首頁>>>技術(shù)>>>VoIP

安全性問題是否會制約VOIP發(fā)展?

2008/12/25

  起源于IP的開放性,在獲得廉價資費的同時,VOIP網(wǎng)絡(luò)的安全性一直是其與身俱來的弱點,盡管業(yè)界對于其安全性已經(jīng)有了相當(dāng)長時間的研究,但是大多成果都僅僅局限在理論和學(xué)術(shù)性研究,直到在去年中期才有服務(wù)提供商開始對其進行實質(zhì)性的關(guān)注,觸發(fā)動機來源于兩個網(wǎng)絡(luò)詐騙犯盜取了運營商上百萬美元的資金。

  VOIP網(wǎng)絡(luò)的漏洞很容易被不法的駭客所利用,例如,曾經(jīng)有駭客非法地利用系統(tǒng)漏洞在Internet和PSTN網(wǎng)絡(luò)之間免費路由了上千萬分鐘的呼叫,并且作為非法業(yè)務(wù)向用戶低價出售。這樣的技術(shù)只需用到一個改進的IP-PBX去偽裝企業(yè)PBX就可以實現(xiàn)。

  對于VOIP網(wǎng)絡(luò)的安全性,部分專家認為并不需要被過分的夸大。例如,著名VOIP公司Vonage的創(chuàng)始人Jeff Pulver就認為,對于VOIP的安全性業(yè)界過于強調(diào),其實盜取IP呼叫的行為和偷取商店物品沒有本質(zhì)的區(qū)別,這樣的事情應(yīng)該被當(dāng)作犯罪來看待,而不應(yīng)該因為其是和IP網(wǎng)絡(luò)有關(guān)而被過分在技術(shù)層面被強調(diào)。相反,還有大部分專家則認為VOIP網(wǎng)絡(luò)自身有很多安全性的劣勢,如果不被有效地解決,那么在未來商用過程中將會導(dǎo)致系列很嚴重的問題。例如Core Competence網(wǎng)絡(luò)和安全公司的總裁David Piscitello就堅持VOIP的安全性應(yīng)該被重點關(guān)注,他強調(diào)說,越來越多的VOIP產(chǎn)品的弱點被報告出來,相應(yīng)業(yè)界對于VOIP網(wǎng)絡(luò)協(xié)議(如SIP、RTP等)的安全性漏洞也有了越來越多質(zhì)疑,這樣的網(wǎng)絡(luò)給人們的感覺是容易被穿透的,因此Piscitello表示,對于VOIP網(wǎng)絡(luò)安全性的重點關(guān)注是具有很強的商業(yè)動機的。

  此外,媒體廣告和安全性總是息息相關(guān)的,最典型的例子是讓用戶聽之惶恐手機和移動IM病毒,其大多起源于垃圾廣告。同樣地,對于VOIP網(wǎng)絡(luò),媒體廣告也會帶來同樣的問題,網(wǎng)絡(luò)電話安全聯(lián)盟(VOIPSA)的主席David Endler表示,肆意的媒體廣告將會是VOIP病毒的一個主要來源,此外,對于VOIP網(wǎng)絡(luò)和業(yè)務(wù),IP數(shù)據(jù)網(wǎng)絡(luò)固有的安全隱患例如DOS、蠕蟲、病毒等也是值得關(guān)注的。因此,VOIP網(wǎng)絡(luò)在商用的過程中,安全性問題成為了各大服務(wù)提供商所共同面臨的嚴重問題。

  正如很多專家所堅持的,VOIP安全性在技術(shù)方面需要很多提升,否則,在未來的全IP業(yè)務(wù)體系下,這樣的安全性隱患會被擴展,甚至波及諸如移動通信網(wǎng)絡(luò)等。例如,先前所提及的垃圾郵件、垃圾廣告等入侵行為,則有可能在WLAN熱點區(qū)域,借助免費VOIP應(yīng)用入侵移動終端。

  Juniper Network亞太地區(qū)的解決方案和市場部門負責(zé)人Andrew Ma表示,另一個很嚴重的問題是,在很多情況下用戶都無法發(fā)現(xiàn)他們正在被攻擊,這樣對于防御措施要求則更加的苛刻。例如,有種名為VOMIT(Voice over misconfigured Internet telephones)在Unix下運行的工具,能夠捕獲VOIP數(shù)據(jù)包,并且能夠在計算機上將其還原成音頻文件。這樣,在公眾熱點承載的VOIP業(yè)務(wù)就及其容易受到竊聽,因為駭客可以竊取到相關(guān)的數(shù)據(jù)包,并且用VOMIT工具還原聲音文件。Andrew表示,應(yīng)對這樣的攻擊的方法是對VOIP業(yè)務(wù)進行端到端加密,從而保證數(shù)據(jù)包不能被非法還原。

  VOIP另一個日益增長的安全性問題來源于對SIP協(xié)議日益廣泛的使用。SIP協(xié)議是類似于HTTP的基于文本的協(xié)議,用于管理基于IP網(wǎng)絡(luò)的會話事務(wù)。這種基于文本的協(xié)議使得駭客們更加容易竊取,從而控制網(wǎng)絡(luò)的信令過程。同時,VOIP網(wǎng)絡(luò)通常都是復(fù)用信道,這樣更加地容易被竊取。因此,需要防火墻和IDP等組建能夠?qū)τ赩OIP協(xié)議有更多的特定效力,從而有效地保護這個服務(wù)。

  除了在應(yīng)用層的新增隱患(因為VOIP可以看作假設(shè)在IP之上的應(yīng)用,先前所提及安全性問題都可以視作應(yīng)用層隱患),傳統(tǒng)IP層的安全性隱患可能由于VOIP業(yè)務(wù)自身的特點而加大其嚴重性。Endler就指出,VOIP業(yè)務(wù)本身對于IP層的安全性提出了新的挑戰(zhàn),在IP網(wǎng)絡(luò)上面假設(shè)話音服務(wù)會使得從前就有的許多IP的問題被暴露得有為明顯。例如,傳統(tǒng)情況下,一個企業(yè)在遭受DOS攻擊得時候,可能使得整個公司上網(wǎng)速度減慢,但是并不會徹底影響他們郵件的發(fā)送。然而,當(dāng)他們的IP網(wǎng)絡(luò)承載話音業(yè)務(wù)的時候,DOS攻擊將可能直接使得一次通話中斷(因為話音業(yè)務(wù)能容忍的時延有限)。因此,在現(xiàn)有IP網(wǎng)絡(luò)上假設(shè)VOIP服務(wù),就意味著對于現(xiàn)有的IP提出了新的挑戰(zhàn)。

  支持VOIP能夠加劇IP網(wǎng)絡(luò)不安全隱患觀點的還有阿爾卡特-朗訊亞太地區(qū)安全業(yè)務(wù)主管Keith White,他認為,安全性問題是阻礙VOIP發(fā)展的主要問題之一,許多公司和組織都因為這樣的顧慮而對其保守地觀望,如果解決了這個問題,VOIP市場將會得到一個質(zhì)的飛躍。這也是他們所希望改善的,然而,VOIP安全性最大的挑戰(zhàn)是如何讓企業(yè)和服務(wù)提供商明確分組IP網(wǎng)絡(luò)固有的特點和傳統(tǒng)電路交換網(wǎng)絡(luò)有所區(qū)別,而IP網(wǎng)絡(luò)由于其盡力而為的設(shè)計哲學(xué)導(dǎo)致自身就有許多安全性缺陷。

  White表示,他相信VOIP服務(wù)提供商應(yīng)該也能夠提供可信的VOIP服務(wù)。談及安全性問題的時候,他將VOIP服務(wù)提供商分為兩類,一類是利用現(xiàn)有Internet基礎(chǔ)設(shè)施提供VOIP服務(wù)的虛擬運營商,例如Skype、Net2Phone、Vonage等,并且將其稱為"寄生運營商"。而另一類則是基于自己的基礎(chǔ)設(shè)施提供VOIP服務(wù)的提供商。他表示,這兩類服務(wù)提供商有著明顯的區(qū)別,前者是互聯(lián)網(wǎng)的用戶自發(fā)架設(shè)的端到端應(yīng)用,具有很低的服務(wù)質(zhì)量保證,而后者是專業(yè)網(wǎng)絡(luò)集成商和運營商所假設(shè)的服務(wù),具有可靠的服務(wù)質(zhì)量保證。對于安全性問題,"寄生運營商"顯然比起擁有基礎(chǔ)設(shè)施管控權(quán)力的運營商更加的被動,他們只能在終端部署安全性策略而無法涉及到網(wǎng)絡(luò)內(nèi)部。

  因此,White堅信VOIP用戶自己應(yīng)該實施一些安全措施,在他們的終端進行安全性保證。安全性策略應(yīng)該被越來越多地部署到網(wǎng)絡(luò)軟件中,但是用戶自身對于安全性的管控需求也在日益增加。

  面對VOIP網(wǎng)絡(luò)安全性問題的現(xiàn)狀,許多專家都提出了未來發(fā)展的參考路線,普遍認為各大運營商和企業(yè)急需好的策略方面的支持。阿爾卡特-朗訊新加坡話音和應(yīng)用部門主管Manish Sablok表示,他們正在推廣一種多層的復(fù)合安全策略,其核心思想是通過多個部署了安全性策略的層次來保證IP電話服務(wù)器的安全,從而使得駭客無法輕易的穿破多個層次進行攻擊。

  Verizon Business亞太地區(qū)市場部主管Darren Day表示,VOIP網(wǎng)絡(luò)安全性方面設(shè)計最大的挑戰(zhàn)是在設(shè)計的初期就前攝地進行安全性考慮。當(dāng)前的許多商用VOIP網(wǎng)絡(luò)對于安全性的部署都是在事發(fā)之后,對于每個成功的VOIP部署,都需要一定的時間去了解企業(yè)對于安全性的特定需求,而后才能作出準確的回應(yīng)。例如,VOIP的部署中應(yīng)該考慮使用VPN技術(shù)來提供可靠的準入策略,從而拒絕來源不明的業(yè)務(wù)請求接入其IP-PBX。

  Juniper Netowrk的Ma也提出了他們的解決方案,鑒于目前許多部署VOIP網(wǎng)絡(luò)的運營商和服務(wù)提供商都使用了MPLS和VLAN等虛擬技術(shù),可以利用其區(qū)分VOIP網(wǎng)絡(luò)流量和其他流量,從而使得未被鑒權(quán)的終端將比較難以接入VOIP設(shè)備。他同時還建議說利用邊界會話控制器(session border controller)來進行拓撲和IP隱藏,并且通過部署呼叫準入控制機制來防控DOS攻擊。

  阿爾卡特-朗訊的White則認為,VOIP僅僅是不可信IP網(wǎng)絡(luò)的一個應(yīng)用,因此安全策略應(yīng)該同時針對VOIP應(yīng)用和底層IP網(wǎng)絡(luò)本身。他相信目前的大多VOIP商用網(wǎng)絡(luò)都是在沒有可靠安全措施部署情況下運行的,而目前所需要做的,是對于網(wǎng)絡(luò)(路由器)和終端(主機)都進行全面的核查,從而在應(yīng)用層和IP層都同時增補相應(yīng)的安全策略。

  由于VOIP網(wǎng)絡(luò)的安全性問題日益突出,各大服務(wù)提供商都開始運作對其風(fēng)險評估的相關(guān)服務(wù)。例如,Verizon Business就聲稱他們擁有300個安全專家來提供他們的風(fēng)險評定服務(wù)。這項服務(wù)致力于識別和發(fā)現(xiàn)潛在的安全性隱患,涉及各種廠商VOIP和IP PBX系統(tǒng)的軟件和硬件。所涉及的安全性隱患包括業(yè)務(wù)丟失、網(wǎng)絡(luò)欺詐、DOS攻擊、病毒和VOIP垃圾郵件等。其發(fā)言人聲稱,這項服務(wù)目前已經(jīng)在美國和英國開始運營,而在全球其他地區(qū)可以被部分地獲得。

  同樣提供類似安全性評估服務(wù)的還有阿爾卡特-朗訊,他們的發(fā)言人White表示,他們公司相關(guān)的工具和方法已經(jīng)可以被提供來確保網(wǎng)絡(luò)的安全性,并且可以提供專業(yè)級別的VOIP服務(wù)。貝爾實驗室新近研制的72點網(wǎng)絡(luò)安全體系模型就是其中的一個例子,其已經(jīng)被ITU采納為x.805標準。最近這項技術(shù)還被ISO接受為ISO-18028標準。

  安全聯(lián)盟

  當(dāng)前,全球最大的關(guān)于VOIP安全性的聯(lián)盟組織是網(wǎng)絡(luò)電話安全聯(lián)盟(VOIPSA),這個組織是2005年由各大VOIP廠商、運營商和研究機構(gòu)所發(fā)起的,其目標是通過討論組、白皮書、VOIP研究項目支助、安全性工具開發(fā)等方式來使得用戶了解并且避免VOIP安全方面的風(fēng)險。

  VOIPSA的首個項目是VOIP安全威脅分類,用來定義來自VOIP部署、業(yè)務(wù)和終端用戶等方面各種潛在的威脅。這個項目將會在第一時間解決VOIP安全性方面的需求問題。而這個聯(lián)盟的后續(xù)項目將會基于此進行各種開發(fā)和實現(xiàn),逐一解決問題。

ZDnet (www.zdnet.com.cn)


相關(guān)鏈接:
VoIP需要進行更好地網(wǎng)絡(luò)測試 2008-12-24
金融海嘯中 WiMAX VoIP市場開始萌芽 2008-12-23
統(tǒng)一通信(UC)帶來必須提防的潛在安全漏洞 2008-12-23
中小企業(yè)如何選型IP電話交換系統(tǒng)(IP PBX)? 2008-12-23
《信息周刊》Avaya:擁抱變革 2008-12-23

分類信息: