首頁>>>技術(shù)>>>VoIP

別為安全拒絕VoIP—專家指出VoIP攻擊并非致命問題

2007/09/21

  VoIP漏洞不斷被利用,但有專家說,這些事實(shí)只表明對安全性有更高的需求,而不能說明這項(xiàng)技術(shù)存在著致命的危機(jī)。

  研究人員宣布了針對VoIP信令協(xié)議H.323和AIX的工具,以及將音頻插入到VoIP呼叫中的工具。其中,一款自動(dòng)探測會話發(fā)起協(xié)議安全漏洞的工具被認(rèn)為能夠在VoIP傳輸流上搭載數(shù)據(jù)。

  Next Generation Security Software公司高級安全顧問Barrie Dempster說,問題并不是出現(xiàn)在VoIP技術(shù)中,而是出現(xiàn)在它的實(shí)現(xiàn)中。

  他說:“如果你將傳統(tǒng)的網(wǎng)絡(luò)安全邏輯應(yīng)用在VoIP,你可以使它像其他任何協(xié)議一樣安全!

VoIP的安全惡名

  VoIP安全漏洞的惡名大部分源于這項(xiàng)技術(shù)比較新,其代碼在編寫時(shí)不一定考慮到了安全性—這是個(gè)困擾許多新技術(shù)的問題。

  Dempster提到了利用Asterisk(一種開源PBX)的方法,包括緩沖區(qū)溢出。他說,這種漏洞以及其他漏洞可以通過刪除未使用特性的代碼和對使用的特性進(jìn)行安全審計(jì)來對付。他說:“問題不是具體安全漏洞本身,而是軟件的成熟性。而且,到目前為止,一直還沒有針對軟件進(jìn)行相應(yīng)的安全審查機(jī)制!

  人們認(rèn)識到了這個(gè)問題,并通過公布已知漏洞來幫助開發(fā)抵御漏洞的防御措施。

  行業(yè)組織VoIP安全聯(lián)盟在網(wǎng)站上公布了一套黑客工具,該組織將這套工具作為測試VoIP能否抵御真實(shí)世界中攻擊的安全工具加以推廣。

  安全咨詢機(jī)構(gòu)Palindrome Technologies公司CTO Peter Thermos說,保護(hù)VoIP的安全并不是不能實(shí)現(xiàn)的。他透露了能夠改變呼叫路由或切斷呼叫的媒體網(wǎng)關(guān)控制協(xié)議(MGCP)存在的安全漏洞。

  他還展示了ZRTP存在的一個(gè)安全漏洞。ZRTP還未成為標(biāo)準(zhǔn)的加密VoIP協(xié)議。這個(gè)協(xié)議不能加密按下電話鍵所產(chǎn)生的撥號音,這種作法可能使VoIP線路輸入的信用卡號通過分析音頻的方法被盜。

  Thermos說,這個(gè)MGCP問題最終將需要對協(xié)議本身進(jìn)行修改,不過,目前用戶可以通過阻止對MGCP使用的端口的非授權(quán)訪問來加強(qiáng)協(xié)議的安全。ZRTP問題涉及到協(xié)議的現(xiàn)實(shí),此前,一直利用在系統(tǒng)中添加補(bǔ)丁的方式來解決。

  他說,企業(yè)部署VoIP的最佳路線是提前規(guī)定針對不同公司的“因人而異”的安全要求。他說,金融機(jī)構(gòu)或政府機(jī)構(gòu)可能需要保密性,因此,比其他企業(yè)需要更多的加密能力。

  Thermos說:“我看到的一個(gè)常見錯(cuò)誤是客戶沒有為他們的網(wǎng)絡(luò)規(guī)定自己的安全要求,發(fā)生問題以后才意識到他們需要安全性,然后把安全性視為額外的費(fèi)用!彼f,從一開始就部署安全工具還可以更好地保護(hù)VoIP,抵御尚未發(fā)現(xiàn)的威脅。


比PSTN更安全

  盡管確實(shí)存在攻擊的可能性,但一些專家說,VoIP比傳統(tǒng)的公共交換電話網(wǎng)(PSTN)更安全。

  生產(chǎn)軟件安全性測試工具的Codenomicon公司創(chuàng)建人、CTO Ari Takanen說:“VoIP系統(tǒng)比傳統(tǒng)系統(tǒng)要安全得多。”他承認(rèn)VoIP存在安全漏洞,但他同時(shí)表示,這些安全問題并不是不能克服的。

  他說:“IP系統(tǒng)更為暴露,但有更多可以部署的安全措施。如果因此就不使用它,那太愚蠢了!

  Cisco公司VoIP部工程師Cullen Jennings指出,PSTN主叫方ID很容易被嗅探到,利用傳統(tǒng)PBX進(jìn)行的話費(fèi)欺詐很常見。但Jennings說,PSTN的可靠性是一個(gè)廣為宣揚(yáng)的服務(wù)質(zhì)量指標(biāo)。

  但是,這并不意味著PSTN無懈可擊,甚至比VoIP更安全。他說,“并不是說PSTN沒有達(dá)到它的可靠性目標(biāo),而是說這與主叫方ID是否能被嗅探到?jīng)]有關(guān)系。核心網(wǎng)是否癱瘓,與威脅是否針對主叫方ID沒有關(guān)系!

道高一尺 魔高一丈

  Verisign公司VoIP產(chǎn)品經(jīng)理Akif Arsoy說,企業(yè)最終不會因?yàn)閾?dān)心安全性而拒絕VoIP。他們將在融合的網(wǎng)絡(luò)中采用它傳送集成的語音和數(shù)據(jù)。Arsoy說:“用戶將從VoIP得到今天他們在傳統(tǒng)語音上得不到的東西。”

  Thermos說,即便如此,近期將出現(xiàn)更多的VoIP漏洞被利用的情況。他說,他已經(jīng)發(fā)現(xiàn)了更多的信令協(xié)議弱點(diǎn)和現(xiàn)實(shí)漏洞。但他說這還只是VoIP面臨安全挑戰(zhàn)的一個(gè)開始,這種問題將隨應(yīng)用的深入層出不窮。攻擊與防護(hù)就是道高一尺,魔高一丈的較量。

網(wǎng)絡(luò)世界(cnw.ccw.com.cn)


相關(guān)鏈接:
專訪捷思銳科技總裁米義安先生 2007-09-21
IM互通新方案-GTalk to VoIP回?fù)芊⻊?wù) 2007-09-19
企業(yè)面對網(wǎng)絡(luò)電話VoIP應(yīng)用應(yīng)該說Yes還是No? 2007-09-18
基于802.11b標(biāo)準(zhǔn)實(shí)現(xiàn)的VoIP電話 2007-09-17
統(tǒng)一通信:噱頭還是增值? 2007-09-14

分類信息: