VoIP六惑（之二）

2007-08-13 00:00:00 作者：來源：評論：0 點擊：

　　50%的認(rèn)可
　　在最近的一項CompTIA 研究中，只有一半的CIO認(rèn)為企業(yè)VoIP產(chǎn)品和服務(wù)中所采用的安全技術(shù)能夠提供充分的保障。這項調(diào)查訪問了350家員工人數(shù)在500人左右的公司。調(diào)查表明，雖然這些企業(yè)有很多對VoIP的安全性表示了滿意，但無線以及軟件等傳輸方面存在的安全弱點乃是企業(yè)所擔(dān)心的最大門檻。
　　在CompTIA的調(diào)查中，人們的擔(dān)憂不僅局限于VoIP設(shè)備和軟件可能受到的攻擊上，而且也包括蠕蟲或病毒的大規(guī)模爆發(fā)可能對IP語音呼叫的質(zhì)量構(gòu)成的影響。蠕蟲和病毒會導(dǎo)致企業(yè)網(wǎng)絡(luò)數(shù)據(jù)流量大增，因此，有可能導(dǎo)致電子郵件投遞延誤以及應(yīng)用響應(yīng)速度變慢，僅延遲一項就可能使IP電話通話完全中斷。
　　來自軟件的威脅
　　在VoIP產(chǎn)品中，漏洞最多的是IP電話應(yīng)用系統(tǒng)和操作系統(tǒng)等軟件。例如，Cisco在過去18個月中，共發(fā)布了9次重大產(chǎn)品漏洞警報，涉及的產(chǎn)品從IP電話和IP PBX到執(zhí)行VoIP處理和功能的路由器。這9次警報已經(jīng)具備了足夠的嚴(yán)重性，廠商完全有必要發(fā)布軟件補(bǔ)丁。相比之下，Cisco在同樣的18個月中，只公布了兩個與VoIP直接相關(guān)的漏洞。
　　另外，許多廠商的IP電話處理和消息產(chǎn)品都運(yùn)行在Linux、Windows、Sun或其他服務(wù)器操作系統(tǒng)上。軟件電話通常都運(yùn)行在Windows桌面系統(tǒng)上，而基于VoIP的呼叫中心平臺等應(yīng)用也可能涉及其他多種應(yīng)用。根據(jù)研究性網(wǎng)站Secunia的報告，如果將這些因素都考慮在內(nèi)，Avaya共公布了25個產(chǎn)品安全性警報，其中既有直接與VoIP產(chǎn)品有關(guān)的，也有可能影響到Avaya技術(shù)運(yùn)行的下層軟件產(chǎn)品的。而Internet安全系統(tǒng)X-Force漏洞數(shù)據(jù)庫在過去的5年中，共收錄了100條與VoIP產(chǎn)品、應(yīng)用和下層協(xié)議有關(guān)的漏洞報告。
　　協(xié)議的缺陷
　　一些安全研究人員認(rèn)為，某些VoIP協(xié)議的基本技術(shù)天生就容易受到黑客、拒絕服務(wù)或呼叫截獲攻擊。
　　Scanit公司的研究員Sheran Gunasekera在一篇報告中指出，如果攻擊的目標(biāo)設(shè)備和流量使用的是沒有加密的標(biāo)準(zhǔn)協(xié)議，那么，VoIP呼叫截獲有時是非常容易的。Scanit稱，該公司在測試時使用了標(biāo)準(zhǔn)SIP信令協(xié)議和實時協(xié)議（RTP）作為傳輸媒介，結(jié)果證明這些都很容易被截獲。
　　Gunasekera在報告中指出，專門針對基于SIP的VoIP對話的“信令攻擊有可能竊聽通話的內(nèi)容，也可能重新路由或者截獲這些通話。而且SIP消息的重放或重新發(fā)送也很方便，可以很容易地傳送給基于SIP的呼叫控制設(shè)備，為SIP呼叫增加參與者或者對流量進(jìn)行重新路由。”
　　此外，“在典型的VoIP實施中，媒體流攻擊在執(zhí)行時也很方便。”攻擊者截獲任何RTP流后都可以使用相關(guān)的音頻編碼解碼器對其進(jìn)行解碼，并且可以記錄和收聽實際的聲音。”
　　其他的新型VoIP威脅還包括惡意VoIP音頻編碼解碼器。理論上來說，這些所謂的“惡意編碼解碼器”是一種用于使VoIP端點或服務(wù)器發(fā)生崩潰的VoIP音頻流。VoIP業(yè)界先驅(qū)Henry Sinnreich在運(yùn)營商MCI公司工作時曾經(jīng)參與過SIP的早期實施。他最近指出，研究人員已經(jīng)證實，這類攻擊是完全可能的。
　　過度安全憂慮癥
　　Gartner公司研究員Lawrence Orans在一次訪談時說：“竊聽是一個被過度炒作的威脅。當(dāng)然，從技術(shù)上來說確實可以執(zhí)行一項中間人式的攻擊，并且捕獲一些包。但人們對這一問題明顯有些反應(yīng)過度了。最重要的是將注意力集中于更大的威脅上，例如對IP PBX服務(wù)器本身的攻擊。”
　　VoIP安全聯(lián)盟（VoIPSA）主席兼安全研究機(jī)構(gòu)、TippingPoint公司創(chuàng)始人David Endler認(rèn)為：“如果按照最佳慣例來做，完全有可能實現(xiàn)安全的VoIP部署。所有這些系統(tǒng)的安全都是可以實現(xiàn)的，但用戶需要一些專業(yè)的知識才能達(dá)到這一目的。”使用VoIP信令（SIP和H.323）和負(fù)載流（通常為RTP和UDP）上的加密技術(shù)即可實現(xiàn)安全的VoIP部署。要想確保IP PBX服務(wù)器的安全，則需要施加補(bǔ)丁和正確地進(jìn)行配置，并且需要嚴(yán)格限制可接受IP端點的流量類型。
　　Orans認(rèn)為，IT安全最佳慣例可以對抗VoIP網(wǎng)絡(luò)遇到的多數(shù)常見威脅。他在報告中指出：“那些認(rèn)真使用安全最佳慣例的企業(yè)完全可以保護(hù)其IP電話服務(wù)器，防止VoIP威脅給自己的計劃帶來災(zāi)難。”
　　在過去的一些訪談和報告中，他還指出，人們對VoIP安全威脅的擔(dān)憂多數(shù)都源于炒作和臆斷，并不是企業(yè)IT專家面臨的實際安全問題。他甚至指責(zé)VOIPSA和其他一些VoIP安全警報機(jī)構(gòu)在過去故意“散布謠言”。
　　他說：“對IP電話實施的威脅被過分夸大了，實際的攻擊事件其實非常罕見。”（未完待續(xù)）
　　相關(guān)鏈接
　　常見的VoIP安全威脅