安全是VoIP永遠(yuǎn)的追求
朱茜
2005/02/23
有關(guān)專家在2004年VON盛會(huì)上提醒那些希望通過VoIP加強(qiáng)網(wǎng)絡(luò)安全性的人:VoIP技術(shù)非常脆弱和敏感,想要建立安全的VoIP網(wǎng)絡(luò)�,就必須面對(duì)無數(shù)的可能威脅,而這些問題都是從事傳統(tǒng)電信行業(yè)的人們所不熟悉的����。
AT&T 提到一個(gè)令人吃驚的威脅�,即在VoIP流中插話的問題,這有點(diǎn)像數(shù)據(jù)網(wǎng)絡(luò)中的攔截式(man-in-the-middle)攻擊�。AT&T的安全專家表示,如果在他人交流中惡意插入話語(yǔ)�����,即使講話的本人也聽不到��。他曾經(jīng)在實(shí)驗(yàn)室中使用這一技術(shù)捏造整條VoIP聲音郵件消息����,結(jié)果被當(dāng)時(shí)的FBI聲紋分析鑒定成真的�����。他強(qiáng)調(diào)說����,這種事情完全有可能發(fā)生�,后果非常可怕����。
VoIP的弱點(diǎn)還包括Internet電話垃圾���,不請(qǐng)自來的聲音郵件可能會(huì)塞滿VoIP郵箱�����,而拒絕服務(wù)攻擊則可能會(huì)產(chǎn)生潮水般的請(qǐng)求接入信號(hào)��,從而癱瘓聲音服務(wù)器�。
但也不必過分擔(dān)心�,因?yàn)橐延械陌踩苑桨缚梢栽诤艽蟪潭壬辖档瓦@一風(fēng)險(xiǎn)。例如��,可以加密呼叫信號(hào)來隱藏電話地址,從而減少插話攻擊的機(jī)會(huì);或者加密聲音包來杜絕插入字詞的可能性�����,從而進(jìn)一步降低威脅�。NORTEL已經(jīng)在其VoIP手持設(shè)備的軟件上加密聲音包以抵御插話攻擊。
沒有一種硬件和軟件保護(hù)措施能夠抵擋一切攻擊��,這一基本VoIP安全性準(zhǔn)則適用于所有網(wǎng)絡(luò)安全方案����。VeriSign的產(chǎn)品經(jīng)理在一次VoIP安全性會(huì)議上表示,有數(shù)據(jù)顯示每個(gè)月都會(huì)出現(xiàn)新的威脅����,惡意攻擊層出不窮,令人防不勝防��。
VeriSign表示����,新的VoIP安全性服務(wù)有兩個(gè)安全操作中心,它們可以監(jiān)視用戶網(wǎng)絡(luò)的兩個(gè)方面�,一方面通過掃描已知病毒來找出惡意攻擊行為,另一方面搜索不正常的網(wǎng)絡(luò)行為�����。這類流量會(huì)被暫時(shí)凍結(jié),等待用戶得到通知并確認(rèn)它不是攻擊后才會(huì)放行����。
VeriSign 目前在尋找IP電話合作伙伴,希望在他們的服務(wù)中加入數(shù)字證書,以便用戶可以驗(yàn)證電話內(nèi)容安全與否�����。
與此同時(shí)����,Juniper 和 Avaya 展示了Juniper的安全設(shè)備與Avaya的VoIP工具的合成產(chǎn)品。這一展示品是專為中小企業(yè)設(shè)計(jì)的�,其中的Juniper防火墻可以打開或關(guān)閉端口以接納VoIP呼叫�����。VoIP呼叫使用一定范圍內(nèi)的多個(gè)隨機(jī)端口����,除非與防火墻緊密集成,否則沒有用于關(guān)閉這些端口的機(jī)制�。所以��,保護(hù)VoIP網(wǎng)絡(luò)不受端口掃描攻擊的關(guān)鍵在于確保呼叫完成時(shí)關(guān)閉端口�����。
VoIP保護(hù)的一般解決方案是使用分層安全性�����,IP網(wǎng)絡(luò)也是使用這一模型���。這包括在通信服務(wù)器周圍建立防火墻,阻攔已知IP地址以外的入站VoIP信號(hào)��,以及使用VPN在站點(diǎn)間傳輸VoIP���。一些建議措施已被廣泛用于保護(hù)數(shù)據(jù)網(wǎng)絡(luò)�����,不過另有一些措施是專門針對(duì)VoIP的�����。
盡管業(yè)界一再做出保證��,但許多公司仍然擔(dān)心使用VoIP所帶來的可能危險(xiǎn)��。一家國(guó)內(nèi)連鎖零售店公司的電信主管表示����,公司目前只在一個(gè)站點(diǎn)內(nèi)部使用VoIP,他并不擔(dān)心該站點(diǎn)的安全問題�����,但如果開始在各個(gè)零售店通過WAN使用VoIP��,安全方面可能會(huì)有問題��。
Countrywide Financial的一位電信經(jīng)理表示���,公司正在研究如何將來自多家供應(yīng)商的超過40臺(tái)PBX聯(lián)合起來��,這些交換機(jī)為全國(guó)各地的34000名員工提供服務(wù)����,IP電話設(shè)備與TDM交換機(jī)的安全性就成為最令人關(guān)心的問題���。
IT部門員工的一般感覺是TDM設(shè)備在提供聲音服務(wù)方面非常穩(wěn)定�����,但如果使用IP設(shè)備����,就會(huì)讓人擔(dān)心穩(wěn)定性是否會(huì)受到影響����。
這種擔(dān)心部分源于IP網(wǎng)絡(luò)和基于Intel的服務(wù)器的世界里出現(xiàn)的威脅,像病毒和木馬���,這些是從事電信的人們過去從未遇到的問題����,現(xiàn)在都會(huì)變成現(xiàn)實(shí)����。
雖然存在危險(xiǎn),但安全的VoIP部署也是有可能實(shí)現(xiàn)的��,就有一些公司表示不太擔(dān)心VoIP的網(wǎng)絡(luò)安全�,畢竟目前針對(duì)VoIP的病毒并不是很多���,而且權(quán)威安全機(jī)構(gòu)也沒有關(guān)于這方面的報(bào)道,很多人相信�,這些威脅都只是暫時(shí)的。
有關(guān)專家在2004年VON盛會(huì)上提醒那些希望通過VoIP加強(qiáng)網(wǎng)絡(luò)安全性的人:VoIP技術(shù)非常脆弱和敏感��,想要建立安全的VoIP網(wǎng)絡(luò)���,就必須面對(duì)無數(shù)的可能威脅�,而這些問題都是從事傳統(tǒng)電信行業(yè)的人們所不熟悉的����。
賽迪網(wǎng) 中國(guó)信息化(industry.ccidnet.com)
相關(guān)鏈接: