"VoIP是件危险的事情,从某种角度讲对网络有一定的安全威胁”,防火墙公司Borderware的创办人之一Peter Cox讨论了其处于“概念证明”(proof-of-concept)阶段的VoIP黑客工具。
为了说明VoIP电话窃听问题,Cox编写了SIPtap演示工具。其结果是招致了一大批人指责他是在危言耸听。指责意见大致分为三类:首先,只有在加密及其他安全控制措施被禁用的情况下,窃听威胁才有可能存在;其次,VoIP安全问题已广为人知;第三,保护VoIP网络的安全其实就跟保护其他任何IP应用的安全一样。还有人认为:“如果你的网络和IT环境是安全的,那么VoIP许多安全防范措施应当已落实到位。”
据悉,目前在VoIP广泛使用的两种协议 (H.323和Inter Asterisk eXchange) 在验证过程中容易受到嗅探攻击的危害。这类嗅探攻击可以显示出用户的口令,而且攻击者完全可以利用这些口令在日后攻破语音网络。另外一种VoIP协议—会话启动协议(SIP)的实施可能使VoIP网络大门洞开,让未授权的数据自由传输。
此外,专门研究VoIP安全的行业集团VoIPSA也公布了能够在各类部署中寻找漏洞的工具。VoIPSA工具的目的是帮助企业测试和确保网络的安全,但这些工具和其他一些在线工具也可以用于搜寻各种各样的弱点。
VoIP与网络一样,都有可能遭受形形色色的攻击、 拒绝服务、缓存溢出等等。VoIP PBX是企业网络上的服务器,而且其安全性的好坏完全取决于网络本身。除此之外,还有许多专门针对语音的攻击和威胁。潜在的危险是现实存在的,因此,很多研究人员和厂商都已经将这些攻击和威胁列入针对用户的警戒范围,并建议对这些威胁和攻击加以防范。
不过值得庆幸的是,到目前为止,已发现的漏洞利用虽然已有许多种,但没有任何一种被广泛传播,也没有对企业造成严重的影响。产生这一现象的部分原因是,一些最大的VoIP厂商使用专有的协议(如Cisco公司的Skinny、Nortel公司的Unistim和Avaya公司的H.323变体),这使得获取和研究潜在漏洞变得非常困难。
企业该如何防范此类由于VoIP系统而引发的新的安全威胁或者漏洞呢?对于企业来说,需要有专人负责VoIP的安全。这听上去似乎明确而又简单,但你不知道企业里会有多少人认为VoIP的安全理应由安全团队负责,可各个安全团队之间实际上会相互扯皮。假如连该谁负责这样的小事情都明确不了,那么安全又从何谈起?
再下一步,评估系统的漏洞风险。企业级VoIP威胁一般会有4个主要来源:可用性、隐私、服务窃取以及获得对敏感信息的访问权。可用性涉及是否易受分布式DoS或其他攻击,从而导致VoIP系统掉线。隐私涉及VoIP呼叫的泄密。服务窃取自然是指系统是否易受他人滥用,比如上面所说的FoIP案例。而最后一项则需要考虑Vishing对企业的入侵特性:比如黑客可能会截获某个VoIP呼叫,将其ID修改成“IT部门”,再拨到比如总裁秘书处,精心制造一些场景要求总裁秘书提供总裁的系统口令或其他机密信息。秘书则会认为她是在与IT部门通话,从而轻易地将机密信息泄露给了黑客。
来源:比特网ChinaByte