VoIP:威脅源自何方����?
中國(guó)人民銀行日照市中心支行工程師 馬云飛
2005/12/06
隨著VoIP技術(shù)的普及�����,VoIP語(yǔ)音通訊的安全問(wèn)題引起了業(yè)內(nèi)越來(lái)越廣泛的關(guān)注����。但是VOIP的安全威脅到底源自何方,這應(yīng)是業(yè)內(nèi)要系統(tǒng)化解決VOIP安全問(wèn)題亟待明確的第一步���。
今年十月�����,VoIPSA(Voice over IP Security Alliance)VoIP安全聯(lián)盟發(fā)布了VoIP安全威脅分類(lèi)����,對(duì)IP電話面臨的安全威脅進(jìn)行了較為詳細(xì)的分類(lèi)與描述,邁出了業(yè)內(nèi)系統(tǒng)化解決VoIP安全問(wèn)題的第一步���。
誰(shuí)讓語(yǔ)音感染了病毒�?
與傳統(tǒng)PSTN公共交換電話網(wǎng)絡(luò)無(wú)病毒及DoS攻擊之虞不同�����,在VoIP系統(tǒng)中���,VoIP語(yǔ)音流量作為IP網(wǎng)絡(luò)內(nèi)承載語(yǔ)音服務(wù)的一種特殊流量,與其它類(lèi)型數(shù)據(jù)流量并無(wú)本質(zhì)區(qū)別���,同樣會(huì)面臨IP數(shù)據(jù)網(wǎng)絡(luò)司空見(jiàn)慣的病毒與攻擊等安全威脅�。
市場(chǎng)調(diào)研機(jī)構(gòu)Infonetics公司企業(yè)語(yǔ)音與數(shù)據(jù)部門(mén)主管Matthias Machowinski指出�,VoIP用戶(hù)必須對(duì)作為這項(xiàng)技術(shù)依托的IP基礎(chǔ)架構(gòu)有清醒的認(rèn)識(shí)��!安《镜葘(duì)IP網(wǎng)絡(luò)的威脅雖歸于數(shù)據(jù)安全范疇�����,但這種威脅同樣會(huì)影響到VoIP語(yǔ)音服務(wù)的質(zhì)量與可靠性�����。”事實(shí)上����,與常規(guī)數(shù)據(jù)流量相比,包括VoIP語(yǔ)音在內(nèi)的各種實(shí)時(shí)流量對(duì)網(wǎng)絡(luò)異常更為敏感��,VoIP安全的底限首先是數(shù)據(jù)網(wǎng)絡(luò)安全��。正如Machowinski所稱(chēng)����,“對(duì)總體安全情況的全面監(jiān)控是十分重要的,VoIP安全必須是包括語(yǔ)音與數(shù)據(jù)在內(nèi)的總體安全����。”
VoIP安全聯(lián)盟秘書(shū)����、Sonicwall公司高級(jí)主管Jonathan Zar也表示,“VoIP不僅繼承了IP網(wǎng)絡(luò)的所有安全缺陷��,而且對(duì)特定協(xié)議的DoS攻擊也毫無(wú)免疫力���!币虼���,VoIP安全首先是基礎(chǔ)IP網(wǎng)絡(luò)架構(gòu)的安全。
誰(shuí)竊聽(tīng)了你的呼叫����?
當(dāng)然,VoIP的安全性威脅并不僅僅來(lái)自于IP網(wǎng)絡(luò)�。許多安全威脅還集中于用戶(hù)自封閉式PSTN公共交換電話網(wǎng)絡(luò)向開(kāi)放式Internet網(wǎng)絡(luò)的轉(zhuǎn)型過(guò)程中。
VoIP語(yǔ)音服務(wù)的傳輸與安全機(jī)制與傳統(tǒng)電話服務(wù)截然不同��。由于IP協(xié)議本身并沒(méi)有防范攻擊的能力����,因而未加密的語(yǔ)音數(shù)據(jù)流量在傳輸時(shí)極易被截取或偵聽(tīng)���。盡管目前來(lái)看�����,數(shù)據(jù)包偵聽(tīng)在VoIP安全事件中所占的比例并不高��,但由于這種偵聽(tīng)方式技術(shù)難度不大���,因此�,在VoIP逐漸成為語(yǔ)音服務(wù)的主流之后����,語(yǔ)音數(shù)據(jù)包偵聽(tīng)可能會(huì)成為VoIP的一個(gè)主要安全威脅。
根據(jù)VoIP安全聯(lián)盟的調(diào)查��,目前部分黑客還掌握了如何攻擊特定目標(biāo)及特定網(wǎng)絡(luò)內(nèi)語(yǔ)音流量的技術(shù)�,使VoIP面臨安全威脅進(jìn)一步加大。唯一值得慶幸的是����,目前多數(shù)大中型企業(yè)的VoIP應(yīng)用多采取分支機(jī)構(gòu)、總部自成網(wǎng)絡(luò)���,然后將流量統(tǒng)一合并至中央IP PBX系統(tǒng)的模式��,遠(yuǎn)程辦公室的VoIP流量通過(guò)VPN網(wǎng)絡(luò)連接����,為VoIP語(yǔ)音流量提供了一定程度的安全保護(hù)���。
誰(shuí)動(dòng)了你的ID?
在VoIP安全聯(lián)盟發(fā)布的VoIP安全威脅分類(lèi)中�,有一種VoIP獨(dú)有的安全威脅尤其值得關(guān)注,即非法旁路威脅���。這類(lèi)威脅包括了從基于VoIP的騷擾呼叫�����、垃圾呼叫����,直到盜用他人身份進(jìn)行的欺詐呼叫等多種類(lèi)型�。
在傳統(tǒng)PSTN網(wǎng)絡(luò)內(nèi),呼叫方的ID是無(wú)法改變的����,但在VoIP系統(tǒng)中,偽造呼叫方的ID卻非難事�����,這就給各類(lèi)欺詐呼叫提供便利�。偽裝成公司IT部門(mén)或服務(wù)供應(yīng)商ID的VoIP欺詐呼叫很容易讓接聽(tīng)者喪失警惕���。
如同垃圾電子郵件一樣���,VoIP垃圾呼叫除了可能導(dǎo)致間接非法旁路威脅外���,還會(huì)導(dǎo)致網(wǎng)絡(luò)性能急劇下降、造成網(wǎng)絡(luò)擁塞��。但這類(lèi)威脅遠(yuǎn)未引起人們的重視���,Machinowski認(rèn)為����,造成這種情況的主要原因是“目前多數(shù)連接遠(yuǎn)程站點(diǎn)的VoIP系統(tǒng)仍然能夠得到VPN的良好保護(hù)�����。隨著企業(yè)VoIP應(yīng)用真正轉(zhuǎn)向開(kāi)放端VoIP���,這類(lèi)威脅的嚴(yán)重性將不容忽視����������!彼J(rèn)為����,目前減少VoIP風(fēng)險(xiǎn)的最好辦法是在保持現(xiàn)有網(wǎng)絡(luò)安全前提下,確保企業(yè)安全策略一致性����。此外,部署專(zhuān)門(mén)面向VoIP應(yīng)用的安全軟��、硬件產(chǎn)品也不失為一種可行的策略����。
賽迪網(wǎng) 中國(guó)信息化(industry.ccidnet.com)
相關(guān)鏈接: