別為安全拒絕VoIP—專家指出VoIP攻擊并非致命問(wèn)題
2007/09/21
VoIP漏洞不斷被利用,但有專家說(shuō),這些事實(shí)只表明對(duì)安全性有更高的需求,而不能說(shuō)明這項(xiàng)技術(shù)存在著致命的危機(jī)。
研究人員宣布了針對(duì)VoIP信令協(xié)議H.323和AIX的工具,以及將音頻插入到VoIP呼叫中的工具。其中,一款自動(dòng)探測(cè)會(huì)話發(fā)起協(xié)議安全漏洞的工具被認(rèn)為能夠在VoIP傳輸流上搭載數(shù)據(jù)。
Next Generation Security Software公司高級(jí)安全顧問(wèn)Barrie Dempster說(shuō),問(wèn)題并不是出現(xiàn)在VoIP技術(shù)中,而是出現(xiàn)在它的實(shí)現(xiàn)中。
他說(shuō):“如果你將傳統(tǒng)的網(wǎng)絡(luò)安全邏輯應(yīng)用在VoIP,你可以使它像其他任何協(xié)議一樣安全。”
VoIP的安全惡名
VoIP安全漏洞的惡名大部分源于這項(xiàng)技術(shù)比較新,其代碼在編寫時(shí)不一定考慮到了安全性—這是個(gè)困擾許多新技術(shù)的問(wèn)題。
Dempster提到了利用Asterisk(一種開源PBX)的方法,包括緩沖區(qū)溢出。他說(shuō),這種漏洞以及其他漏洞可以通過(guò)刪除未使用特性的代碼和對(duì)使用的特性進(jìn)行安全審計(jì)來(lái)對(duì)付。他說(shuō):“問(wèn)題不是具體安全漏洞本身,而是軟件的成熟性。而且,到目前為止,一直還沒(méi)有針對(duì)軟件進(jìn)行相應(yīng)的安全審查機(jī)制。”
人們認(rèn)識(shí)到了這個(gè)問(wèn)題,并通過(guò)公布已知漏洞來(lái)幫助開發(fā)抵御漏洞的防御措施。
行業(yè)組織VoIP安全聯(lián)盟在網(wǎng)站上公布了一套黑客工具,該組織將這套工具作為測(cè)試VoIP能否抵御真實(shí)世界中攻擊的安全工具加以推廣。
安全咨詢機(jī)構(gòu)Palindrome Technologies公司CTO Peter Thermos說(shuō),保護(hù)VoIP的安全并不是不能實(shí)現(xiàn)的。他透露了能夠改變呼叫路由或切斷呼叫的媒體網(wǎng)關(guān)控制協(xié)議(MGCP)存在的安全漏洞。
他還展示了ZRTP存在的一個(gè)安全漏洞。ZRTP還未成為標(biāo)準(zhǔn)的加密VoIP協(xié)議。這個(gè)協(xié)議不能加密按下電話鍵所產(chǎn)生的撥號(hào)音,這種作法可能使VoIP線路輸入的信用卡號(hào)通過(guò)分析音頻的方法被盜。
Thermos說(shuō),這個(gè)MGCP問(wèn)題最終將需要對(duì)協(xié)議本身進(jìn)行修改,不過(guò),目前用戶可以通過(guò)阻止對(duì)MGCP使用的端口的非授權(quán)訪問(wèn)來(lái)加強(qiáng)協(xié)議的安全。ZRTP問(wèn)題涉及到協(xié)議的現(xiàn)實(shí),此前,一直利用在系統(tǒng)中添加補(bǔ)丁的方式來(lái)解決。
他說(shuō),企業(yè)部署VoIP的最佳路線是提前規(guī)定針對(duì)不同公司的“因人而異”的安全要求。他說(shuō),金融機(jī)構(gòu)或政府機(jī)構(gòu)可能需要保密性,因此,比其他企業(yè)需要更多的加密能力。
Thermos說(shuō):“我看到的一個(gè)常見(jiàn)錯(cuò)誤是客戶沒(méi)有為他們的網(wǎng)絡(luò)規(guī)定自己的安全要求,發(fā)生問(wèn)題以后才意識(shí)到他們需要安全性,然后把安全性視為額外的費(fèi)用。”他說(shuō),從一開始就部署安全工具還可以更好地保護(hù)VoIP,抵御尚未發(fā)現(xiàn)的威脅。
比PSTN更安全
盡管確實(shí)存在攻擊的可能性,但一些專家說(shuō),VoIP比傳統(tǒng)的公共交換電話網(wǎng)(PSTN)更安全。
生產(chǎn)軟件安全性測(cè)試工具的Codenomicon公司創(chuàng)建人、CTO Ari Takanen說(shuō):“VoIP系統(tǒng)比傳統(tǒng)系統(tǒng)要安全得多。”他承認(rèn)VoIP存在安全漏洞,但他同時(shí)表示,這些安全問(wèn)題并不是不能克服的。
他說(shuō):“IP系統(tǒng)更為暴露,但有更多可以部署的安全措施。如果因此就不使用它,那太愚蠢了。”
Cisco公司VoIP部工程師Cullen Jennings指出,PSTN主叫方ID很容易被嗅探到,利用傳統(tǒng)PBX進(jìn)行的話費(fèi)欺詐很常見(jiàn)。但Jennings說(shuō),PSTN的可靠性是一個(gè)廣為宣揚(yáng)的服務(wù)質(zhì)量指標(biāo)。
但是,這并不意味著PSTN無(wú)懈可擊,甚至比VoIP更安全。他說(shuō),“并不是說(shuō)PSTN沒(méi)有達(dá)到它的可靠性目標(biāo),而是說(shuō)這與主叫方ID是否能被嗅探到?jīng)]有關(guān)系。核心網(wǎng)是否癱瘓,與威脅是否針對(duì)主叫方ID沒(méi)有關(guān)系。”
道高一尺 魔高一丈
Verisign公司VoIP產(chǎn)品經(jīng)理Akif Arsoy說(shuō),企業(yè)最終不會(huì)因?yàn)閾?dān)心安全性而拒絕VoIP。他們將在融合的網(wǎng)絡(luò)中采用它傳送集成的語(yǔ)音和數(shù)據(jù)。Arsoy說(shuō):“用戶將從VoIP得到今天他們?cè)趥鹘y(tǒng)語(yǔ)音上得不到的東西。”
Thermos說(shuō),即便如此,近期將出現(xiàn)更多的VoIP漏洞被利用的情況。他說(shuō),他已經(jīng)發(fā)現(xiàn)了更多的信令協(xié)議弱點(diǎn)和現(xiàn)實(shí)漏洞。但他說(shuō)這還只是VoIP面臨安全挑戰(zhàn)的一個(gè)開始,這種問(wèn)題將隨應(yīng)用的深入層出不窮。攻擊與防護(hù)就是道高一尺,魔高一丈的較量。
網(wǎng)絡(luò)世界(cnw.ccw.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
依安县|
榆社县|
潜江市|
潜江市|
临汾市|
砚山县|
吉林省|
龙江县|
曲沃县|
天祝|
文山县|
土默特左旗|
大同县|
铁岭县|
商河县|
贵溪市|
略阳县|
武山县|
博野县|
盖州市|
瓦房店市|
南宫市|
通道|
祁东县|
石城县|
莎车县|
德昌县|
灌阳县|
苏州市|
西安市|
鹤峰县|
安新县|
新丰县|
珲春市|
马关县|
虎林市|
政和县|
锦州市|
贵溪市|
惠州市|
剑阁县|
http://444
http://444
http://444
http://444
http://444
http://444