Fusion CEO訪(fǎng)談:VoIP安全問(wèn)題及解決
2006/05/19
本次采訪(fǎng)中,F(xiàn)usion(一家提供VoIP解決方案的公司)公司CEO�����,Rosen先生談了VoIP的安全威脅及其對(duì)公司的影響,并就怎樣防止VoIP安全威脅給出一些建議����。
Q:目前,對(duì)于VoIP來(lái)說(shuō)����,最大的安全威脅是什么?
A:總的來(lái)說(shuō)�,目前對(duì)VoIP威脅最大的是人們的無(wú)知和冷漠。正如在過(guò)去�����,人們普遍認(rèn)為網(wǎng)站是獨(dú)立于網(wǎng)絡(luò)環(huán)境的中心的����,不太可能遭受入侵,當(dāng)然那個(gè)時(shí)候我們也是同樣錯(cuò)誤地認(rèn)為����,F(xiàn)在,入侵VoIP的途徑很多�����。打個(gè)比方,流行的拒絕服務(wù)攻擊(DoS)�����,有些人用無(wú)用的數(shù)據(jù)包注入目標(biāo)站點(diǎn)��,有效地阻止合法數(shù)據(jù)���。這同樣會(huì)發(fā)生在VoIP上����。
比如說(shuō)�����,攻擊者可以偽造一個(gè)虛假的聲音郵件消息并發(fā)送給每一位訂閱VoIP服務(wù)的人��,這樣就會(huì)使VoIP提供方出現(xiàn)過(guò)載現(xiàn)象�����,有效地把系統(tǒng)搞癱����。類(lèi)似地,還有一個(gè)攻擊����,SPIT(Spam over IP Telephony)。攻擊者偽造一個(gè)虛假的呼叫����,發(fā)送給每一位用戶(hù)。因?yàn)榇蠖鄶?shù)VoIP系統(tǒng)都被設(shè)計(jì)成同時(shí)處理很多鏈接請(qǐng)求��,這也會(huì)使系統(tǒng)過(guò)載從而完全癱瘓�����。當(dāng)然��,收到VoIP垃圾郵件的用戶(hù)也很不高興����。
還有一些非常狡詐陰險(xiǎn)的攻擊方式。比如說(shuō)�,很可能偽造一個(gè)假的數(shù)字聲音消息,甚至FBI的聲音分析器都識(shí)別不出來(lái)�����。此外,可能會(huì)在真正的通話(huà)中插入混淆詞匯���,從而徹底改變了通話(huà)的內(nèi)容和上下文�����。另外一種攻擊會(huì)使用sniffer程序����,在用戶(hù)的PC上或VoIP提供方服務(wù)器上竊取VoIP的通話(huà)內(nèi)容�����。當(dāng)通話(huà)結(jié)束時(shí)��,存下來(lái)的.wav等聲音文件就會(huì)被發(fā)送給入侵者��。
VoIP上的攻擊方式真是太多了�����,但是����,如果有知識(shí)、有專(zhuān)家指導(dǎo)����、永久性地提高警惕,無(wú)論哪種方式的攻擊都可能被阻止或者變得難以實(shí)施�。
Q:它們的現(xiàn)實(shí)程度如何?它們會(huì)影響已經(jīng)部署了VoIP的那些公司嗎�?
A:是非常現(xiàn)實(shí)的�。隨著VoIP供應(yīng)商及用戶(hù)數(shù)量的增長(zhǎng),對(duì)這些各種各樣的攻擊方式的使用也會(huì)越來(lái)越多���。像Skype這樣的供應(yīng)商����,有意開(kāi)放機(jī)器�����,很容易遭到sniffer攻擊或其它試圖捕獲暴露機(jī)器作為垃圾郵件或DoS發(fā)起者����。任何一家使用VoIP的公司都必須清楚地知道潛在的威脅和各種類(lèi)型的入侵�����,并采取一些措施將此類(lèi)攻擊成功的可能性降到最小�����。
Q:廠(chǎng)商和開(kāi)發(fā)人員可以得到的VoIP安全標(biāo)準(zhǔn)有哪些�?
A:IETF(英特網(wǎng)工程任務(wù)組���,Internet Engineering Task Force)根據(jù)不同的協(xié)議(比如���,SIP等)定義了相應(yīng)的安全標(biāo)準(zhǔn),以RFC的形式存在��。不過(guò)����,沒(méi)有一個(gè)標(biāo)準(zhǔn)可以在真空中發(fā)揮作用,必須集成到總的網(wǎng)絡(luò)安全策略和計(jì)劃中實(shí)行���。
Q:針對(duì)VoIP安全威脅�����,應(yīng)該采取什么樣的預(yù)防措施��?
網(wǎng)絡(luò)安全策略定義了什么應(yīng)該被保護(hù)�����、預(yù)防對(duì)象是誰(shuí)以及這些資源的價(jià)值�����。更加重要的系統(tǒng)應(yīng)該在安全方面有更大的投入�����。沒(méi)有哪個(gè)系統(tǒng)可以被保護(hù)得絕對(duì)安全�����,所以策略定義的是對(duì)每個(gè)公司來(lái)講可接受的網(wǎng)絡(luò)安全危險(xiǎn)級(jí)別�。網(wǎng)絡(luò)安全計(jì)劃會(huì)指明應(yīng)該遵循的程序和應(yīng)該使用的工具��。
這樣�,公司就可以達(dá)到可接受的安全級(jí)別。一個(gè)可用的方法是找其它公司參與偽裝入侵分析和網(wǎng)絡(luò)安全審計(jì),他們可以模擬入侵者���,然后提供一個(gè)報(bào)告�����,從這個(gè)報(bào)告中可以知道系統(tǒng)有哪些漏洞并加以事先修補(bǔ)�����。就像你所期望的那樣���,實(shí)際的防范措施遠(yuǎn)比這幾句話(huà)要多得多。
Q:在不久的將來(lái)����,我們可以期望有什么樣的VoIP安全解決方案?
A:我們已經(jīng)看到了專(zhuān)門(mén)用于VoIP的防火墻�����。我希望針對(duì)我們上述討論的威脅的新的系統(tǒng)的出現(xiàn)�����。正如對(duì)傳統(tǒng)網(wǎng)絡(luò)及數(shù)據(jù)系統(tǒng)的情況那樣,一旦發(fā)現(xiàn)漏洞�����,就要以最快的速度打補(bǔ)丁����、進(jìn)行代碼更新等�。
賽迪網(wǎng) 中國(guó)信息化(industry.ccidnet.com)
相關(guān)鏈接: