子明 2009/02/23

　　VoIP盡管安全問(wèn)題始終被提及，但是人們沒(méi)有深刻考慮的，它的安全不僅僅是一個(gè)產(chǎn)品，一項(xiàng)技術(shù)或者一套系統(tǒng)的安全問(wèn)題，它因?yàn)楸旧淼膹V泛作用領(lǐng)域和巨大商業(yè)市場(chǎng)，將導(dǎo)致一旦不從源頭加以控制的話，VoIP的安全威脅規(guī)模將無(wú)數(shù)倍地放大，從安全威脅種類、入侵衍生、黑客人數(shù)、安全人員人數(shù)、相應(yīng)的安全產(chǎn)品系統(tǒng)等等，甚至形成新的巨大安全子市場(chǎng)生態(tài)圈。
　　當(dāng)互聯(lián)網(wǎng)站和局域網(wǎng)絡(luò)對(duì)黑客們已經(jīng)沒(méi)有了神秘感，何處，將是他們下一塊瞄準(zhǔn)的新大陸?
　　VoIP是一項(xiàng)非常了不起的應(yīng)用，它的出現(xiàn)大大降低了人們通話的費(fèi)用，它的出現(xiàn)消除了通話上距離的概念，在VoIP的世界里，沒(méi)有長(zhǎng)途電話之說(shuō)，世界上任何兩個(gè)人之間的通話只和網(wǎng)絡(luò)流量有關(guān)，而和距離無(wú)關(guān)。它的普及應(yīng)用是大勢(shì)所趨。所有的通訊網(wǎng)絡(luò)向IP融合也是大勢(shì)所趨。而在這個(gè)趨勢(shì)中，VoIP的安全性將會(huì)被擺在越來(lái)越重要的地位。VoIP會(huì)成為黑客們繼互聯(lián)網(wǎng)數(shù)據(jù)網(wǎng)之后的第二個(gè)樂(lè)園，也為從事網(wǎng)絡(luò)安全的人們提供了巨大的商機(jī)。希望業(yè)界能更多關(guān)注VoIP的安全和有關(guān)產(chǎn)品與解決方案，在這個(gè)市場(chǎng)找到更多發(fā)展的機(jī)會(huì)。
　　在現(xiàn)在通訊網(wǎng)絡(luò)的發(fā)展階段，大概并行存在著兩張網(wǎng)。一個(gè)是傳統(tǒng)的語(yǔ)音電話網(wǎng)(PSTN)或者無(wú)線蜂窩網(wǎng),一個(gè)是傳送數(shù)據(jù)的基于IP的數(shù)據(jù)網(wǎng)。數(shù)據(jù)網(wǎng)相互聯(lián)通，構(gòu)成了我們現(xiàn)在的互聯(lián)網(wǎng)。而基于IP開(kāi)放結(jié)構(gòu)的互聯(lián)網(wǎng)早已是黑客們的樂(lè)園。開(kāi)放意味著匿名，意味著幾乎不可被追蹤。黑客們可以任意對(duì)數(shù)據(jù)進(jìn)行截取，攻擊商業(yè)網(wǎng)站來(lái)敲詐等等。相比之下，傳統(tǒng)的語(yǔ)音網(wǎng)好像一直都較少聽(tīng)到安全方面的問(wèn)題。而這個(gè)狀態(tài)正在由VoIP(基于IP的語(yǔ)音服務(wù))的迅速普及而改變。VoIP正在把固定電話語(yǔ)音網(wǎng)、移動(dòng)語(yǔ)音網(wǎng)和互聯(lián)網(wǎng)逐漸融合起來(lái)，給網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)，如不嚴(yán)陣以待，語(yǔ)音世界將成為黑客們的第二個(gè)樂(lè)園。
　　其實(shí)傳統(tǒng)的語(yǔ)音電話網(wǎng)也存在著安全問(wèn)題，美國(guó)有一個(gè)非常有名的黑客雜志叫phack，實(shí)際上就是phonehack的意思，它一開(kāi)始就主要討論如何hack傳統(tǒng)的語(yǔ)音電話網(wǎng)。例如如何免費(fèi)打國(guó)際長(zhǎng)途，如何找到未被人使用過(guò)的語(yǔ)音信箱等等。而這些安全問(wèn)題，在VoIP的世界里，都被原封不動(dòng)的保留了下來(lái)，而且還帶來(lái)了更多的安全問(wèn)題。
　　互聯(lián)網(wǎng)安全痼疾
　　首先，互聯(lián)網(wǎng)固有的安全問(wèn)題，在VoIP上也都存在。與數(shù)據(jù)網(wǎng)絡(luò)不同，在語(yǔ)音世界里，負(fù)責(zé)控制的協(xié)議和語(yǔ)音的數(shù)據(jù)通道是分開(kāi)的。VoIP的控制協(xié)議如SIP，都是以互聯(lián)網(wǎng)一貫的客戶端/服務(wù)器模式來(lái)設(shè)計(jì)的。也就是說(shuō)，它由一系列的服務(wù)器組成一個(gè)控制網(wǎng)絡(luò)，而這個(gè)結(jié)構(gòu)，如同互聯(lián)網(wǎng)其他協(xié)議一樣，是非常容易受到拒絕服務(wù)的攻擊的。只不過(guò)這時(shí)的拒絕服務(wù)攻擊是用的是VoIP的控制協(xié)議如SIP，而不是TCP或者UDP。VoIP網(wǎng)絡(luò)中的一些服務(wù)器，如邊界代理服務(wù)器(edgeproxyserver)，對(duì)于互聯(lián)網(wǎng)黑客來(lái)說(shuō)只不過(guò)是一個(gè)能夠?qū)�SIP協(xié)議進(jìn)行響應(yīng)的IP地址，和攻擊其他網(wǎng)站的方法并沒(méi)有什么不同。其他傳統(tǒng)的黑客攻擊手段對(duì)VoIP設(shè)備也一樣適用�！∫韵聻閹讉�(gè)例子： 　　

• 攻擊VoIP設(shè)備運(yùn)行的操作系統(tǒng)(Windows或者Linux)來(lái)遠(yuǎn)程控制VoIP設(shè)備，底層操作系統(tǒng)如果不及時(shí)打安全補(bǔ)丁，必然會(huì)有漏洞，而這些漏洞有可能會(huì)被黑客掃描到，從而控制VoIP設(shè)備。


• 與普通電話機(jī)不同，每一臺(tái)VoIP設(shè)備都需要一定的配置，配置不當(dāng)或者使用缺省的配置能讓攻擊者很容易找到目標(biāo)，這些設(shè)備也就是黑客們常說(shuō)的“肉雞”。估計(jì)以后黑客們想找到的就是“肉雞電話”了。


• 利用設(shè)備廠商在VoIP協(xié)議實(shí)現(xiàn)上的漏洞，進(jìn)行遠(yuǎn)程緩沖區(qū)溢出攻擊。每個(gè)廠商在VoIP協(xié)議實(shí)現(xiàn)的方法不同，不同風(fēng)格的代碼實(shí)現(xiàn)的協(xié)議的抗攻擊性也不相同。那些急于把產(chǎn)品推向市場(chǎng)，搶占市場(chǎng)份額的廠商，在實(shí)現(xiàn)VoIP協(xié)議時(shí)常常只要求功能完備，而不考慮協(xié)議實(shí)現(xiàn)的安全性和強(qiáng)壯性，從而使產(chǎn)品推向市場(chǎng)的時(shí)候就存在安全方面的隱患。

　　VoIP非典型安全問(wèn)題
　　其次，VoIP帶來(lái)了傳統(tǒng)的語(yǔ)音電話網(wǎng)上沒(méi)有的新的安全問(wèn)題，最主要的有如下三個(gè)：

• 一個(gè)是遠(yuǎn)程竊聽(tīng);


• 一個(gè)是帶寬的劫持(bandwith hijack)。

　　在傳統(tǒng)語(yǔ)音電話網(wǎng)里，遠(yuǎn)程竊聽(tīng)基本上是政府安全部門才能有的特權(quán)，普通人因?yàn)椴豢赡軐?duì)傳統(tǒng)語(yǔ)音電話設(shè)備進(jìn)行遠(yuǎn)程控制，而不可能偷聽(tīng)到任意人的電話。而互聯(lián)網(wǎng)的開(kāi)放結(jié)構(gòu)使得一個(gè)普通的黑客對(duì)任意電話進(jìn)行監(jiān)聽(tīng)成為可能。使用IP的電話終端一定要有IP地址，那么就有可能被黑客遠(yuǎn)程控制，語(yǔ)音報(bào)文可以被已不加密的方式記錄下來(lái)，傳回到黑客的手里進(jìn)行破解和回放。
　　而電話垃圾會(huì)成為另外一個(gè)棘手的問(wèn)題，電子垃圾郵件的泛濫和屢禁不止是互聯(lián)網(wǎng)現(xiàn)在最頭疼的問(wèn)題。而這個(gè)問(wèn)題隨著VoIP的技術(shù)的普及也將逐漸成為一個(gè)大問(wèn)題。以前，向你的家里打垃圾電話推銷一些你不需要的商品，打電話的人很容易被追蹤是何許人也。而在互聯(lián)網(wǎng)的世界里，想知道打電話的人是誰(shuí)可就不是那么容易的事了。就如同想知道是什么人向你發(fā)送垃圾郵件幾乎是不可能的一樣。那么這些發(fā)送垃圾廣告的人就可以肆無(wú)忌憚地給你打電話，向你的語(yǔ)音信箱內(nèi)發(fā)送廣告信息。你也許正在為每天收到的大量垃圾電子郵件而頭疼，想想如果每天收到大量的推銷你不需要的產(chǎn)品廣告的電話是何感覺(jué)?
　　針對(duì)終端用戶的帶寬的劫持也變成了一個(gè)問(wèn)題，在傳統(tǒng)的語(yǔ)音電話網(wǎng)中，每個(gè)用戶都分配了固定的語(yǔ)音帶寬。這個(gè)帶寬當(dāng)用戶不用的時(shí)候，別人也不允許使用。而在IP網(wǎng)絡(luò)中，帶寬是共享的，你不用的帶寬，別人就可以用。你用多了帶寬，別人的通話質(zhì)量就要受到影響。在IP網(wǎng)絡(luò)中，由于其開(kāi)放式的結(jié)構(gòu)，這個(gè)帶寬是很容易被黑客用一些垃圾的網(wǎng)絡(luò)流量來(lái)填滿的。在這種情況下，正常用戶的語(yǔ)音數(shù)據(jù)流量就會(huì)受到影響。而語(yǔ)音的應(yīng)用對(duì)于延遲和大量的丟數(shù)據(jù)包是很敏感的。用戶可以在Web瀏覽器面前耐心等待一個(gè)網(wǎng)頁(yè)的裝入，卻肯定無(wú)法忍受在和別人通話過(guò)程中話音滯后，模糊不清而根本不知道對(duì)方在講什么。
　　接著， 目前被火熱討論的IMS (IP Multimedia SubsystemCIP多媒體子系統(tǒng))也為VoIP的安全問(wèn)題提出了新的課題。IMS是把無(wú)線語(yǔ)音蜂窩網(wǎng)　(手機(jī)網(wǎng))和IP網(wǎng)結(jié)合在一起的技術(shù)。使得手機(jī)用戶也能享受到一些只有在IP網(wǎng)絡(luò)里才能享受到的服務(wù)。而這也把IP世界中的一些安全問(wèn)題帶到了無(wú)線手機(jī)網(wǎng)絡(luò)中。IMS向手機(jī)用戶提供聲音，圖像和多媒體會(huì)議等服務(wù)也是使用SIP協(xié)議和由SIP服務(wù)器構(gòu)成的網(wǎng)絡(luò)結(jié)構(gòu)。這樣，手機(jī)上的應(yīng)用的安全也將受到IP底層網(wǎng)安全的影響。
　　綜上所述，VoIP盡管安全問(wèn)題始終被提及，但是人們沒(méi)有深刻考慮的，它的安全不僅僅是一個(gè)產(chǎn)品，一項(xiàng)技術(shù)或者一套系統(tǒng)的安全問(wèn)題，它因?yàn)楸旧淼膹V泛作用領(lǐng)域和巨大商業(yè)市場(chǎng)，將導(dǎo)致一旦不從源頭加以控制的話，VoIP的安全威脅規(guī)模將無(wú)數(shù)倍地放大，從安全威脅種類、入侵衍生、黑客人數(shù)、安全人員人數(shù)、相應(yīng)的安全產(chǎn)品系統(tǒng)等等，甚至形成新的巨大安全子市場(chǎng)生態(tài)圈。如果當(dāng)人們把大量的財(cái)力人力，不是放到VoIP本身技術(shù)進(jìn)步和創(chuàng)新性能上面，而是在黑客與反黑客上面的斗爭(zhēng)，盡管也拉動(dòng)了市場(chǎng)，照顧了就業(yè)，但我們還是不知道這到底是一種幸運(yùn)還是一種沉悶的徘徊。
　　Check Point NGX 設(shè)備新添御毒衣
　　NGX安全平臺(tái)增強(qiáng)遠(yuǎn)程辦公保護(hù)
　　近日，CheckPoint公司宣布，其VPN-1Edg增添了先進(jìn)的入侵抵御及防病毒功能，配合其原有的防火墻和VPN技術(shù)提供更強(qiáng)大的安全保護(hù)。
　　VPN-1Edg是一套應(yīng)用于保護(hù)遠(yuǎn)程辦公地點(diǎn)的整合安全設(shè)備，它是CheckPoint邊界產(chǎn)品系統(tǒng)VPN-1家庭中的一員。憑著新增的入侵抵御及防病毒功能，VPN-1Edge 的NGX版本使得企業(yè)能確保其分支辦工地點(diǎn)能與本部擁有同等的扎實(shí)安全防護(hù)，免受蠕蟲(chóng)和各種病毒的攻擊。VPN-1EdgeNGX的整合安全保護(hù)及可擴(kuò)展的管理功能，令用戶可便捷及經(jīng)濟(jì)地連接數(shù)以千計(jì)的遠(yuǎn)程站點(diǎn)，同時(shí)可以安心這些端點(diǎn)不會(huì)成為網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。
　　VPN-1 Edge現(xiàn)也整合了SmartDefens服務(wù)系統(tǒng)。顧客為其VPN-1Edge設(shè)備訂購(gòu)SmartDefense服務(wù)，他便可收到抵御最新病毒的保護(hù)，在單一控制臺(tái)把所有遠(yuǎn)端辦公地點(diǎn)的安全保護(hù)更新。這不僅大幅度降低了維護(hù)一個(gè)分布式安全系統(tǒng)的成本，同時(shí)也使得整個(gè)網(wǎng)絡(luò)系統(tǒng)更為嚴(yán)密安全。
　　具備嵌入式NGX技術(shù)的VPN-1Edge整合了CheckPoint首屈一指的防火墻、VPN、入侵防御軟件，它為用戶帶來(lái)以下好處：簡(jiǎn)化而高度可靠的VPN——使得管理員能使用動(dòng)態(tài)路由及基于路由，快速地把大量的遠(yuǎn)程端點(diǎn)連接。支持安全無(wú)線協(xié)議——這是市場(chǎng)上第一款支持WPA2/802.11i無(wú)線安全標(biāo)準(zhǔn)的設(shè)備。卓越性能表現(xiàn)——具備無(wú)線多媒體服務(wù)質(zhì)量支持，確保無(wú)線網(wǎng)絡(luò)在傳送時(shí)間性十分重要的信息時(shí)(例如VoIP)會(huì)以最小延遲和合乎期望的水平傳輸。

ChinaByte(e.chinabyte.com)