首頁>>>技術(shù)>>>VoIP

VoIP安全言過其實(shí)?

2007/03/19

  同許多新技術(shù)一樣,VoIP面臨著安全問題的影響。那些描述可能導(dǎo)致竊聽的VoIP安全漏洞、新型垃圾郵件、甚至可以造成企業(yè)賴以生存的通信網(wǎng)癱瘓的拒絕服務(wù)攻擊的報(bào)告屢屢成為頭條新聞。

  身為資深分析師的Gartner公司研究主管Lawrence Orans說,其中的一些威脅言過其實(shí),不可能發(fā)生在企業(yè)環(huán)境中。而從事通信業(yè)分析的《Communications Network Architects》總裁Frank Dzubeck則認(rèn)為,鑒于IP缺少內(nèi)置的安全性,任何事情都可能發(fā)生。為此,《Network World》高級(jí)編輯Cara Garretson采訪了這兩個(gè)人,以弄清VoIP安全威脅是否真的言過其實(shí)。

問:VoIP系統(tǒng)面臨的安全威脅有多嚴(yán)重?

  Orans:首先,我想解釋一下VoIP一詞。VoIP是個(gè)集合術(shù)語。我們看到它用于各種形式的分組語音,不管它是Internet電話(如Skype)本身,還是有線運(yùn)營商提供的Internet電話服務(wù)。而這里存在的問題是非常真實(shí)的。

  VoIP實(shí)際上只是另一種運(yùn)行在網(wǎng)絡(luò)上的應(yīng)用,并且它一直是最可靠的,當(dāng)然任何故障或安全破壞都是巨大的問題。缺少影響廣泛的攻擊讓人們有了一種虛假的安全感。但是,實(shí)際的威脅是非常真實(shí)的。

  在使用IP電話時(shí),IP電話機(jī)擁有內(nèi)存、操作系統(tǒng),實(shí)際上,它是一種加固型專用設(shè)備,但仍可能受到攻擊。PBX服務(wù)器本身也會(huì)受到攻擊。此外,協(xié)議本身許多信令協(xié)議仍比較新或是專有的。因此,不管是哪種情況,它們都沒有經(jīng)過像協(xié)議那種級(jí)別的更成熟的安全威脅審查。因此,從總體看,我認(rèn)為威脅是非常真實(shí)的,關(guān)鍵在于充分了解這個(gè)問題,使你可以將夸大其詞的威脅與真實(shí)的威脅區(qū)分開。

  Frank:IP本身就是問題。IP在設(shè)計(jì)上從來沒有考慮到安全性。不錯(cuò),VoIP是種應(yīng)用,而作為一種企業(yè)內(nèi)部的應(yīng)用,它將成為一種無處不在的應(yīng)用。但問題是,它存在各種安全漏洞。如果你不預(yù)先分析VoIP的安全問題,那么由于漏洞的出現(xiàn),巨大災(zāi)難將降臨到你的頭上。

  我不太同意Orans前面說過的話,即“向Internet領(lǐng)域的演進(jìn)不是難以捉摸的事情;它是這個(gè)拼圖中的一塊;可能出現(xiàn)在局域網(wǎng)上的VoIP與基于互聯(lián)網(wǎng)的IP通信的集成將成為現(xiàn)實(shí)”。如果我們現(xiàn)在不解決安全問題,我們很可能將永遠(yuǎn)不能解決這些問題。

問:有關(guān)竊聽VoIP的報(bào)道屢屢成為頭條新聞,但是這類事件真的會(huì)發(fā)生在企業(yè)網(wǎng)絡(luò)上嗎?

  Orans:竊聽是言過其實(shí)的。的確,進(jìn)行中間人攻擊和抓包從技術(shù)上講是可能的,但是我們應(yīng)該在IP電話的背景下討論這個(gè)問題。IP電話實(shí)際上是一種基于LAN的系統(tǒng)。若想在LAN上抓取數(shù)據(jù)包,一般需要物理上的鄰近性,而做到這點(diǎn)的最容易的途徑是進(jìn)入LAN所在建筑。比如信息中心的某人捕獲來自CEO的通信,但這個(gè)人也可以對(duì)電子郵件做同樣的事情,而大多數(shù)企業(yè)并不擔(dān)心電子郵件竊聽。

  Frank:我同意竊聽言過其實(shí)的觀點(diǎn),但感覺是真實(shí)的。我認(rèn)為加密是使所有人感覺更好的技術(shù),因此即使這種威脅可能言過其實(shí),但既然加密技術(shù)是現(xiàn)成的,何樂而不為呢?

  我們應(yīng)當(dāng)加密LAN內(nèi)部的語音,從長(zhǎng)遠(yuǎn)看,我還是對(duì)數(shù)據(jù)和視頻進(jìn)行同樣處理觀點(diǎn)的支持者。

問:Internet電話垃圾郵件,即SPIT,又如何呢?這種威脅的真實(shí)性有多大?


  Orans:這是另一個(gè)言過其實(shí)的威脅。的確,從技術(shù)上看,SPIT是可能的,但這里的關(guān)鍵問題是業(yè)務(wù)模型,而不是技術(shù)。

  我們都收到過垃圾郵件,而垃圾郵件的交易模型與SPIT非常不同。對(duì)于垃圾郵件來說,你收到一封電子郵件,如果你想為其支付抵押貸款,因此你點(diǎn)擊Web鏈接,那么你就會(huì)進(jìn)入到這種交易中。換句話說,垃圾郵件成功了。而對(duì)于SPIT則完全是一個(gè)不同的故事。如果我在語音郵件箱中收到語音消息,我如何完成這種交易?是我必須拷貝下這個(gè)URL,然后走到我的計(jì)算機(jī)前嗎?還是我必須給某人回電話嗎?這是完全不同的業(yè)務(wù)模型。

  另一個(gè)問題是法律問題。在美國,我們有“請(qǐng)勿打我電話”(Do Not Call)名單。因此,存在一種法律上的威懾力和業(yè)務(wù)模型上的威懾力,而這兩種威懾力都是針對(duì)SPIT模型的。我認(rèn)為,這正是我們到目前為止沒有看到大量SPIT的原因。

  Frank:我完全同意有關(guān)法律問題的觀點(diǎn)。目前有1.37億人在“請(qǐng)勿打我電話”名單上注冊(cè),這是我所知道的聯(lián)邦環(huán)境下最成功的計(jì)劃。

  但是,我看到一種將在未來出現(xiàn)的VoIP垃圾郵件的版本。現(xiàn)在有一家名為O2的無線公司,每當(dāng)我進(jìn)入一個(gè)有O2公司業(yè)務(wù)存在的國家,即便我當(dāng)時(shí)使用不同的運(yùn)營商,我都會(huì)收到一條歡迎使用O2的文本消息。我沒有請(qǐng)求獲得鏈接,但我收到了歡迎我的文本消息。

問:按A、B、C、D、E這樣的字母評(píng)級(jí),您認(rèn)為大多數(shù)企業(yè)在保護(hù)自己的IP電話環(huán)境上能得多少分?你認(rèn)為今后3到5年中會(huì)出現(xiàn)什么VoIP威脅?

  Frank:這不是IP電話或VoIP問題。這是IP問題,人們不應(yīng)當(dāng)懷疑IP或IP之上各層的安全性。

  這就是說,我會(huì)給出大致為B+的評(píng)分。非常少的企業(yè)的得分是A,非常少的是E;大多數(shù)企業(yè)得分在中間范圍。

  但是必須說明的是,這些企業(yè)到目前為止都還沒有經(jīng)歷過任何事情,因此它們沒有受到攻擊。

  Orans:我的評(píng)分標(biāo)準(zhǔn)更嚴(yán)格,我給大多數(shù)企業(yè)的評(píng)分會(huì)是D。

  多數(shù)人并不真正懂得存在的風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)源于安全專業(yè)人員與語音專業(yè)人員之間存在差距的事實(shí),他們沒有充分地了解對(duì)方的業(yè)務(wù)。因此,如果將這些因素綜合在一起,我們其實(shí)面臨很大的風(fēng)險(xiǎn)。

  Frank:而對(duì)于未來3~5年中企業(yè)將面對(duì)的VoIP安全問題,我認(rèn)為你會(huì)看到一個(gè)越來越嚴(yán)重的局面,不管它是像Orans所說的發(fā)生在服務(wù)器級(jí),還是今后兩年里發(fā)生在大型企業(yè)實(shí)體桌面級(jí)上的大規(guī)模拒絕服務(wù)攻擊。原因是機(jī)會(huì)與漏洞并存。

  Orans:我同意關(guān)于發(fā)生針對(duì)這些系統(tǒng)的攻擊只是時(shí)間問題的觀點(diǎn)。我們已經(jīng)看到了針對(duì)PBX和手機(jī)的攻擊,這些攻擊的變種也不斷會(huì)蔓延到其他的設(shè)備和應(yīng)用領(lǐng)域。因此,我們看到針對(duì)這些漏洞的攻擊也只是時(shí)間問題而已,未來我們不得不面對(duì)更多的安全威脅。

網(wǎng)絡(luò)世界


相關(guān)鏈接:
用多層次方法保VoIP安全 2007-03-19
傲然而為,平實(shí)而威——傲威通信劉宇專訪 2007-03-19
五款常用網(wǎng)絡(luò)電話軟件橫向評(píng)測(cè) 2007-03-16
Skype助你擺脫束縛 感受VoIP新感覺 2007-03-16
基于ARM的局域網(wǎng)IP電話設(shè)計(jì) 2007-03-16

分類信息: