首頁>>>技術>>>VoIP

VoIP安全言過其實?

2007/03/19

  同許多新技術一樣,VoIP面臨著安全問題的影響。那些描述可能導致竊聽的VoIP安全漏洞、新型垃圾郵件、甚至可以造成企業(yè)賴以生存的通信網(wǎng)癱瘓的拒絕服務攻擊的報告屢屢成為頭條新聞。

  身為資深分析師的Gartner公司研究主管Lawrence Orans說,其中的一些威脅言過其實,不可能發(fā)生在企業(yè)環(huán)境中。而從事通信業(yè)分析的《Communications Network Architects》總裁Frank Dzubeck則認為,鑒于IP缺少內置的安全性,任何事情都可能發(fā)生。為此,《Network World》高級編輯Cara Garretson采訪了這兩個人,以弄清VoIP安全威脅是否真的言過其實。

問:VoIP系統(tǒng)面臨的安全威脅有多嚴重?

  Orans:首先,我想解釋一下VoIP一詞。VoIP是個集合術語。我們看到它用于各種形式的分組語音,不管它是Internet電話(如Skype)本身,還是有線運營商提供的Internet電話服務。而這里存在的問題是非常真實的。

  VoIP實際上只是另一種運行在網(wǎng)絡上的應用,并且它一直是最可靠的,當然任何故障或安全破壞都是巨大的問題。缺少影響廣泛的攻擊讓人們有了一種虛假的安全感。但是,實際的威脅是非常真實的。

  在使用IP電話時,IP電話機擁有內存、操作系統(tǒng),實際上,它是一種加固型專用設備,但仍可能受到攻擊。PBX服務器本身也會受到攻擊。此外,協(xié)議本身許多信令協(xié)議仍比較新或是專有的。因此,不管是哪種情況,它們都沒有經(jīng)過像協(xié)議那種級別的更成熟的安全威脅審查。因此,從總體看,我認為威脅是非常真實的,關鍵在于充分了解這個問題,使你可以將夸大其詞的威脅與真實的威脅區(qū)分開。

  Frank:IP本身就是問題。IP在設計上從來沒有考慮到安全性。不錯,VoIP是種應用,而作為一種企業(yè)內部的應用,它將成為一種無處不在的應用。但問題是,它存在各種安全漏洞。如果你不預先分析VoIP的安全問題,那么由于漏洞的出現(xiàn),巨大災難將降臨到你的頭上。

  我不太同意Orans前面說過的話,即“向Internet領域的演進不是難以捉摸的事情;它是這個拼圖中的一塊;可能出現(xiàn)在局域網(wǎng)上的VoIP與基于互聯(lián)網(wǎng)的IP通信的集成將成為現(xiàn)實”。如果我們現(xiàn)在不解決安全問題,我們很可能將永遠不能解決這些問題。

問:有關竊聽VoIP的報道屢屢成為頭條新聞,但是這類事件真的會發(fā)生在企業(yè)網(wǎng)絡上嗎?

  Orans:竊聽是言過其實的。的確,進行中間人攻擊和抓包從技術上講是可能的,但是我們應該在IP電話的背景下討論這個問題。IP電話實際上是一種基于LAN的系統(tǒng)。若想在LAN上抓取數(shù)據(jù)包,一般需要物理上的鄰近性,而做到這點的最容易的途徑是進入LAN所在建筑。比如信息中心的某人捕獲來自CEO的通信,但這個人也可以對電子郵件做同樣的事情,而大多數(shù)企業(yè)并不擔心電子郵件竊聽。

  Frank:我同意竊聽言過其實的觀點,但感覺是真實的。我認為加密是使所有人感覺更好的技術,因此即使這種威脅可能言過其實,但既然加密技術是現(xiàn)成的,何樂而不為呢?

