安全性問(wèn)題是否會(huì)制約VOIP發(fā)展�?
2008/12/25
起源于IP的開(kāi)放性����,在獲得廉價(jià)資費(fèi)的同時(shí)���,VOIP網(wǎng)絡(luò)的安全性一直是其與身俱來(lái)的弱點(diǎn)���,盡管業(yè)界對(duì)于其安全性已經(jīng)有了相當(dāng)長(zhǎng)時(shí)間的研究,但是大多成果都僅僅局限在理論和學(xué)術(shù)性研究���,直到在去年中期才有服務(wù)提供商開(kāi)始對(duì)其進(jìn)行實(shí)質(zhì)性的關(guān)注����,觸發(fā)動(dòng)機(jī)來(lái)源于兩個(gè)網(wǎng)絡(luò)詐騙犯盜取了運(yùn)營(yíng)商上百萬(wàn)美元的資金�����。
VOIP網(wǎng)絡(luò)的漏洞很容易被不法的駭客所利用,例如���,曾經(jīng)有駭客非法地利用系統(tǒng)漏洞在Internet和PSTN網(wǎng)絡(luò)之間免費(fèi)路由了上千萬(wàn)分鐘的呼叫����,并且作為非法業(yè)務(wù)向用戶低價(jià)出售����。這樣的技術(shù)只需用到一個(gè)改進(jìn)的IP-PBX去偽裝企業(yè)PBX就可以實(shí)現(xiàn)。
對(duì)于VOIP網(wǎng)絡(luò)的安全性����,部分專(zhuān)家認(rèn)為并不需要被過(guò)分的夸大。例如���,著名VOIP公司Vonage的創(chuàng)始人Jeff Pulver就認(rèn)為��,對(duì)于VOIP的安全性業(yè)界過(guò)于強(qiáng)調(diào)����,其實(shí)盜取IP呼叫的行為和偷取商店物品沒(méi)有本質(zhì)的區(qū)別�����,這樣的事情應(yīng)該被當(dāng)作犯罪來(lái)看待�����,而不應(yīng)該因?yàn)槠涫呛虸P網(wǎng)絡(luò)有關(guān)而被過(guò)分在技術(shù)層面被強(qiáng)調(diào)��。相反���,還有大部分專(zhuān)家則認(rèn)為VOIP網(wǎng)絡(luò)自身有很多安全性的劣勢(shì)���,如果不被有效地解決,那么在未來(lái)商用過(guò)程中將會(huì)導(dǎo)致系列很?chē)?yán)重的問(wèn)題�����。例如Core Competence網(wǎng)絡(luò)和安全公司的總裁David Piscitello就堅(jiān)持VOIP的安全性應(yīng)該被重點(diǎn)關(guān)注��,他強(qiáng)調(diào)說(shuō)����,越來(lái)越多的VOIP產(chǎn)品的弱點(diǎn)被報(bào)告出來(lái),相應(yīng)業(yè)界對(duì)于VOIP網(wǎng)絡(luò)協(xié)議(如SIP���、RTP等)的安全性漏洞也有了越來(lái)越多質(zhì)疑��,這樣的網(wǎng)絡(luò)給人們的感覺(jué)是容易被穿透的����,因此Piscitello表示,對(duì)于VOIP網(wǎng)絡(luò)安全性的重點(diǎn)關(guān)注是具有很強(qiáng)的商業(yè)動(dòng)機(jī)的����。
此外,媒體廣告和安全性總是息息相關(guān)的�,最典型的例子是讓用戶聽(tīng)之惶恐手機(jī)和移動(dòng)IM病毒,其大多起源于垃圾廣告�。同樣地,對(duì)于VOIP網(wǎng)絡(luò)�����,媒體廣告也會(huì)帶來(lái)同樣的問(wèn)題����,網(wǎng)絡(luò)電話安全聯(lián)盟(VOIPSA)的主席David Endler表示,肆意的媒體廣告將會(huì)是VOIP病毒的一個(gè)主要來(lái)源��,此外,對(duì)于VOIP網(wǎng)絡(luò)和業(yè)務(wù)��,IP數(shù)據(jù)網(wǎng)絡(luò)固有的安全隱患例如DOS�、蠕蟲(chóng)����、病毒等也是值得關(guān)注的。因此�,VOIP網(wǎng)絡(luò)在商用的過(guò)程中,安全性問(wèn)題成為了各大服務(wù)提供商所共同面臨的嚴(yán)重問(wèn)題�。
正如很多專(zhuān)家所堅(jiān)持的,VOIP安全性在技術(shù)方面需要很多提升���,否則���,在未來(lái)的全I(xiàn)P業(yè)務(wù)體系下,這樣的安全性隱患會(huì)被擴(kuò)展�����,甚至波及諸如移動(dòng)通信網(wǎng)絡(luò)等����。例如,先前所提及的垃圾郵件、垃圾廣告等入侵行為����,則有可能在WLAN熱點(diǎn)區(qū)域,借助免費(fèi)VOIP應(yīng)用入侵移動(dòng)終端���。
Juniper Network亞太地區(qū)的解決方案和市場(chǎng)部門(mén)負(fù)責(zé)人Andrew Ma表示�����,另一個(gè)很?chē)?yán)重的問(wèn)題是�����,在很多情況下用戶都無(wú)法發(fā)現(xiàn)他們正在被攻擊���,這樣對(duì)于防御措施要求則更加的苛刻。例如�����,有種名為VOMIT(Voice over misconfigured Internet telephones)在Unix下運(yùn)行的工具��,能夠捕獲VOIP數(shù)據(jù)包���,并且能夠在計(jì)算機(jī)上將其還原成音頻文件�。這樣,在公眾熱點(diǎn)承載的VOIP業(yè)務(wù)就及其容易受到竊聽(tīng)�����,因?yàn)轳斂涂梢愿`取到相關(guān)的數(shù)據(jù)包���,并且用VOMIT工具還原聲音文件。Andrew表示����,應(yīng)對(duì)這樣的攻擊的方法是對(duì)VOIP業(yè)務(wù)進(jìn)行端到端加密,從而保證數(shù)據(jù)包不能被非法還原�。
VOIP另一個(gè)日益增長(zhǎng)的安全性問(wèn)題來(lái)源于對(duì)SIP協(xié)議日益廣泛的使用。SIP協(xié)議是類(lèi)似于HTTP的基于文本的協(xié)議����,用于管理基于IP網(wǎng)絡(luò)的會(huì)話事務(wù)。這種基于文本的協(xié)議使得駭客們更加容易竊取�����,從而控制網(wǎng)絡(luò)的信令過(guò)程�。同時(shí)�����,VOIP網(wǎng)絡(luò)通常都是復(fù)用信道���,這樣更加地容易被竊取。因此���,需要防火墻和IDP等組建能夠?qū)τ赩OIP協(xié)議有更多的特定效力���,從而有效地保護(hù)這個(gè)服務(wù)。
除了在應(yīng)用層的新增隱患(因?yàn)閂OIP可以看作假設(shè)在IP之上的應(yīng)用�����,先前所提及安全性問(wèn)題都可以視作應(yīng)用層隱患)����,傳統(tǒng)IP層的安全性隱患可能由于VOIP業(yè)務(wù)自身的特點(diǎn)而加大其嚴(yán)重性。Endler就指出�,VOIP業(yè)務(wù)本身對(duì)于IP層的安全性提出了新的挑戰(zhàn),在IP網(wǎng)絡(luò)上面假設(shè)話音服務(wù)會(huì)使得從前就有的許多IP的問(wèn)題被暴露得有為明顯�。例如,傳統(tǒng)情況下��,一個(gè)企業(yè)在遭受DOS攻擊得時(shí)候,可能使得整個(gè)公司上網(wǎng)速度減慢���,但是并不會(huì)徹底影響他們郵件的發(fā)送�。然而�����,當(dāng)他們的IP網(wǎng)絡(luò)承載話音業(yè)務(wù)的時(shí)候����,DOS攻擊將可能直接使得一次通話中斷(因?yàn)樵捯魳I(yè)務(wù)能容忍的時(shí)延有限)�。因此,在現(xiàn)有IP網(wǎng)絡(luò)上假設(shè)VOIP服務(wù)��,就意味著對(duì)于現(xiàn)有的IP提出了新的挑戰(zhàn)�。
