VoIP將成黑客第二樂園
子明 2009/02/23
VoIP盡管安全問題始終被提及,但是人們沒有深刻考慮的,它的安全不僅僅是一個產(chǎn)品,一項技術或者一套系統(tǒng)的安全問題,它因為本身的廣泛作用領域和巨大商業(yè)市場,將導致一旦不從源頭加以控制的話,VoIP的安全威脅規(guī)模將無數(shù)倍地放大,從安全威脅種類、入侵衍生、黑客人數(shù)、安全人員人數(shù)、相應的安全產(chǎn)品系統(tǒng)等等,甚至形成新的巨大安全子市場生態(tài)圈。
當互聯(lián)網(wǎng)站和局域網(wǎng)絡對黑客們已經(jīng)沒有了神秘感,何處,將是他們下一塊瞄準的新大陸?
VoIP是一項非常了不起的應用,它的出現(xiàn)大大降低了人們通話的費用,它的出現(xiàn)消除了通話上距離的概念,在VoIP的世界里,沒有長途電話之說,世界上任何兩個人之間的通話只和網(wǎng)絡流量有關,而和距離無關。它的普及應用是大勢所趨。所有的通訊網(wǎng)絡向IP融合也是大勢所趨。而在這個趨勢中,VoIP的安全性將會被擺在越來越重要的地位。VoIP會成為黑客們繼互聯(lián)網(wǎng)數(shù)據(jù)網(wǎng)之后的第二個樂園,也為從事網(wǎng)絡安全的人們提供了巨大的商機。希望業(yè)界能更多關注VoIP的安全和有關產(chǎn)品與解決方案,在這個市場找到更多發(fā)展的機會。
在現(xiàn)在通訊網(wǎng)絡的發(fā)展階段,大概并行存在著兩張網(wǎng)。一個是傳統(tǒng)的語音電話網(wǎng)(PSTN)或者無線蜂窩網(wǎng),一個是傳送數(shù)據(jù)的基于IP的數(shù)據(jù)網(wǎng)。數(shù)據(jù)網(wǎng)相互聯(lián)通,構成了我們現(xiàn)在的互聯(lián)網(wǎng)。而基于IP開放結構的互聯(lián)網(wǎng)早已是黑客們的樂園。開放意味著匿名,意味著幾乎不可被追蹤。黑客們可以任意對數(shù)據(jù)進行截取,攻擊商業(yè)網(wǎng)站來敲詐等等。相比之下,傳統(tǒng)的語音網(wǎng)好像一直都較少聽到安全方面的問題。而這個狀態(tài)正在由VoIP(基于IP的語音服務)的迅速普及而改變。VoIP正在把固定電話語音網(wǎng)、移動語音網(wǎng)和互聯(lián)網(wǎng)逐漸融合起來,給網(wǎng)絡安全提出了新的挑戰(zhàn),如不嚴陣以待,語音世界將成為黑客們的第二個樂園。
其實傳統(tǒng)的語音電話網(wǎng)也存在著安全問題,美國有一個非常有名的黑客雜志叫phack,實際上就是phonehack的意思,它一開始就主要討論如何hack傳統(tǒng)的語音電話網(wǎng)。例如如何免費打國際長途,如何找到未被人使用過的語音信箱等等。而這些安全問題,在VoIP的世界里,都被原封不動的保留了下來,而且還帶來了更多的安全問題。
互聯(lián)網(wǎng)安全痼疾
