網(wǎng)絡(luò)世界:誰在虛構(gòu)VOIP安全威脅
2005/08/17
IT經(jīng)理不應(yīng)當(dāng)認(rèn)為由于他們的數(shù)據(jù)網(wǎng)絡(luò)得到了保護(hù),所以向他們的系統(tǒng)添加語音也是安全的�。
想象一下這樣的情景:入侵者神不知鬼不覺地進(jìn)入你的VoIP網(wǎng)絡(luò),開始監(jiān)視他所選擇的任何談話����,提取敏感信息、公司秘密�����、甚至包括可用于敲詐CEO的詳細(xì)資料。
上個(gè)月�,ISS(Internet Security Systems)公司發(fā)出警告,提醒用戶注意Cisco的VoIP產(chǎn)品存在一個(gè)有可能發(fā)生上述情景的安全漏洞��。據(jù)該公司說�,Cisco的負(fù)責(zé)處理呼叫信令和路由的Call
Manager中存在的這個(gè)漏洞可能造成緩沖區(qū)溢出,使入侵者可以接入系統(tǒng)監(jiān)聽通過系統(tǒng)傳送的所有呼叫�����。
成長的痛苦
ISS的X-Force研發(fā)部團(tuán)隊(duì)負(fù)責(zé)人Neel Mehta說:“VoIP在安全性問題上將遭遇成長的痛苦���。這仍是一種新出現(xiàn)的威脅�����,而且是我們需要認(rèn)真對待的威脅������!
這類廠商(包括BorderWare����、Secure Logix和NFR)敦促使用專用防火墻這樣的安全設(shè)備����。這類防火墻專門設(shè)計(jì)用于過濾VoIP傳輸流�,查找可疑的模式并切斷這些連接。
但是�����,找到一家受到VoIP濫用者(無論他們是利用多余的消息阻塞語音郵件信箱的垃圾郵件制造者�,監(jiān)聽電話談話的入侵者還是隱藏自己真實(shí)身份的詐騙者)傷害的公司還有些困難。到目前為止��,威脅還主要是假設(shè)的威脅�����。
Burton Group高級(jí)分析師Irwin Lazar說:“我認(rèn)為現(xiàn)在還沒有真正的威脅��。VoIP仍是相當(dāng)封閉的系統(tǒng)�,幾乎沒有一家公司將自己的VoIP系統(tǒng)向Internet開放����。”不過,他說����,一旦這種情況發(fā)生變化,公司開始在名片和網(wǎng)站上公布他們在VoIP通信中使用的SIP地址����,VoIP安全將變得至關(guān)重要。
去年��,VoIP管理廠商Qovia宣布說�,它申請了一項(xiàng)涉及捕獲VoIP垃圾郵件技術(shù)的專利。VoIP垃圾郵件被認(rèn)為是VoIP網(wǎng)絡(luò)面臨的較直接的威脅之一��。Qovia營銷副總裁Pierce
Reid說�����,公司曾計(jì)劃去年推出這種垃圾郵件捕捉模塊�����,但由于市場缺少興趣而一直沒有做這件事�����。
熱門話題
不過,Reid說對這類產(chǎn)品的興趣開始升溫�����,安全問題現(xiàn)在是有關(guān)VoIP活動(dòng)上的熱門話題�����。Reid說:“我們?nèi)ツ晗胱龅牟糠止ぷ魇菐椭藗兗皶r(shí)提高安全意識(shí)�,在受到VoIP威脅襲擊前保護(hù)自己��!痹摴居(jì)劃今年年底推出反垃圾郵件產(chǎn)品�。
北卡羅萊納州Jacksonville市高級(jí)IT專家Bobby Parrish說,市政當(dāng)局大約3年前安裝Cisco的VoIP設(shè)備時(shí)���,將注意力放在了減少費(fèi)用上�����,安全性不是主要擔(dān)心的問題。但是�����,他的部門采取了一些措施保護(hù)語音網(wǎng)絡(luò),例如將語音網(wǎng)絡(luò)與數(shù)據(jù)網(wǎng)絡(luò)隔離���,為電話提供物理安全措施�����。
盡管Jacksonville市的VoIP網(wǎng)絡(luò)沒有遇到任何安全違規(guī)事件�,但Parrish認(rèn)為他的部門也許運(yùn)氣不錯(cuò)��,并且相信這種運(yùn)氣不會(huì)永遠(yuǎn)存在下去��。他說:“我還沒有看到恐怖的一面�,不過我還沒有天真到認(rèn)為這種事情不會(huì)發(fā)生的程度����!碑(dāng)Qovia的反VoIP垃圾郵件產(chǎn)品發(fā)布時(shí),Jacksonville將評估這種產(chǎn)品�����。
我們有一些充分的理由不能忽視VoIP面臨的潛在威脅���,甚至在它們還沒有成為廣泛存在的事實(shí)前�����。首先����,鑒于病毒、垃圾郵件和網(wǎng)頁欺詐等濫用在另一些基于IP的通信系統(tǒng)(特別是電子郵件)泛濫成災(zāi)的事實(shí)�,不難想象類似的威脅也會(huì)進(jìn)入VoIP。第二����,如果這些理論上的威脅進(jìn)入企業(yè),它們會(huì)造成嚴(yán)重的破壞��。
小心慢走
加州Santa Rosa市Exchange Bank信息安全官Bob Gligorea說:“我認(rèn)為人們不應(yīng)當(dāng)部署VoIP�����,除非他們采取了必需的安全措施����!边@家社區(qū)銀行目前正在安裝新的網(wǎng)絡(luò)硬件�����,包括ISS安全設(shè)備�,這樣他可以在明年遷移到VoIP上。他說:“我沒有聽說過發(fā)生了這類濫用���,但是我會(huì)想到為獲得競爭優(yōu)勢而偷聽��,這種事會(huì)非常糟����������!
那么��, 企業(yè)應(yīng)當(dāng)對這些威脅做些什么呢���?今年年初,美國政府提出了一些建議��。1月份����,商務(wù)部下屬國家標(biāo)準(zhǔn)與技術(shù)局發(fā)表了一份評估VoIP安全的報(bào)告����,指出IT經(jīng)理不應(yīng)當(dāng)認(rèn)為由于他們的數(shù)據(jù)網(wǎng)絡(luò)得到了保護(hù)����,所以向他們的系統(tǒng)添加語音也是安全的。這份報(bào)告說�,“管理人員可能錯(cuò)誤地認(rèn)為由于數(shù)字化語音通過數(shù)據(jù)包傳送,因此他們可以簡單地將VoIP組件插入到他們已經(jīng)得到保護(hù)的網(wǎng)絡(luò)中�,然后就高枕無憂。但是��,這個(gè)過程沒有那么簡單����������!
報(bào)告建議采用目前流行的隔離語音與數(shù)據(jù)傳輸流的措施��,使用可以檢測VoIP協(xié)議的防火墻這樣的安全產(chǎn)品��,以及避免通過使用PC和耳機(jī)來實(shí)現(xiàn)VoIP的“軟電話”,從而使網(wǎng)絡(luò)免于受到病毒和其他惡意軟件的攻擊���。
SurfControl公司全球威脅分析與研究副總裁Susan Larson說,除了安裝可以清除可疑VoIP傳輸流的特殊產(chǎn)品外����,公司還應(yīng)當(dāng)考慮自己的VoIP網(wǎng)絡(luò)如何在總體安全努力中發(fā)揮作用。隨著Skype(一種使PC用戶可在Internet上打電話的免費(fèi)對等程序—因而建立與外部世界的沒有保護(hù)的連接)這類應(yīng)用程序的日益流行����,公司必須考慮自己的雇員可能下載什么。Larson說�,SurfControl的產(chǎn)品可以阻止從這類站點(diǎn)進(jìn)行下載,并在帶有指向這些網(wǎng)站的嵌入U(xiǎn)RL的電子郵件進(jìn)入企業(yè)前捕獲它們���。
網(wǎng)絡(luò)世界(cnw.ccw.com.cn)
相關(guān)鏈接: