VoIP將成黑客第二樂園
子明 2009/02/23
VoIP盡管安全問題始終被提及����,但是人們沒有深刻考慮的��,它的安全不僅僅是一個(gè)產(chǎn)品����,一項(xiàng)技術(shù)或者一套系統(tǒng)的安全問題,它因?yàn)楸旧淼膹V泛作用領(lǐng)域和巨大商業(yè)市場��,將導(dǎo)致一旦不從源頭加以控制的話�����,VoIP的安全威脅規(guī)模將無數(shù)倍地放大����,從安全威脅種類、入侵衍生�、黑客人數(shù)、安全人員人數(shù)、相應(yīng)的安全產(chǎn)品系統(tǒng)等等���,甚至形成新的巨大安全子市場生態(tài)圈��。
當(dāng)互聯(lián)網(wǎng)站和局域網(wǎng)絡(luò)對黑客們已經(jīng)沒有了神秘感�����,何處�,將是他們下一塊瞄準(zhǔn)的新大陸?
VoIP是一項(xiàng)非常了不起的應(yīng)用���,它的出現(xiàn)大大降低了人們通話的費(fèi)用�����,它的出現(xiàn)消除了通話上距離的概念�,在VoIP的世界里��,沒有長途電話之說�����,世界上任何兩個(gè)人之間的通話只和網(wǎng)絡(luò)流量有關(guān)��,而和距離無關(guān)。它的普及應(yīng)用是大勢所趨�����。所有的通訊網(wǎng)絡(luò)向IP融合也是大勢所趨����。而在這個(gè)趨勢中��,VoIP的安全性將會被擺在越來越重要的地位��。VoIP會成為黑客們繼互聯(lián)網(wǎng)數(shù)據(jù)網(wǎng)之后的第二個(gè)樂園�,也為從事網(wǎng)絡(luò)安全的人們提供了巨大的商機(jī)。希望業(yè)界能更多關(guān)注VoIP的安全和有關(guān)產(chǎn)品與解決方案�����,在這個(gè)市場找到更多發(fā)展的機(jī)會���。
在現(xiàn)在通訊網(wǎng)絡(luò)的發(fā)展階段��,大概并行存在著兩張網(wǎng)�。一個(gè)是傳統(tǒng)的語音電話網(wǎng)(PSTN)或者無線蜂窩網(wǎng),一個(gè)是傳送數(shù)據(jù)的基于IP的數(shù)據(jù)網(wǎng)�����。數(shù)據(jù)網(wǎng)相互聯(lián)通,構(gòu)成了我們現(xiàn)在的互聯(lián)網(wǎng)���。而基于IP開放結(jié)構(gòu)的互聯(lián)網(wǎng)早已是黑客們的樂園�。開放意味著匿名�����,意味著幾乎不可被追蹤�。黑客們可以任意對數(shù)據(jù)進(jìn)行截取,攻擊商業(yè)網(wǎng)站來敲詐等等�����。相比之下���,傳統(tǒng)的語音網(wǎng)好像一直都較少聽到安全方面的問題��。而這個(gè)狀態(tài)正在由VoIP(基于IP的語音服務(wù))的迅速普及而改變�。VoIP正在把固定電話語音網(wǎng)����、移動(dòng)語音網(wǎng)和互聯(lián)網(wǎng)逐漸融合起來����,給網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)����,如不嚴(yán)陣以待,語音世界將成為黑客們的第二個(gè)樂園��。
其實(shí)傳統(tǒng)的語音電話網(wǎng)也存在著安全問題�����,美國有一個(gè)非常有名的黑客雜志叫phack���,實(shí)際上就是phonehack的意思,它一開始就主要討論如何hack傳統(tǒng)的語音電話網(wǎng)�����。例如如何免費(fèi)打國際長途���,如何找到未被人使用過的語音信箱等等�。而這些安全問題��,在VoIP的世界里,都被原封不動(dòng)的保留了下來�����,而且還帶來了更多的安全問題��。
互聯(lián)網(wǎng)安全痼疾
首先����,互聯(lián)網(wǎng)固有的安全問題,在VoIP上也都存在���。與數(shù)據(jù)網(wǎng)絡(luò)不同���,在語音世界里,負(fù)責(zé)控制的協(xié)議和語音的數(shù)據(jù)通道是分開的����。VoIP的控制協(xié)議如SIP,都是以互聯(lián)網(wǎng)一貫的客戶端/服務(wù)器模式來設(shè)計(jì)的�����。也就是說�,它由一系列的服務(wù)器組成一個(gè)控制網(wǎng)絡(luò)���,而這個(gè)結(jié)構(gòu),如同互聯(lián)網(wǎng)其他協(xié)議一樣�����,是非常容易受到拒絕服務(wù)的攻擊的�。只不過這時(shí)的拒絕服務(wù)攻擊是用的是VoIP的控制協(xié)議如SIP,而不是TCP或者UDP����。VoIP網(wǎng)絡(luò)中的一些服務(wù)器����,如邊界代理服務(wù)器(edgeproxyserver),對于互聯(lián)網(wǎng)黑客來說只不過是一個(gè)能夠?qū)IP協(xié)議進(jìn)行響應(yīng)的IP地址����,和攻擊其他網(wǎng)站的方法并沒有什么不同。其他傳統(tǒng)的黑客攻擊手段對VoIP設(shè)備也一樣適用��������!∫韵聻閹讉(gè)例子:
- 攻擊VoIP設(shè)備運(yùn)行的操作系統(tǒng)(Windows或者Linux)來遠(yuǎn)程控制VoIP設(shè)備�,底層操作系統(tǒng)如果不及時(shí)打安全補(bǔ)丁,必然會有漏洞�����,而這些漏洞有可能會被黑客掃描到���,從而控制VoIP設(shè)備�����。
- 與普通電話機(jī)不同���,每一臺VoIP設(shè)備都需要一定的配置,配置不當(dāng)或者使用缺省的配置能讓攻擊者很容易找到目標(biāo)����,這些設(shè)備也就是黑客們常說的“肉雞”。估計(jì)以后黑客們想找到的就是“肉雞電話”了���。
- 利用設(shè)備廠商在VoIP協(xié)議實(shí)現(xiàn)上的漏洞��,進(jìn)行遠(yuǎn)程緩沖區(qū)溢出攻擊���。每個(gè)廠商在VoIP協(xié)議實(shí)現(xiàn)的方法不同�,不同風(fēng)格的代碼實(shí)現(xiàn)的協(xié)議的抗攻擊性也不相同�。那些急于把產(chǎn)品推向市場,搶占市場份額的廠商����,在實(shí)現(xiàn)VoIP協(xié)議時(shí)常常只要求功能完備,而不考慮協(xié)議實(shí)現(xiàn)的安全性和強(qiáng)壯性����,從而使產(chǎn)品推向市場的時(shí)候就存在安全方面的隱患。
VoIP非典型安全問題
其次�,VoIP帶來了傳統(tǒng)的語音電話網(wǎng)上沒有的新的安全問題,最主要的有如下三個(gè):
- 一個(gè)是遠(yuǎn)程竊聽;
- 一個(gè)是垃圾電話(VoIP Spamming或者叫vamming);
- 一個(gè)是帶寬的劫持(bandwith hijack)�����。
在傳統(tǒng)語音電話網(wǎng)里����,遠(yuǎn)程竊聽基本上是政府安全部門才能有的特權(quán)���,普通人因?yàn)椴豢赡軐鹘y(tǒng)語音電話設(shè)備進(jìn)行遠(yuǎn)程控制���,而不可能偷聽到任意人的電話��。而互聯(lián)網(wǎng)的開放結(jié)構(gòu)使得一個(gè)普通的黑客對任意電話進(jìn)行監(jiān)聽成為可能���。使用IP的電話終端一定要有IP地址,那么就有可能被黑客遠(yuǎn)程控制���,語音報(bào)文可以被已不加密的方式記錄下來����,傳回到黑客的手里進(jìn)行破解和回放�����。
而電話垃圾會成為另外一個(gè)棘手的問題����,電子垃圾郵件的泛濫和屢禁不止是互聯(lián)網(wǎng)現(xiàn)在最頭疼的問題。而這個(gè)問題隨著VoIP的技術(shù)的普及也將逐漸成為一個(gè)大問題�。以前,向你的家里打垃圾電話推銷一些你不需要的商品����,打電話的人很容易被追蹤是何許人也����。而在互聯(lián)網(wǎng)的世界里��,想知道打電話的人是誰可就不是那么容易的事了�。就如同想知道是什么人向你發(fā)送垃圾郵件幾乎是不可能的一樣。那么這些發(fā)送垃圾廣告的人就可以肆無忌憚地給你打電話���,向你的語音信箱內(nèi)發(fā)送廣告信息��。你也許正在為每天收到的大量垃圾電子郵件而頭疼�����,想想如果每天收到大量的推銷你不需要的產(chǎn)品廣告的電話是何感覺?
針對終端用戶的帶寬的劫持也變成了一個(gè)問題��,在傳統(tǒng)的語音電話網(wǎng)中�,每個(gè)用戶都分配了固定的語音帶寬��。這個(gè)帶寬當(dāng)用戶不用的時(shí)候�,別人也不允許使用�。而在IP網(wǎng)絡(luò)中,帶寬是共享的,你不用的帶寬�����,別人就可以用��。你用多了帶寬��,別人的通話質(zhì)量就要受到影響���。在IP網(wǎng)絡(luò)中���,由于其開放式的結(jié)構(gòu),這個(gè)帶寬是很容易被黑客用一些垃圾的網(wǎng)絡(luò)流量來填滿的��。在這種情況下���,正常用戶的語音數(shù)據(jù)流量就會受到影響���。而語音的應(yīng)用對于延遲和大量的丟數(shù)據(jù)包是很敏感的。用戶可以在Web瀏覽器面前耐心等待一個(gè)網(wǎng)頁的裝入��,卻肯定無法忍受在和別人通話過程中話音滯后��,模糊不清而根本不知道對方在講什么。
接著��, 目前被火熱討論的IMS (IP Multimedia SubsystemCIP多媒體子系統(tǒng))也為VoIP的安全問題提出了新的課題�。IMS是把無線語音蜂窩網(wǎng) (手機(jī)網(wǎng))和IP網(wǎng)結(jié)合在一起的技術(shù)。使得手機(jī)用戶也能享受到一些只有在IP網(wǎng)絡(luò)里才能享受到的服務(wù)�。而這也把IP世界中的一些安全問題帶到了無線手機(jī)網(wǎng)絡(luò)中。IMS向手機(jī)用戶提供聲音��,圖像和多媒體會議等服務(wù)也是使用SIP協(xié)議和由SIP服務(wù)器構(gòu)成的網(wǎng)絡(luò)結(jié)構(gòu)��。這樣����,手機(jī)上的應(yīng)用的安全也將受到IP底層網(wǎng)安全的影響。
綜上所述��,VoIP盡管安全問題始終被提及�����,但是人們沒有深刻考慮的�,它的安全不僅僅是一個(gè)產(chǎn)品,一項(xiàng)技術(shù)或者一套系統(tǒng)的安全問題��,它因?yàn)楸旧淼膹V泛作用領(lǐng)域和巨大商業(yè)市場�����,將導(dǎo)致一旦不從源頭加以控制的話�,VoIP的安全威脅規(guī)模將無數(shù)倍地放大,從安全威脅種類����、入侵衍生、黑客人數(shù)���、安全人員人數(shù)���、相應(yīng)的安全產(chǎn)品系統(tǒng)等等,甚至形成新的巨大安全子市場生態(tài)圈����。如果當(dāng)人們把大量的財(cái)力人力,不是放到VoIP本身技術(shù)進(jìn)步和創(chuàng)新性能上面����,而是在黑客與反黑客上面的斗爭,盡管也拉動(dòng)了市場��,照顧了就業(yè)����,但我們還是不知道這到底是一種幸運(yùn)還是一種沉悶的徘徊�����。
Check Point NGX 設(shè)備新添御毒衣
NGX安全平臺增強(qiáng)遠(yuǎn)程辦公保護(hù)
近日����,CheckPoint公司宣布����,其VPN-1Edg增添了先進(jìn)的入侵抵御及防病毒功能,配合其原有的防火墻和VPN技術(shù)提供更強(qiáng)大的安全保護(hù)���。
VPN-1Edg是一套應(yīng)用于保護(hù)遠(yuǎn)程辦公地點(diǎn)的整合安全設(shè)備�����,它是CheckPoint邊界產(chǎn)品系統(tǒng)VPN-1家庭中的一員���。憑著新增的入侵抵御及防病毒功能,VPN-1Edge 的NGX版本使得企業(yè)能確保其分支辦工地點(diǎn)能與本部擁有同等的扎實(shí)安全防護(hù)�����,免受蠕蟲和各種病毒的攻擊。VPN-1EdgeNGX的整合安全保護(hù)及可擴(kuò)展的管理功能����,令用戶可便捷及經(jīng)濟(jì)地連接數(shù)以千計(jì)的遠(yuǎn)程站點(diǎn)�,同時(shí)可以安心這些端點(diǎn)不會成為網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。
VPN-1 Edge現(xiàn)也整合了SmartDefens服務(wù)系統(tǒng)�。顧客為其VPN-1Edge設(shè)備訂購SmartDefense服務(wù),他便可收到抵御最新病毒的保護(hù)�,在單一控制臺把所有遠(yuǎn)端辦公地點(diǎn)的安全保護(hù)更新。這不僅大幅度降低了維護(hù)一個(gè)分布式安全系統(tǒng)的成本�,同時(shí)也使得整個(gè)網(wǎng)絡(luò)系統(tǒng)更為嚴(yán)密安全。
具備嵌入式NGX技術(shù)的VPN-1Edge整合了CheckPoint首屈一指的防火墻�、VPN、入侵防御軟件�,它為用戶帶來以下好處:簡化而高度可靠的VPN——使得管理員能使用動(dòng)態(tài)路由及基于路由,快速地把大量的遠(yuǎn)程端點(diǎn)連接�。支持安全無線協(xié)議——這是市場上第一款支持WPA2/802.11i無線安全標(biāo)準(zhǔn)的設(shè)備。卓越性能表現(xiàn)——具備無線多媒體服務(wù)質(zhì)量支持�����,確保無線網(wǎng)絡(luò)在傳送時(shí)間性十分重要的信息時(shí)(例如VoIP)會以最小延遲和合乎期望的水平傳輸���。
ChinaByte(e.chinabyte.com)
相關(guān)鏈接: