬件和軟件所存在的潛在漏洞。一旦廠商留意到這些漏洞，Sipera公司就向消費(fèi)者提交所有結(jié)果，包括產(chǎn)生潛在問(wèn)題的系統(tǒng)以及那些產(chǎn)品。
　　在最近的警報(bào)中，VIPER 發(fā)現(xiàn)了大量只產(chǎn)生于軟件電話(huà)的漏洞。
　　“軟件電話(huà)給通信提供了很大靈活性，但是卻極易受到攻擊。這些不僅僅會(huì)使VOIP系統(tǒng)遭受風(fēng)險(xiǎn)，還會(huì)危及到網(wǎng)絡(luò)環(huán)境的正常運(yùn)行。Krishna Kurapati(Sipera系統(tǒng)有限公司創(chuàng)建人/首席技術(shù)官、Sipera VIPER實(shí)驗(yàn)室所長(zhǎng))說(shuō)道：“這些未知的漏洞會(huì)破壞重要的商業(yè)交易和個(gè)人電話(huà)通訊，這就抑制了VoIP的很多優(yōu)勢(shì)。Sipera愿意與顧客和廠商一起在問(wèn)題變嚴(yán)重前找出這些風(fēng)險(xiǎn)。”
　　對(duì)硬件電話(huà)的風(fēng)險(xiǎn)建議是專(zhuān)門(mén)針對(duì)AVAYA公司型號(hào)為4602SW 的電話(huà)的，因?yàn)檫@種型號(hào)的電話(huà)很容易陷入被攻擊，如偽裝一個(gè)服務(wù)器來(lái)接收那些隨機(jī)IP源地址傳送來(lái)的信息，UDP端口泛洪，RTP端口泛洪。這些漏洞會(huì)導(dǎo)致這種電話(huà)惡意呼叫，拒絕服務(wù)，和語(yǔ)音質(zhì)量下降。
　　VIPER 表示在他們提供給銷(xiāo)售商的警報(bào)中也包括這些內(nèi)容，他們的調(diào)查報(bào)告證實(shí)這可以很大減輕已知漏洞的危害性。VIPER認(rèn)為比起僅僅預(yù)警給銷(xiāo)售商和廠商，通過(guò)給銷(xiāo)售商、廠商、用戶(hù)漏洞三方面提交警報(bào)，可以更好防護(hù)黑客對(duì)現(xiàn)有VoIP的攻擊。
　　在被問(wèn)及為什么這些警報(bào)如此重要的時(shí)候，Ziolo強(qiáng)調(diào)道：“VoIP是因特網(wǎng)的一種應(yīng)用，擁有它自己的安全需求，理解這一點(diǎn)是很重要的，企業(yè)應(yīng)該認(rèn)識(shí)到要建立一個(gè)安全的VoIP網(wǎng)絡(luò)是一個(gè)很大的挑戰(zhàn)--不是不可能的，這需要花費(fèi)大量的時(shí)間,做大量的工作.”
　　“VoIP的風(fēng)險(xiǎn)因素不會(huì)阻止公司去實(shí)現(xiàn)VoIP系統(tǒng)，” Ziolo補(bǔ)充到，“不過(guò)他們會(huì)抑制公司去充分實(shí)現(xiàn)VoIP的優(yōu)勢(shì)。”

IT專(zhuān)家網(wǎng)