  我們應當加密LAN內部的語音,從長遠看,我還是對數(shù)據(jù)和視頻進行同樣處理觀點的支持者。

問:Internet電話垃圾郵件,即SPIT,又如何呢?這種威脅的真實性有多大


  Orans:這是另一個言過其實的威脅。的確,從技術上看,SPIT是可能的,但這里的關鍵問題是業(yè)務模型,而不是技術。

  我們都收到過垃圾郵件,而垃圾郵件的交易模型與SPIT非常不同。對于垃圾郵件來說,你收到一封電子郵件,如果你想為其支付抵押貸款,因此你點擊Web鏈接,那么你就會進入到這種交易中。換句話說,垃圾郵件成功了。而對于SPIT則完全是一個不同的故事。如果我在語音郵件箱中收到語音消息,我如何完成這種交易?是我必須拷貝下這個URL,然后走到我的計算機前嗎?還是我必須給某人回電話嗎?這是完全不同的業(yè)務模型。

  另一個問題是法律問題。在美國,我們有“請勿打我電話”(Do Not Call)名單。因此,存在一種法律上的威懾力和業(yè)務模型上的威懾力,而這兩種威懾力都是針對SPIT模型的。我認為,這正是我們到目前為止沒有看到大量SPIT的原因。

  Frank:我完全同意有關法律問題的觀點。目前有1.37億人在“請勿打我電話”名單上注冊,這是我所知道的聯(lián)邦環(huán)境下最成功的計劃。

  但是,我看到一種將在未來出現(xiàn)的VoIP垃圾郵件的版本,F(xiàn)在有一家名為O2的無線公司,每當我進入一個有O2公司業(yè)務存在的國家,即便我當時使用不同的運營商,我都會收到一條歡迎使用O2的文本消息。我沒有請求獲得鏈接,但我收到了歡迎我的文本消息。

問:按A、B、C、D、E這樣的字母評級,您認為大多數(shù)企業(yè)在保護自己的IP電話環(huán)境上能得多少分?你認為今后3到5年中會出現(xiàn)什么VoIP威脅?

  Frank:這不是IP電話或VoIP問題。這是IP問題,人們不應當懷疑IP或IP之上各層的安全性。

  這就是說,我會給出大致為B+的評分。非常少的企業(yè)的得分是A,非常少的是E;大多數(shù)企業(yè)得分在中間范圍。

  但是必須說明的是,這些企業(yè)到目前為止都還沒有經(jīng)歷過任何事情,因此它們沒有受到攻擊。

  Orans:我的評分標準更嚴格,我給大多數(shù)企業(yè)的評分會是D。

  多數(shù)人并不真正懂得存在的風險,這些風險源于安全專業(yè)人員與語音專業(yè)人員之間存在差距的事實,他們沒有充分地了解對方的業(yè)務。因此,如果將這些因素綜合在一起,我們其實面臨很大的風險。

  Frank:而對于未來3~5年中企業(yè)將面對的VoIP安全問題,我認為你會看到一個越來越嚴重的局面,不管它是像Orans所說的發(fā)生在服務器級,還是今后兩年里發(fā)生在大型企業(yè)實體桌面級上的大規(guī)模拒絕服務攻擊。原因是機會與漏洞并存。

  Orans:我同意關于發(fā)生針對這些系統(tǒng)的攻擊只是時間問題的觀點。我們已經(jīng)看到了針對PBX和手機的攻擊,這些攻擊的變種也不斷會蔓延到其他的設備和應用領域。因此,我們看到針對這些漏洞的攻擊也只是時間問題而已,未來我們不得不面對更多的安全威脅。

網(wǎng)絡世界


相關鏈接:
用多層次方法保VoIP安全 2007-03-19
傲然而為,平實而威——傲威通信劉宇專訪 2007-03-19
五款常用網(wǎng)絡電話軟件橫向評測 2007-03-16
Skype助你擺脫束縛 感受VoIP新感覺 2007-03-16
基于ARM的局域網(wǎng)IP電話設計 2007-03-16

分類信息: