安全意識+專(zhuān)門(mén)技術(shù)=安全的VoIP網(wǎng)絡(luò )
2009/03/03
通過(guò)網(wǎng)絡(luò )語(yǔ)音電話(huà)(VoIP)與朋友或同事進(jìn)行交流是一件比較威脅的事情,近日英國安全專(zhuān)家Peter Cox討論了他的“概念證實(shí)”(proof-of-concept)型VoIP黑客工具。
Peter Cox是一個(gè)從事VoIP技術(shù)研究的安全專(zhuān)家,他表示,基于網(wǎng)絡(luò )的VoIP電話(huà)極不安全,很輕易給黑客造成可乘之機。為了證實(shí)他這個(gè)觀(guān)點(diǎn),他還公開(kāi)了其可以竊聽(tīng)VoIP網(wǎng)絡(luò )電話(huà)的“概念證實(shí)”(proof-of-concept)型軟件——SIPtap。
通過(guò)SIPtap軟件可以竊聽(tīng)周?chē)鷶祩(gè)VoIP語(yǔ)音通信,并可以生成后綴為“.wav”的文件供黑客隨后在互聯(lián)網(wǎng)上傳播使用。該軟件利用一個(gè)安裝在公司網(wǎng)絡(luò )上的特洛伊木馬軟件,成功對你的VoIP網(wǎng)絡(luò )進(jìn)行監聽(tīng)。Peter
Cox稱(chēng),黑客的這一行為可以達到互聯(lián)網(wǎng)運營(yíng)商(ISP)監聽(tīng)級別。
Peter Cox還稱(chēng),他是在和“加密大師”P(pán)hil Zimmermann聊天后產(chǎn)生編寫(xiě)這一程序想法的.此前,Zimmermann曾發(fā)布了一個(gè)名為“Zfone”、旨在阻止竊聽(tīng)VoIP通信的加密軟件原型產(chǎn)品.
Peter Cox的觀(guān)點(diǎn)引起了很大的爭論,批評者主要分為三種觀(guān)點(diǎn):第一種認為VoIP的被竊聽(tīng)安全威脅只有在用戶(hù)關(guān)閉了加密和其他安全控制的情況下才可能發(fā)生;第二種觀(guān)點(diǎn)是VoIP的安全問(wèn)題已經(jīng)被人們所十分熟悉;第三種是加強VoIP網(wǎng)絡(luò )安全和加強其他基于網(wǎng)絡(luò )的應用程序沒(méi)有什么區別。其中一個(gè)人在評論中表示:
“如果你的網(wǎng)絡(luò )和IT環(huán)境是安全的話(huà),許多VoIP安全預防措施已經(jīng)落實(shí)到位。”
另一方面,Peter Cox的觀(guān)點(diǎn)同樣也贏(yíng)得了很多支持,許多人感謝他讓人們重新審視VoIP的潛在安全威脅。
那么到底真實(shí)的情況如何呢?Peter Cox只是嘩眾取寵?還是VoIP協(xié)議本身確實(shí)存在值得引起人們注意的特有的安全威脅和風(fēng)險?為了回答這些問(wèn)題,有必要在VoIP和其他網(wǎng)絡(luò )應用軟件之間的進(jìn)行一些對比。
普通網(wǎng)絡(luò )威脅之外,VoIP還有新問(wèn)題
從VoIP的名字就可以看出它運行在一個(gè)IP網(wǎng)絡(luò )上。這意味著(zhù),它和諸如Web和電子郵件等其他網(wǎng)絡(luò )應用一樣,存在著(zhù)共同的安全威脅和漏洞。這些安全威脅和安全缺陷包括所有IP網(wǎng)絡(luò )等級的威脅,它們是一個(gè)網(wǎng)絡(luò )管理員和電子郵件管理員每天都要應對的安全考驗,它們需要標準的網(wǎng)絡(luò )安全技術(shù)和良好的網(wǎng)絡(luò )設計來(lái)進(jìn)行解決。
除了這些網(wǎng)絡(luò )級別的威脅外,VoIP應用軟件還面臨著(zhù)一系列本身所使用協(xié)議和應用軟件所特有的安全威脅,以及與VoIP內容相關(guān)的特有安全威脅。
VoIP協(xié)議、應用所特有的安全威脅源自VoIP應用軟件廠(chǎng)商對協(xié)議和服務(wù)的設計和實(shí)現。VoIP協(xié)議非常復雜,一方面是因為VoIP旨在通過(guò)一個(gè)IP網(wǎng)絡(luò )實(shí)現實(shí)時(shí)的通信服務(wù),一方面是因為VoIP協(xié)議還不得不提供一個(gè)對標準網(wǎng)絡(luò )電話(huà)系統的接口,同時(shí)要滿(mǎn)足某些我們日常生活中的固定和移動(dòng)電話(huà)服務(wù)體驗的功能和工具。
另外,所有VoIP應用軟件還提供眾多豐富的非語(yǔ)言服務(wù),諸如視頻會(huì )議、即時(shí)消息等。協(xié)議和應用軟件安全威脅包含廣泛的flooding攻擊和通話(huà)中斷威脅。包含呼叫終止攻擊的中斷威脅是,一個(gè)惡意攻擊者可以簡(jiǎn)單的切斷一個(gè)通話(huà),也可以進(jìn)行劫持攻擊,攻擊者可以對通話(huà)進(jìn)行控制。這些VoIP特有的安全威脅中的許多在任何其他網(wǎng)絡(luò )應用軟件中并無(wú)類(lèi)似情況。
內容相關(guān)的安全威脅會(huì )影響一個(gè)VoIP通話(huà)的“內容”,其既會(huì )影響個(gè)人對個(gè)人的通話(huà),也會(huì )影響語(yǔ)音會(huì )議通話(huà)或視頻通話(huà)。這一類(lèi)威脅包含簡(jiǎn)單的未經(jīng)授權的通話(huà)監視或竊聽(tīng),正如Peter
Cox所展示工具實(shí)現的功能一樣;還有劫持或注入威脅,攻擊者可以接管一個(gè)通話(huà)或插入一個(gè)語(yǔ)音或視頻流來(lái)削弱或替換原先的會(huì )話(huà)。
盡管VoIP內容相關(guān)的安全威脅在電子郵件和網(wǎng)頁(yè)中也有類(lèi)似案例發(fā)生,例如垃圾郵件和有惡意的網(wǎng)頁(yè)內容,但是VoIP劫持或注入后面所使用的技術(shù)明顯與垃圾郵件或惡意網(wǎng)頁(yè)內容后面的技術(shù)有很大不同。
VoIP內容、協(xié)議和應用方面的安全威脅是真實(shí)存在的,已經(jīng)被事實(shí)所證明。呼叫竊聽(tīng)從Peter Cox的工具演示中已經(jīng)得到證明,其他已經(jīng)證明的安全威脅包括大量的flooding攻擊、呼叫中斷攻擊、呼叫劫持攻擊和拒絕服務(wù)攻擊等,都已經(jīng)在VoIP中發(fā)生。這些都是已經(jīng)被發(fā)現和證明了的已知安全威脅。
安全意識+專(zhuān)門(mén)技術(shù)=安全VoIP網(wǎng)絡(luò )
針對所有這些已知的VoIP安全威脅進(jìn)行安全防護是完全有可能的。采用標準的安全技術(shù)和安全實(shí)踐措施是非常必要的一步,諸如使用防火墻和實(shí)施良好的設計和運行策略,其中一個(gè)辦法是通過(guò)虛擬局域網(wǎng)(VLAN)技術(shù)來(lái)將數據和語(yǔ)言業(yè)務(wù)分開(kāi),讓語(yǔ)音和數據在不同的虛擬局域網(wǎng)上傳輸;將VoIP統一到同一個(gè)VLAN中,在同一VLAN中傳輸的數據對服務(wù)質(zhì)量(QoS)要求相同,可以簡(jiǎn)化服務(wù)質(zhì)量(QoS)設置。QoS設置簡(jiǎn)化后,用戶(hù)只需為VoIP虛擬局域網(wǎng)賦予優(yōu)先級即可。
這種方法帶來(lái)直接的好處是,兩者分開(kāi)還可以將語(yǔ)音網(wǎng)絡(luò )從數據VLAN中隱藏起來(lái),可以有效地解決數據欺騙、DoS攻擊等,因此沒(méi)有了可能會(huì )發(fā)起攻擊的計算機,你的VoIP網(wǎng)絡(luò )就會(huì )安全很多。
但是,使用標準安全技術(shù)不是保證VoIP安全的全部答案。標準安全技術(shù)只能解決標準威脅,我們還需要采取針對性的措施來(lái)完全解決許多VoIP特有的安全威脅。就像人們在保護電子郵件和Web應用的時(shí)候可以采用諸如垃圾郵件過(guò)濾器、Web內容控制和訪(fǎng)問(wèn)策略系統等特殊手段一樣。而VoIP的復雜性顯然要比電子郵件和網(wǎng)頁(yè)更加復雜的多。
和需要采取專(zhuān)門(mén)的安全技術(shù)來(lái)保護VoIP網(wǎng)絡(luò )一樣,也同樣需要采用專(zhuān)門(mén)的測試和分析技術(shù)來(lái)識別VoIP網(wǎng)絡(luò )的特有安全威脅。標準的入侵和測試工具或許能夠很好的發(fā)現網(wǎng)絡(luò )級別的安全漏洞,但是在探測VoIP應用軟件、協(xié)議和內容威脅方面還顯得能力不足。
現在已經(jīng)有專(zhuān)門(mén)保護VoIP網(wǎng)絡(luò )的專(zhuān)用防火墻,它能識別和分析VoIP協(xié)議,而且能對VoIP的數據包進(jìn)行深度檢查,并能分析VoIP的有效載荷以便發(fā)現任何與攻擊有關(guān)的蛛絲馬跡。
另外,如果你的VoIP部署使用了SIP協(xié)議(Session Initiation Protocol),那么防火墻就應當能執行下述操作:監控進(jìn)出的SIP信息,以便發(fā)現應用程序層次上的攻擊;支持TLS(傳輸層安全);執行基于SIP的NAT以及介質(zhì)端口管理;檢測非正常的呼叫模式;記錄SIP信息的詳情,特別是未經(jīng)授權的呼叫。
盡管如此,我認為更重要的還是人們對VoIP網(wǎng)絡(luò )安全問(wèn)題的正確意識,如果不能認識到這些安全風(fēng)險的存在和危害,再好的技術(shù)和工具都不會(huì )完全解決VoIP網(wǎng)絡(luò )所面臨的安全威脅。
最后再來(lái)反駁一下那些認為SIPtap只有在加密和其他安全控制措施被關(guān)閉的情況才能進(jìn)行竊聽(tīng)的看法,據2007年11月份在北京舉行的SIPit大會(huì )數據顯示,目前只有25%的被測系統支持SRTP。SRTP是用來(lái)加密VoIP通話(huà)的公認標準,SIPit是一個(gè)SIP互聯(lián)互通的測試活動(dòng)。或許這次大會(huì )所公布這個(gè)數字有些小,但是還是可以讓我們清晰的看到,關(guān)閉加密并不是讓VoIP網(wǎng)絡(luò )陷入安全威脅的主要原因,問(wèn)題在于首先要讓VoIP系統廠(chǎng)商意識到要在它們的產(chǎn)品加入加密功能。
http://safe.zol.com.cn
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
靖边县|
南雄市|
永丰县|
眉山市|
高唐县|
甘肃省|
大同县|
金塔县|
新野县|
尼勒克县|
鄂尔多斯市|
天祝|
马边|
永靖县|
巩留县|
惠安县|
南陵县|
屯门区|
西宁市|
安阳县|
合肥市|
临夏市|
芜湖县|
平罗县|
孟津县|
孙吴县|
维西|
进贤县|
临潭县|
达尔|
岱山县|
江山市|
宝清县|
日土县|
连南|
城固县|
滕州市|
大港区|
渝中区|
龙南县|
华坪县|
http://444
http://444
http://444
http://444
http://444
http://444