支持VOIP能夠加劇IP網(wǎng)絡(luò)不安全隱患觀點(diǎn)的還有阿爾卡特-朗訊亞太地區(qū)安全業(yè)務(wù)主管Keith White,他認(rèn)為����,安全性問(wèn)題是阻礙VOIP發(fā)展的主要問(wèn)題之一,許多公司和組織都因?yàn)檫@樣的顧慮而對(duì)其保守地觀望�����,如果解決了這個(gè)問(wèn)題,VOIP市場(chǎng)將會(huì)得到一個(gè)質(zhì)的飛躍����。這也是他們所希望改善的,然而��,VOIP安全性最大的挑戰(zhàn)是如何讓企業(yè)和服務(wù)提供商明確分組IP網(wǎng)絡(luò)固有的特點(diǎn)和傳統(tǒng)電路交換網(wǎng)絡(luò)有所區(qū)別��,而IP網(wǎng)絡(luò)由于其盡力而為的設(shè)計(jì)哲學(xué)導(dǎo)致自身就有許多安全性缺陷���。
White表示�����,他相信VOIP服務(wù)提供商應(yīng)該也能夠提供可信的VOIP服務(wù)����。談及安全性問(wèn)題的時(shí)候���,他將VOIP服務(wù)提供商分為兩類(lèi)�����,一類(lèi)是利用現(xiàn)有Internet基礎(chǔ)設(shè)施提供VOIP服務(wù)的虛擬運(yùn)營(yíng)商���,例如Skype��、Net2Phone�、Vonage等���,并且將其稱(chēng)為"寄生運(yùn)營(yíng)商"���。而另一類(lèi)則是基于自己的基礎(chǔ)設(shè)施提供VOIP服務(wù)的提供商。他表示�����,這兩類(lèi)服務(wù)提供商有著明顯的區(qū)別�����,前者是互聯(lián)網(wǎng)的用戶自發(fā)架設(shè)的端到端應(yīng)用�,具有很低的服務(wù)質(zhì)量保證��,而后者是專(zhuān)業(yè)網(wǎng)絡(luò)集成商和運(yùn)營(yíng)商所假設(shè)的服務(wù)�����,具有可靠的服務(wù)質(zhì)量保證。對(duì)于安全性問(wèn)題�����,"寄生運(yùn)營(yíng)商"顯然比起擁有基礎(chǔ)設(shè)施管控權(quán)力的運(yùn)營(yíng)商更加的被動(dòng)�,他們只能在終端部署安全性策略而無(wú)法涉及到網(wǎng)絡(luò)內(nèi)部。
因此���,White堅(jiān)信VOIP用戶自己應(yīng)該實(shí)施一些安全措施��,在他們的終端進(jìn)行安全性保證�。安全性策略應(yīng)該被越來(lái)越多地部署到網(wǎng)絡(luò)軟件中����,但是用戶自身對(duì)于安全性的管控需求也在日益增加。
面對(duì)VOIP網(wǎng)絡(luò)安全性問(wèn)題的現(xiàn)狀�,許多專(zhuān)家都提出了未來(lái)發(fā)展的參考路線,普遍認(rèn)為各大運(yùn)營(yíng)商和企業(yè)急需好的策略方面的支持�����。阿爾卡特-朗訊新加坡話音和應(yīng)用部門(mén)主管Manish Sablok表示���,他們正在推廣一種多層的復(fù)合安全策略�����,其核心思想是通過(guò)多個(gè)部署了安全性策略的層次來(lái)保證IP電話服務(wù)器的安全�,從而使得駭客無(wú)法輕易的穿破多個(gè)層次進(jìn)行攻擊。
Verizon Business亞太地區(qū)市場(chǎng)部主管Darren Day表示����,VOIP網(wǎng)絡(luò)安全性方面設(shè)計(jì)最大的挑戰(zhàn)是在設(shè)計(jì)的初期就前攝地進(jìn)行安全性考慮。當(dāng)前的許多商用VOIP網(wǎng)絡(luò)對(duì)于安全性的部署都是在事發(fā)之后�����,對(duì)于每個(gè)成功的VOIP部署��,都需要一定的時(shí)間去了解企業(yè)對(duì)于安全性的特定需求����,而后才能作出準(zhǔn)確的回應(yīng)����。例如,VOIP的部署中應(yīng)該考慮使用VPN技術(shù)來(lái)提供可靠的準(zhǔn)入策略���,從而拒絕來(lái)源不明的業(yè)務(wù)請(qǐng)求接入其IP-PBX��。
Juniper Netowrk的Ma也提出了他們的解決方案���,鑒于目前許多部署VOIP網(wǎng)絡(luò)的運(yùn)營(yíng)商和服務(wù)提供商都使用了MPLS和VLAN等虛擬技術(shù)����,可以利用其區(qū)分VOIP網(wǎng)絡(luò)流量和其他流量�,從而使得未被鑒權(quán)的終端將比較難以接入VOIP設(shè)備。他同時(shí)還建議說(shuō)利用邊界會(huì)話控制器(session border controller)來(lái)進(jìn)行拓?fù)浜虸P隱藏�,并且通過(guò)部署呼叫準(zhǔn)入控制機(jī)制來(lái)防控DOS攻擊。
阿爾卡特-朗訊的White則認(rèn)為����,VOIP僅僅是不可信IP網(wǎng)絡(luò)的一個(gè)應(yīng)用,因此安全策略應(yīng)該同時(shí)針對(duì)VOIP應(yīng)用和底層IP網(wǎng)絡(luò)本身��。他相信目前的大多VOIP商用網(wǎng)絡(luò)都是在沒(méi)有可靠安全措施部署情況下運(yùn)行的�,而目前所需要做的,是對(duì)于網(wǎng)絡(luò)(路由器)和終端(主機(jī))都進(jìn)行全面的核查�,從而在應(yīng)用層和IP層都同時(shí)增補(bǔ)相應(yīng)的安全策略。
由于VOIP網(wǎng)絡(luò)的安全性問(wèn)題日益突出���,各大服務(wù)提供商都開(kāi)始運(yùn)作對(duì)其風(fēng)險(xiǎn)評(píng)估的相關(guān)服務(wù)��。例如��,Verizon Business就聲稱(chēng)他們擁有300個(gè)安全專(zhuān)家來(lái)提供他們的風(fēng)險(xiǎn)評(píng)定服務(wù)��。這項(xiàng)服務(wù)致力于識(shí)別和發(fā)現(xiàn)潛在的安全性隱患��,涉及各種廠商VOIP和IP PBX系統(tǒng)的軟件和硬件��。所涉及的安全性隱患包括業(yè)務(wù)丟失����、網(wǎng)絡(luò)欺詐、DOS攻擊��、病毒和VOIP垃圾郵件等���。其發(fā)言人聲稱(chēng)����,這項(xiàng)服務(wù)目前已經(jīng)在美國(guó)和英國(guó)開(kāi)始運(yùn)營(yíng)����,而在全球其他地區(qū)可以被部分地獲得。
同樣提供類(lèi)似安全性評(píng)估服務(wù)的還有阿爾卡特-朗訊����,他們的發(fā)言人White表示,他們公司相關(guān)的工具和方法已經(jīng)可以被提供來(lái)確保網(wǎng)絡(luò)的安全性���,并且可以提供專(zhuān)業(yè)級(jí)別的VOIP服務(wù)���。貝爾實(shí)驗(yàn)室新近研制的72點(diǎn)網(wǎng)絡(luò)安全體系模型就是其中的一個(gè)例子,其已經(jīng)被ITU采納為x.805標(biāo)準(zhǔn)�。最近這項(xiàng)技術(shù)還被ISO接受為ISO-18028標(biāo)準(zhǔn)。
安全聯(lián)盟
當(dāng)前�����,全球最大的關(guān)于VOIP安全性的聯(lián)盟組織是網(wǎng)絡(luò)電話安全聯(lián)盟(VOIPSA)�����,這個(gè)組織是2005年由各大VOIP廠商����、運(yùn)營(yíng)商和研究機(jī)構(gòu)所發(fā)起的,其目標(biāo)是通過(guò)討論組�、白皮書(shū)、VOIP研究項(xiàng)目支助�����、安全性工具開(kāi)發(fā)等方式來(lái)使得用戶了解并且避免VOIP安全方面的風(fēng)險(xiǎn)。
VOIPSA的首個(gè)項(xiàng)目是VOIP安全威脅分類(lèi)����,用來(lái)定義來(lái)自VOIP部署、業(yè)務(wù)和終端用戶等方面各種潛在的威脅��。這個(gè)項(xiàng)目將會(huì)在第一時(shí)間解決VOIP安全性方面的需求問(wèn)題����。而這個(gè)聯(lián)盟的后續(xù)項(xiàng)目將會(huì)基于此進(jìn)行各種開(kāi)發(fā)和實(shí)現(xiàn),逐一解決問(wèn)題��。
ZDnet (www.zdnet.com.cn)
相關(guān)鏈接: