別為安全拒絕VoIP—專家指出VoIP攻擊并非致命問題_voip

別為安全拒絕VoIP—專家指出VoIP攻擊并非致命問題

2007/09/21

　　VoIP漏洞不斷被利用，但有專家說，這些事實只表明對安全性有更高的需求，而不能說明這項技術(shù)存在著致命的危機。

　　研究人員宣布了針對VoIP信令協(xié)議H.323和AIX的工具，以及將音頻插入到VoIP呼叫中的工具。其中，一款自動探測會話發(fā)起協(xié)議安全漏洞的工具被認為能夠在VoIP傳輸流上搭載數(shù)據(jù)。

　　Next Generation Security Software公司高級安全顧問Barrie Dempster說，問題并不是出現(xiàn)在VoIP技術(shù)中，而是出現(xiàn)在它的實現(xiàn)中。

　　他說：“如果你將傳統(tǒng)的網(wǎng)絡(luò)安全邏輯應(yīng)用在VoIP，你可以使它像其他任何協(xié)議一樣安全。”

VoIP的安全惡名

　　VoIP安全漏洞的惡名大部分源于這項技術(shù)比較新，其代碼在編寫時不一定考慮到了安全性—這是個困擾許多新技術(shù)的問題。

　　Dempster提到了利用Asterisk（一種開源PBX）的方法，包括緩沖區(qū)溢出。他說，這種漏洞以及其他漏洞可以通過刪除未使用特性的代碼和對使用的特性進行安全審計來對付。他說：“問題不是具體安全漏洞本身，而是軟件的成熟性。而且，到目前為止，一直還沒有針對軟件進行相應(yīng)的安全審查機制。”

　　人們認識到了這個問題，并通過公布已知漏洞來幫助開發(fā)抵御漏洞的防御措施。

　　行業(yè)組織VoIP安全聯(lián)盟在網(wǎng)站上公布了一套黑客工具，該組織將這套工具作為測試VoIP能否抵御真實世界中攻擊的安全工具加以推廣。

　　安全咨詢機構(gòu)Palindrome Technologies公司CTO Peter Thermos說，保護VoIP的安全并不是不能實現(xiàn)的。他透露了能夠改變呼叫路由或切斷呼叫的媒體網(wǎng)關(guān)控制協(xié)議（MGCP）存在的安全漏洞。

　　他還展示了ZRTP存在的一個安全漏洞。ZRTP還未成為標準的加密VoIP協(xié)議。這個協(xié)議不能加密按下電話鍵所產(chǎn)生的撥號音，這種作法可能使VoIP線路輸入的信用卡號通過分析音頻的方法被盜。

　　Thermos說，這個MGCP問題最終將需要對協(xié)議本身進行修改，不過，目前用戶可以通過阻止對MGCP使用的端口的非授權(quán)訪問來加強協(xié)議的安全。ZRTP問題涉及到協(xié)議的現(xiàn)實，此前，一直利用在系統(tǒng)中添加補丁的方式來解決。

　　他說，企業(yè)部署VoIP的最佳路線是提前規(guī)定針對不同公司的“因人而異”的安全要求。他說，金融機構(gòu)或政府機構(gòu)可能需要保密性，因此，比其他企業(yè)需要更多的加密能力。

　　Thermos說：“我看到的一個常見錯誤是客戶沒有為他們的網(wǎng)絡(luò)規(guī)定自己的安全要求，發(fā)生問題以后才意識到他們需要安全性，然后把安全性視為額外的費用。”他說，從一開始就部署安全工具還可以更好地保護VoIP，抵御尚未發(fā)現(xiàn)的威脅。

比PSTN更安全

　　盡管確實存在攻擊的可能性，但一些專家說，VoIP比傳統(tǒng)的公共交換電話網(wǎng)（PSTN）更安全。

　　生產(chǎn)軟件安全性測試工具的Codenomicon公司創(chuàng)建人、CTO Ari Takanen說：“VoIP系統(tǒng)比傳統(tǒng)系統(tǒng)要安全得多。”他承認VoIP存在安全漏洞，但他同時表示，這些安全問題并不是不能克服的。

　　他說：“IP系統(tǒng)更為暴露，但有更多可以部署的安全措施。如果因此就不使用它，那太愚蠢了。”

　　Cisco公司VoIP部工程師Cullen Jennings指出，PSTN主叫方ID很容易被嗅探到，利用傳統(tǒng)PBX進行的話費欺詐很常見。但Jennings說，PSTN的可靠性是一個廣為宣揚的服務(wù)質(zhì)量指標。

　　但是，這并不意味著PSTN無懈可擊，甚至比VoIP更安全。他說，“并不是說PSTN沒有達到它的可靠性目標，而是說這與主叫方ID是否能被嗅探到?jīng)]有關(guān)系。核心網(wǎng)是否癱瘓,與威脅是否針對主叫方ID沒有關(guān)系。”

道高一尺魔高一丈

　　Verisign公司VoIP產(chǎn)品經(jīng)理Akif Arsoy說，企業(yè)最終不會因為擔心安全性而拒絕VoIP。他們將在融合的網(wǎng)絡(luò)中采用它傳送集成的語音和數(shù)據(jù)。Arsoy說：“用戶將從VoIP得到今天他們在傳統(tǒng)語音上得不到的東西。”

　　Thermos說，即便如此，近期將出現(xiàn)更多的VoIP漏洞被利用的情況。他說，他已經(jīng)發(fā)現(xiàn)了更多的信令協(xié)議弱點和現(xiàn)實漏洞。但他說這還只是VoIP面臨安全挑戰(zhàn)的一個開始，這種問題將隨應(yīng)用的深入層出不窮。攻擊與防護就是道高一尺，魔高一丈的較量。

網(wǎng)絡(luò)世界(cnw.ccw.com.cn)

相關(guān)鏈接:

專訪捷思銳科技總裁米義安先生 2007-09-21

IM互通新方案-GTalk to VoIP回撥服務(wù) 2007-09-19

企業(yè)面對網(wǎng)絡(luò)電話VoIP應(yīng)用應(yīng)該說Yes還是No？ 2007-09-18

基于802.11b標準實現(xiàn)的VoIP電話 2007-09-17

統(tǒng)一通信：噱頭還是增值？ 2007-09-14

分類信息:
前郭尔| 沅江市| 石城县| 灯塔市| 徐闻县| 龙口市| 株洲市| 四平市| 丘北县| 崇左市| 上杭县| 南澳县| 龙泉市| 平罗县| 司法| 涟源市| 石阡县| 江川县| 固阳县| 昌黎县| 长子县| 莫力| 蒙阴县| 郑州市| 阳谷县| 江达县| 兴山县| 托里县| 油尖旺区| 钦州市| 濮阳县| 万山特区| 沁水县| 泸定县| 淮安市| 绥棱县| 安图县| 沐川县| 海林市| 玉龙| 渑池县|