首頁>>>技術(shù)>>>VoIP

研究機構(gòu)公布VoIP安全漏洞

Kate Dostart 2007/07/23

  VOIP的安全風(fēng)險是阻止多IT部門采用該系統(tǒng)的主要因素之一。除此之外,為了對抗止拒絕服務(wù)攻擊(DoS),緩沖溢出攻擊和黑客攻擊,很多公司準(zhǔn)備去找出那些隱藏的安全漏洞。

  其中就有這樣一個公司,這種對抗已經(jīng)持續(xù)了將近三年半的時間。在最近的一個聲明中,Sipera VIPER 實驗室針對基于SIP的軟件電話和基于WEB的即時信息服務(wù)(特別是AOL,AVAYA,MSN和Nortel公司的產(chǎn)品)給出了七條新的安全建議。另外還為Avaya公司基于SIP的硬件電話提出了四條建議。

  在2003年,Sipera 系統(tǒng)有限公司創(chuàng)建,伙同相關(guān)聯(lián)的Sipera VIPER實驗室查出那些威脅VOIP在企業(yè)順利使用的安全漏洞。在對VOIP和IP通信進行嚴(yán)格測試后,Sipera公司宣布他們已經(jīng)隨時準(zhǔn)備好為廠商和用戶通告那些會妨礙VOIP電話設(shè)備及軟件電話正常應(yīng)用的漏洞,

  “VIPER實驗室只關(guān)注VOIP和統(tǒng)一通信,”銷售主管布林達說道!疤崆罢页雎┒,可以使我們在遭受攻擊之前就做好對VOIP的保護。”

  VIPER實驗室提交的這些警報表明 VOIP軟件電話很容易出現(xiàn)諸如資源枯竭,緩沖溢出,拒絕服務(wù)攻擊以及SIP分析錯誤的問題。為發(fā)出這些警報,VIPER實驗室首先聯(lián)系廠商,向他們提供硬件和軟件所存在的潛在漏洞。一旦廠商留意到這些漏洞,Sipera公司就向消費者提交所有結(jié)果,包括產(chǎn)生潛在問題的系統(tǒng)以及那些產(chǎn)品。

  在最近的警報中,VIPER 發(fā)現(xiàn)了大量只產(chǎn)生于軟件電話的漏洞。

  “軟件電話給通信提供了很大靈活性,但是卻極易受到攻擊。這些不僅僅會使VOIP系統(tǒng)遭受風(fēng)險,還會危及到網(wǎng)絡(luò)環(huán)境的正常運行。Krishna Kurapati(Sipera系統(tǒng)有限公司創(chuàng)建人/首席技術(shù)官、Sipera VIPER實驗室所長)說道:“這些未知的漏洞會破壞重要的商業(yè)交易和個人電話通訊,這就抑制了VoIP的很多優(yōu)勢。Sipera愿意與顧客和廠商一起在問題變嚴(yán)重前找出這些風(fēng)險!

  對硬件電話的風(fēng)險建議是專門針對AVAYA公司型號為4602SW 的電話的,因為這種型號的電話很容易陷入被攻擊,如偽裝一個服務(wù)器來接收那些隨機IP源地址傳送來的信息,UDP端口泛洪,RTP端口泛洪。這些漏洞會導(dǎo)致這種電話惡意呼叫,拒絕服務(wù),和語音質(zhì)量下降。

  VIPER 表示在他們提供給銷售商的警報中也包括這些內(nèi)容,他們的調(diào)查報告證實這可以很大減輕已知漏洞的危害性。VIPER認(rèn)為比起僅僅預(yù)警給銷售商和廠商,通過給銷售商、廠商、用戶漏洞三方面提交警報,可以更好防護黑客對現(xiàn)有VoIP的攻擊。

  在被問及為什么這些警報如此重要的時候,Ziolo強調(diào)道:“VoIP是因特網(wǎng)的一種應(yīng)用,擁有它自己的安全需求,理解這一點是很重要的,企業(yè)應(yīng)該認(rèn)識到要建立一個安全的VoIP網(wǎng)絡(luò)是一個很大的挑戰(zhàn)--不是不可能的,這需要花費大量的時間,做大量的工作.”

  “VoIP的風(fēng)險因素不會阻止公司去實現(xiàn)VoIP系統(tǒng),” Ziolo補充到,“不過他們會抑制公司去充分實現(xiàn)VoIP的優(yōu)勢。”

IT專家網(wǎng)


相關(guān)鏈接:
Asterisk PBX隧道驅(qū)動 存在多個遠(yuǎn)程拒絕服務(wù)漏洞 2007-07-23
mSwitch系統(tǒng)VoIP語音質(zhì)量測量方法研究 2007-07-19
分層完整保護網(wǎng)絡(luò)電話安全體系 2007-07-18
如何拓展VoIP網(wǎng)絡(luò)的安全性和覆蓋范圍 2007-07-18
統(tǒng)一通信與VoIP網(wǎng)絡(luò)電話是互補不可分 2007-07-18

分類信息: