安全性問(wèn)題是否會(huì )制約VOIP發(fā)展?
2008/12/25
起源于IP的開(kāi)放性,在獲得廉價(jià)資費的同時(shí),VOIP網(wǎng)絡(luò )的安全性一直是其與身俱來(lái)的弱點(diǎn),盡管業(yè)界對于其安全性已經(jīng)有了相當長(cháng)時(shí)間的研究,但是大多成果都僅僅局限在理論和學(xué)術(shù)性研究,直到在去年中期才有服務(wù)提供商開(kāi)始對其進(jìn)行實(shí)質(zhì)性的關(guān)注,觸發(fā)動(dòng)機來(lái)源于兩個(gè)網(wǎng)絡(luò )詐騙犯盜取了運營(yíng)商上百萬(wàn)美元的資金。
VOIP網(wǎng)絡(luò )的漏洞很容易被不法的駭客所利用,例如,曾經(jīng)有駭客非法地利用系統漏洞在Internet和PSTN網(wǎng)絡(luò )之間免費路由了上千萬(wàn)分鐘的呼叫,并且作為非法業(yè)務(wù)向用戶(hù)低價(jià)出售。這樣的技術(shù)只需用到一個(gè)改進(jìn)的IP-PBX去偽裝企業(yè)PBX就可以實(shí)現。
對于VOIP網(wǎng)絡(luò )的安全性,部分專(zhuān)家認為并不需要被過(guò)分的夸大。例如,著(zhù)名VOIP公司Vonage的創(chuàng )始人Jeff Pulver就認為,對于VOIP的安全性業(yè)界過(guò)于強調,其實(shí)盜取IP呼叫的行為和偷取商店物品沒(méi)有本質(zhì)的區別,這樣的事情應該被當作犯罪來(lái)看待,而不應該因為其是和IP網(wǎng)絡(luò )有關(guān)而被過(guò)分在技術(shù)層面被強調。相反,還有大部分專(zhuān)家則認為VOIP網(wǎng)絡(luò )自身有很多安全性的劣勢,如果不被有效地解決,那么在未來(lái)商用過(guò)程中將會(huì )導致系列很?chē)乐氐膯?wèn)題。例如Core Competence網(wǎng)絡(luò )和安全公司的總裁David Piscitello就堅持VOIP的安全性應該被重點(diǎn)關(guān)注,他強調說(shuō),越來(lái)越多的VOIP產(chǎn)品的弱點(diǎn)被報告出來(lái),相應業(yè)界對于VOIP網(wǎng)絡(luò )協(xié)議(如SIP、RTP等)的安全性漏洞也有了越來(lái)越多質(zhì)疑,這樣的網(wǎng)絡(luò )給人們的感覺(jué)是容易被穿透的,因此Piscitello表示,對于VOIP網(wǎng)絡(luò )安全性的重點(diǎn)關(guān)注是具有很強的商業(yè)動(dòng)機的。
此外,媒體廣告和安全性總是息息相關(guān)的,最典型的例子是讓用戶(hù)聽(tīng)之惶恐手機和移動(dòng)IM病毒,其大多起源于垃圾廣告。同樣地,對于VOIP網(wǎng)絡(luò ),媒體廣告也會(huì )帶來(lái)同樣的問(wèn)題,網(wǎng)絡(luò )電話(huà)安全聯(lián)盟(VOIPSA)的主席David Endler表示,肆意的媒體廣告將會(huì )是VOIP病毒的一個(gè)主要來(lái)源,此外,對于VOIP網(wǎng)絡(luò )和業(yè)務(wù),IP數據網(wǎng)絡(luò )固有的安全隱患例如DOS、蠕蟲(chóng)、病毒等也是值得關(guān)注的。因此,VOIP網(wǎng)絡(luò )在商用的過(guò)程中,安全性問(wèn)題成為了各大服務(wù)提供商所共同面臨的嚴重問(wèn)題。
正如很多專(zhuān)家所堅持的,VOIP安全性在技術(shù)方面需要很多提升,否則,在未來(lái)的全IP業(yè)務(wù)體系下,這樣的安全性隱患會(huì )被擴展,甚至波及諸如移動(dòng)通信網(wǎng)絡(luò )等。例如,先前所提及的垃圾郵件、垃圾廣告等入侵行為,則有可能在WLAN熱點(diǎn)區域,借助免費VOIP應用入侵移動(dòng)終端。
Juniper Network亞太地區的解決方案和市場(chǎng)部門(mén)負責人Andrew Ma表示,另一個(gè)很?chē)乐氐膯?wèn)題是,在很多情況下用戶(hù)都無(wú)法發(fā)現他們正在被攻擊,這樣對于防御措施要求則更加的苛刻。例如,有種名為VOMIT(Voice over misconfigured Internet telephones)在Unix下運行的工具,能夠捕獲VOIP數據包,并且能夠在計算機上將其還原成音頻文件。這樣,在公眾熱點(diǎn)承載的VOIP業(yè)務(wù)就及其容易受到竊聽(tīng),因為駭客可以竊取到相關(guān)的數據包,并且用VOMIT工具還原聲音文件。Andrew表示,應對這樣的攻擊的方法是對VOIP業(yè)務(wù)進(jìn)行端到端加密,從而保證數據包不能被非法還原。
VOIP另一個(gè)日益增長(cháng)的安全性問(wèn)題來(lái)源于對SIP協(xié)議日益廣泛的使用。SIP協(xié)議是類(lèi)似于HTTP的基于文本的協(xié)議,用于管理基于IP網(wǎng)絡(luò )的會(huì )話(huà)事務(wù)。這種基于文本的協(xié)議使得駭客們更加容易竊取,從而控制網(wǎng)絡(luò )的信令過(guò)程。同時(shí),VOIP網(wǎng)絡(luò )通常都是復用信道,這樣更加地容易被竊取。因此,需要防火墻和IDP等組建能夠對于VOIP協(xié)議有更多的特定效力,從而有效地保護這個(gè)服務(wù)。
除了在應用層的新增隱患(因為VOIP可以看作假設在IP之上的應用,先前所提及安全性問(wèn)題都可以視作應用層隱患),傳統IP層的安全性隱患可能由于VOIP業(yè)務(wù)自身的特點(diǎn)而加大其嚴重性。Endler就指出,VOIP業(yè)務(wù)本身對于IP層的安全性提出了新的挑戰,在IP網(wǎng)絡(luò )上面假設話(huà)音服務(wù)會(huì )使得從前就有的許多IP的問(wèn)題被暴露得有為明顯。例如,傳統情況下,一個(gè)企業(yè)在遭受DOS攻擊得時(shí)候,可能使得整個(gè)公司上網(wǎng)速度減慢,但是并不會(huì )徹底影響他們郵件的發(fā)送。然而,當他們的IP網(wǎng)絡(luò )承載話(huà)音業(yè)務(wù)的時(shí)候,DOS攻擊將可能直接使得一次通話(huà)中斷(因為話(huà)音業(yè)務(wù)能容忍的時(shí)延有限)。因此,在現有IP網(wǎng)絡(luò )上假設VOIP服務(wù),就意味著(zhù)對于現有的IP提出了新的挑戰。
支持VOIP能夠加劇IP網(wǎng)絡(luò )不安全隱患觀(guān)點(diǎn)的還有阿爾卡特-朗訊亞太地區安全業(yè)務(wù)主管Keith White,他認為,安全性問(wèn)題是阻礙VOIP發(fā)展的主要問(wèn)題之一,許多公司和組織都因為這樣的顧慮而對其保守地觀(guān)望,如果解決了這個(gè)問(wèn)題,VOIP市場(chǎng)將會(huì )得到一個(gè)質(zhì)的飛躍。這也是他們所希望改善的,然而,VOIP安全性最大的挑戰是如何讓企業(yè)和服務(wù)提供商明確分組IP網(wǎng)絡(luò )固有的特點(diǎn)和傳統電路交換網(wǎng)絡(luò )有所區別,而IP網(wǎng)絡(luò )由于其盡力而為的設計哲學(xué)導致自身就有許多安全性缺陷。
White表示,他相信VOIP服務(wù)提供商應該也能夠提供可信的VOIP服務(wù)。談及安全性問(wèn)題的時(shí)候,他將VOIP服務(wù)提供商分為兩類(lèi),一類(lèi)是利用現有Internet基礎設施提供VOIP服務(wù)的虛擬運營(yíng)商,例如Skype、Net2Phone、Vonage等,并且將其稱(chēng)為"寄生運營(yíng)商"。而另一類(lèi)則是基于自己的基礎設施提供VOIP服務(wù)的提供商。他表示,這兩類(lèi)服務(wù)提供商有著(zhù)明顯的區別,前者是互聯(lián)網(wǎng)的用戶(hù)自發(fā)架設的端到端應用,具有很低的服務(wù)質(zhì)量保證,而后者是專(zhuān)業(yè)網(wǎng)絡(luò )集成商和運營(yíng)商所假設的服務(wù),具有可靠的服務(wù)質(zhì)量保證。對于安全性問(wèn)題,"寄生運營(yíng)商"顯然比起擁有基礎設施管控權力的運營(yíng)商更加的被動(dòng),他們只能在終端部署安全性策略而無(wú)法涉及到網(wǎng)絡(luò )內部。
因此,White堅信VOIP用戶(hù)自己應該實(shí)施一些安全措施,在他們的終端進(jìn)行安全性保證。安全性策略應該被越來(lái)越多地部署到網(wǎng)絡(luò )軟件中,但是用戶(hù)自身對于安全性的管控需求也在日益增加。
面對VOIP網(wǎng)絡(luò )安全性問(wèn)題的現狀,許多專(zhuān)家都提出了未來(lái)發(fā)展的參考路線(xiàn),普遍認為各大運營(yíng)商和企業(yè)急需好的策略方面的支持。阿爾卡特-朗訊新加坡話(huà)音和應用部門(mén)主管Manish Sablok表示,他們正在推廣一種多層的復合安全策略,其核心思想是通過(guò)多個(gè)部署了安全性策略的層次來(lái)保證IP電話(huà)服務(wù)器的安全,從而使得駭客無(wú)法輕易的穿破多個(gè)層次進(jìn)行攻擊。
Verizon Business亞太地區市場(chǎng)部主管Darren Day表示,VOIP網(wǎng)絡(luò )安全性方面設計最大的挑戰是在設計的初期就前攝地進(jìn)行安全性考慮。當前的許多商用VOIP網(wǎng)絡(luò )對于安全性的部署都是在事發(fā)之后,對于每個(gè)成功的VOIP部署,都需要一定的時(shí)間去了解企業(yè)對于安全性的特定需求,而后才能作出準確的回應。例如,VOIP的部署中應該考慮使用VPN技術(shù)來(lái)提供可靠的準入策略,從而拒絕來(lái)源不明的業(yè)務(wù)請求接入其IP-PBX。
Juniper Netowrk的Ma也提出了他們的解決方案,鑒于目前許多部署VOIP網(wǎng)絡(luò )的運營(yíng)商和服務(wù)提供商都使用了MPLS和VLAN等虛擬技術(shù),可以利用其區分VOIP網(wǎng)絡(luò )流量和其他流量,從而使得未被鑒權的終端將比較難以接入VOIP設備。他同時(shí)還建議說(shuō)利用邊界會(huì )話(huà)控制器(session border controller)來(lái)進(jìn)行拓撲和IP隱藏,并且通過(guò)部署呼叫準入控制機制來(lái)防控DOS攻擊。
阿爾卡特-朗訊的White則認為,VOIP僅僅是不可信IP網(wǎng)絡(luò )的一個(gè)應用,因此安全策略應該同時(shí)針對VOIP應用和底層IP網(wǎng)絡(luò )本身。他相信目前的大多VOIP商用網(wǎng)絡(luò )都是在沒(méi)有可靠安全措施部署情況下運行的,而目前所需要做的,是對于網(wǎng)絡(luò )(路由器)和終端(主機)都進(jìn)行全面的核查,從而在應用層和IP層都同時(shí)增補相應的安全策略。
由于VOIP網(wǎng)絡(luò )的安全性問(wèn)題日益突出,各大服務(wù)提供商都開(kāi)始運作對其風(fēng)險評估的相關(guān)服務(wù)。例如,Verizon Business就聲稱(chēng)他們擁有300個(gè)安全專(zhuān)家來(lái)提供他們的風(fēng)險評定服務(wù)。這項服務(wù)致力于識別和發(fā)現潛在的安全性隱患,涉及各種廠(chǎng)商VOIP和IP PBX系統的軟件和硬件。所涉及的安全性隱患包括業(yè)務(wù)丟失、網(wǎng)絡(luò )欺詐、DOS攻擊、病毒和VOIP垃圾郵件等。其發(fā)言人聲稱(chēng),這項服務(wù)目前已經(jīng)在美國和英國開(kāi)始運營(yíng),而在全球其他地區可以被部分地獲得。
同樣提供類(lèi)似安全性評估服務(wù)的還有阿爾卡特-朗訊,他們的發(fā)言人White表示,他們公司相關(guān)的工具和方法已經(jīng)可以被提供來(lái)確保網(wǎng)絡(luò )的安全性,并且可以提供專(zhuān)業(yè)級別的VOIP服務(wù)。貝爾實(shí)驗室新近研制的72點(diǎn)網(wǎng)絡(luò )安全體系模型就是其中的一個(gè)例子,其已經(jīng)被ITU采納為x.805標準。最近這項技術(shù)還被ISO接受為ISO-18028標準。
安全聯(lián)盟
當前,全球最大的關(guān)于VOIP安全性的聯(lián)盟組織是網(wǎng)絡(luò )電話(huà)安全聯(lián)盟(VOIPSA),這個(gè)組織是2005年由各大VOIP廠(chǎng)商、運營(yíng)商和研究機構所發(fā)起的,其目標是通過(guò)討論組、白皮書(shū)、VOIP研究項目支助、安全性工具開(kāi)發(fā)等方式來(lái)使得用戶(hù)了解并且避免VOIP安全方面的風(fēng)險。
VOIPSA的首個(gè)項目是VOIP安全威脅分類(lèi),用來(lái)定義來(lái)自VOIP部署、業(yè)務(wù)和終端用戶(hù)等方面各種潛在的威脅。這個(gè)項目將會(huì )在第一時(shí)間解決VOIP安全性方面的需求問(wèn)題。而這個(gè)聯(lián)盟的后續項目將會(huì )基于此進(jìn)行各種開(kāi)發(fā)和實(shí)現,逐一解決問(wèn)題。
ZDnet (www.zdnet.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
建阳市|
曲靖市|
阿勒泰市|
蒙阴县|
乐山市|
无为县|
舞钢市|
平顶山市|
德保县|
龙井市|
长白|
万山特区|
和林格尔县|
巩义市|
弋阳县|
阳西县|
昂仁县|
抚远县|
吴忠市|
营口市|
五河县|
龙江县|
原平市|
上高县|
尖扎县|
久治县|
浪卡子县|
崇义县|
石景山区|
镇原县|
揭阳市|
尼勒克县|
重庆市|
万盛区|
九江县|
榕江县|
高雄县|
阳谷县|
汽车|
三门峡市|
芷江|
http://444
http://444
http://444
http://444
http://444
http://444