首先,互聯(lián)網(wǎng)固有的安全問題,在VoIP上也都存在。與數(shù)據(jù)網(wǎng)絡不同,在語音世界里,負責控制的協(xié)議和語音的數(shù)據(jù)通道是分開的。VoIP的控制協(xié)議如SIP,都是以互聯(lián)網(wǎng)一貫的客戶端/服務器模式來設計的。也就是說,它由一系列的服務器組成一個控制網(wǎng)絡,而這個結構,如同互聯(lián)網(wǎng)其他協(xié)議一樣,是非常容易受到拒絕服務的攻擊的。只不過這時的拒絕服務攻擊是用的是VoIP的控制協(xié)議如SIP,而不是TCP或者UDP。VoIP網(wǎng)絡中的一些服務器,如邊界代理服務器(edgeproxyserver),對于互聯(lián)網(wǎng)黑客來說只不過是一個能夠?qū)IP協(xié)議進行響應的IP地址,和攻擊其他網(wǎng)站的方法并沒有什么不同。其他傳統(tǒng)的黑客攻擊手段對VoIP設備也一樣適用。 以下為幾個例子:
- 攻擊VoIP設備運行的操作系統(tǒng)(Windows或者Linux)來遠程控制VoIP設備,底層操作系統(tǒng)如果不及時打安全補丁,必然會有漏洞,而這些漏洞有可能會被黑客掃描到,從而控制VoIP設備。
- 與普通電話機不同,每一臺VoIP設備都需要一定的配置,配置不當或者使用缺省的配置能讓攻擊者很容易找到目標,這些設備也就是黑客們常說的“肉雞”。估計以后黑客們想找到的就是“肉雞電話”了。
- 利用設備廠商在VoIP協(xié)議實現(xiàn)上的漏洞,進行遠程緩沖區(qū)溢出攻擊。每個廠商在VoIP協(xié)議實現(xiàn)的方法不同,不同風格的代碼實現(xiàn)的協(xié)議的抗攻擊性也不相同。那些急于把產(chǎn)品推向市場,搶占市場份額的廠商,在實現(xiàn)VoIP協(xié)議時常常只要求功能完備,而不考慮協(xié)議實現(xiàn)的安全性和強壯性,從而使產(chǎn)品推向市場的時候就存在安全方面的隱患。
VoIP非典型安全問題
其次,VoIP帶來了傳統(tǒng)的語音電話網(wǎng)上沒有的新的安全問題,最主要的有如下三個:
- 一個是遠程竊聽;
- 一個是垃圾電話(VoIP Spamming或者叫vamming);
- 一個是帶寬的劫持(bandwith hijack)。
在傳統(tǒng)語音電話網(wǎng)里,遠程竊聽基本上是政府安全部門才能有的特權,普通人因為不可能對傳統(tǒng)語音電話設備進行遠程控制,而不可能偷聽到任意人的電話。而互聯(lián)網(wǎng)的開放結構使得一個普通的黑客對任意電話進行監(jiān)聽成為可能。使用IP的電話終端一定要有IP地址,那么就有可能被黑客遠程控制,語音報文可以被已不加密的方式記錄下來,傳回到黑客的手里進行破解和回放。
而電話垃圾會成為另外一個棘手的問題,電子垃圾郵件的泛濫和屢禁不止是互聯(lián)網(wǎng)現(xiàn)在最頭疼的問題。而這個問題隨著VoIP的技術的普及也將逐漸成為一個大問題。以前,向你的家里打垃圾電話推銷一些你不需要的商品,打電話的人很容易被追蹤是何許人也。而在互聯(lián)網(wǎng)的世界里,想知道打電話的人是誰可就不是那么容易的事了。就如同想知道是什么人向你發(fā)送垃圾郵件幾乎是不可能的一樣。那么這些發(fā)送垃圾廣告的人就可以肆無忌憚地給你打電話,向你的語音信箱內(nèi)發(fā)送廣告信息。你也許正在為每天收到的大量垃圾電子郵件而頭疼,想想如果每天收到大量的推銷你不需要的產(chǎn)品廣告的電話是何感覺?
針對終端用戶的帶寬的劫持也變成了一個問題,在傳統(tǒng)的語音電話網(wǎng)中,每個用戶都分配了固定的語音帶寬。這個帶寬當用戶不用的時候,別人也不允許使用。而在IP網(wǎng)絡中,帶寬是共享的,你不用的帶寬,別人就可以用。你用多了帶寬,別人的通話質(zhì)量就要受到影響。在IP網(wǎng)絡中,由于其開放式的結構,這個帶寬是很容易被黑客用一些垃圾的網(wǎng)絡流量來填滿的。在這種情況下,正常用戶的語音數(shù)據(jù)流量就會受到影響。而語音的應用對于延遲和大量的丟數(shù)據(jù)包是很敏感的。用戶可以在Web瀏覽器面前耐心等待一個網(wǎng)頁的裝入,卻肯定無法忍受在和別人通話過程中話音滯后,模糊不清而根本不知道對方在講什么。
接著, 目前被火熱討論的IMS (IP Multimedia SubsystemCIP多媒體子系統(tǒng))也為VoIP的安全問題提出了新的課題。IMS是把無線語音蜂窩網(wǎng) (手機網(wǎng))和IP網(wǎng)結合在一起的技術。使得手機用戶也能享受到一些只有在IP網(wǎng)絡里才能享受到的服務。而這也把IP世界中的一些安全問題帶到了無線手機網(wǎng)絡中。IMS向手機用戶提供聲音,圖像和多媒體會議等服務也是使用SIP協(xié)議和由SIP服務器構成的網(wǎng)絡結構。這樣,手機上的應用的安全也將受到IP底層網(wǎng)安全的影響。
綜上所述,VoIP盡管安全問題始終被提及,但是人們沒有深刻考慮的,它的安全不僅僅是一個產(chǎn)品,一項技術或者一套系統(tǒng)的安全問題,它因為本身的廣泛作用領域和巨大商業(yè)市場,將導致一旦不從源頭加以控制的話,VoIP的安全威脅規(guī)模將無數(shù)倍地放大,從安全威脅種類、入侵衍生、黑客人數(shù)、安全人員人數(shù)、相應的安全產(chǎn)品系統(tǒng)等等,甚至形成新的巨大安全子市場生態(tài)圈。如果當人們把大量的財力人力,不是放到VoIP本身技術進步和創(chuàng)新性能上面,而是在黑客與反黑客上面的斗爭,盡管也拉動了市場,照顧了就業(yè),但我們還是不知道這到底是一種幸運還是一種沉悶的徘徊。
Check Point NGX 設備新添御毒衣
NGX安全平臺增強遠程辦公保護
近日,CheckPoint公司宣布,其VPN-1Edg增添了先進的入侵抵御及防病毒功能,配合其原有的防火墻和VPN技術提供更強大的安全保護。
VPN-1Edg是一套應用于保護遠程辦公地點的整合安全設備,它是CheckPoint邊界產(chǎn)品系統(tǒng)VPN-1家庭中的一員。憑著新增的入侵抵御及防病毒功能,VPN-1Edge 的NGX版本使得企業(yè)能確保其分支辦工地點能與本部擁有同等的扎實安全防護,免受蠕蟲和各種病毒的攻擊。VPN-1EdgeNGX的整合安全保護及可擴展的管理功能,令用戶可便捷及經(jīng)濟地連接數(shù)以千計的遠程站點,同時可以安心這些端點不會成為網(wǎng)絡安全的薄弱環(huán)節(jié)。
VPN-1 Edge現(xiàn)也整合了SmartDefens服務系統(tǒng)。顧客為其VPN-1Edge設備訂購SmartDefense服務,他便可收到抵御最新病毒的保護,在單一控制臺把所有遠端辦公地點的安全保護更新。這不僅大幅度降低了維護一個分布式安全系統(tǒng)的成本,同時也使得整個網(wǎng)絡系統(tǒng)更為嚴密安全。
具備嵌入式NGX技術的VPN-1Edge整合了CheckPoint首屈一指的防火墻、VPN、入侵防御軟件,它為用戶帶來以下好處:簡化而高度可靠的VPN——使得管理員能使用動態(tài)路由及基于路由,快速地把大量的遠程端點連接。支持安全無線協(xié)議——這是市場上第一款支持WPA2/802.11i無線安全標準的設備。卓越性能表現(xiàn)——具備無線多媒體服務質(zhì)量支持,確保無線網(wǎng)絡在傳送時間性十分重要的信息時(例如VoIP)會以最小延遲和合乎期望的水平傳輸。
ChinaByte(e.chinabyte.com)
相關鏈接:
长寿区|
阜新市|
武强县|
广南县|
卫辉市|
文化|
容城县|
藁城市|
东宁县|
称多县|
蓬安县|
招远市|
莫力|
涞源县|
清水河县|
佛坪县|
永春县|
石泉县|
汨罗市|
自治县|
天峨县|
临江市|
苗栗市|
监利县|
张家港市|
株洲县|
白银市|
新疆|
房产|
蛟河市|
彝良县|
淮安市|
公主岭市|
阆中市|
达拉特旗|
江阴市|
峨山|
池州市|
霍城县|
马山县|
天长市|