首页>>>技术>>>VoIP

VoIP安全言过其实?

2007/03/19

  同许多新技术一样,VoIP面临着安全问题的影响。那些描述可能导致窃听的VoIP安全漏洞、新型垃圾邮件、甚至可以造成企业赖以生存的通信网瘫痪的拒绝服务攻击的报告屡屡成为头条新闻。

  身为资深分析师的Gartner公司研究主管Lawrence Orans说,其中的一些威胁言过其实,不可能发生在企业环境中。而从事通信业分析的《Communications Network Architects》总裁Frank Dzubeck则认为,鉴于IP缺少内置的安全性,任何事情都可能发生。为此,《Network World》高级编辑Cara Garretson采访了这两个人,以弄清VoIP安全威胁是否真的言过其实。

问:VoIP系统面临的安全威胁有多严重?

  Orans:首先,我想解释一下VoIP一词。VoIP是个集合术语。我们看到它用于各种形式的分组语音,不管它是Internet电话(如Skype)本身,还是有线运营商提供的Internet电话服务。而这里存在的问题是非常真实的。

  VoIP实际上只是另一种运行在网络上的应用,并且它一直是最可靠的,当然任何故障或安全破坏都是巨大的问题。缺少影响广泛的攻击让人们有了一种虚假的安全感。但是,实际的威胁是非常真实的。

  在使用IP电话时,IP电话机拥有内存、操作系统,实际上,它是一种加固型专用设备,但仍可能受到攻击。PBX服务器本身也会受到攻击。此外,协议本身许多信令协议仍比较新或是专有的。因此,不管是哪种情况,它们都没有经过像协议那种级别的更成熟的安全威胁审查。因此,从总体看,我认为威胁是非常真实的,关键在于充分了解这个问题,使你可以将夸大其词的威胁与真实的威胁区分开。

  Frank:IP本身就是问题。IP在设计上从来没有考虑到安全性。不错,VoIP是种应用,而作为一种企业内部的应用,它将成为一种无处不在的应用。但问题是,它存在各种安全漏洞。如果你不预先分析VoIP的安全问题,那么由于漏洞的出现,巨大灾难将降临到你的头上。

  我不太同意Orans前面说过的话,即“向Internet领域的演进不是难以捉摸的事情;它是这个拼图中的一块;可能出现在局域网上的VoIP与基于互联网的IP通信的集成将成为现实”。如果我们现在不解决安全问题,我们很可能将永远不能解决这些问题。

问:有关窃听VoIP的报道屡屡成为头条新闻,但是这类事件真的会发生在企业网络上吗?

  Orans:窃听是言过其实的。的确,进行中间人攻击和抓包从技术上讲是可能的,但是我们应该在IP电话的背景下讨论这个问题。IP电话实际上是一种基于LAN的系统。若想在LAN上抓取数据包,一般需要物理上的邻近性,而做到这点的最容易的途径是进入LAN所在建筑。比如信息中心的某人捕获来自CEO的通信,但这个人也可以对电子邮件做同样的事情,而大多数企业并不担心电子邮件窃听。

  Frank:我同意窃听言过其实的观点,但感觉是真实的。我认为加密是使所有人感觉更好的技术,因此即使这种威胁可能言过其实,但既然加密技术是现成的,何乐而不为呢?

  我们应当加密LAN内部的语音,从长远看,我还是对数据和视频进行同样处理观点的支持者。

问:Internet电话垃圾邮件,即SPIT,又如何呢?这种威胁的真实性有多大


  Orans:这是另一个言过其实的威胁。的确,从技术上看,SPIT是可能的,但这里的关键问题是业务模型,而不是技术。

  我们都收到过垃圾邮件,而垃圾邮件的交易模型与SPIT非常不同。对于垃圾邮件来说,你收到一封电子邮件,如果你想为其支付抵押贷款,因此你点击Web链接,那么你就会进入到这种交易中。换句话说,垃圾邮件成功了。而对于SPIT则完全是一个不同的故事。如果我在语音邮件箱中收到语音消息,我如何完成这种交易?是我必须拷贝下这个URL,然后走到我的计算机前吗?还是我必须给某人回电话吗?这是完全不同的业务模型。

  另一个问题是法律问题。在美国,我们有“请勿打我电话”(Do Not Call)名单。因此,存在一种法律上的威慑力和业务模型上的威慑力,而这两种威慑力都是针对SPIT模型的。我认为,这正是我们到目前为止没有看到大量SPIT的原因。

  Frank:我完全同意有关法律问题的观点。目前有1.37亿人在“请勿打我电话”名单上注册,这是我所知道的联邦环境下最成功的计划。

  但是,我看到一种将在未来出现的VoIP垃圾邮件的版本。现在有一家名为O2的无线公司,每当我进入一个有O2公司业务存在的国家,即便我当时使用不同的运营商,我都会收到一条欢迎使用O2的文本消息。我没有请求获得链接,但我收到了欢迎我的文本消息。

问:按A、B、C、D、E这样的字母评级,您认为大多数企业在保护自己的IP电话环境上能得多少分?你认为今后3到5年中会出现什么VoIP威胁?

  Frank:这不是IP电话或VoIP问题。这是IP问题,人们不应当怀疑IP或IP之上各层的安全性。

  这就是说,我会给出大致为B+的评分。非常少的企业的得分是A,非常少的是E;大多数企业得分在中间范围。

  但是必须说明的是,这些企业到目前为止都还没有经历过任何事情,因此它们没有受到攻击。

  Orans:我的评分标准更严格,我给大多数企业的评分会是D。

  多数人并不真正懂得存在的风险,这些风险源于安全专业人员与语音专业人员之间存在差距的事实,他们没有充分地了解对方的业务。因此,如果将这些因素综合在一起,我们其实面临很大的风险。

  Frank:而对于未来3~5年中企业将面对的VoIP安全问题,我认为你会看到一个越来越严重的局面,不管它是像Orans所说的发生在服务器级,还是今后两年里发生在大型企业实体桌面级上的大规模拒绝服务攻击。原因是机会与漏洞并存。

  Orans:我同意关于发生针对这些系统的攻击只是时间问题的观点。我们已经看到了针对PBX和手机的攻击,这些攻击的变种也不断会蔓延到其他的设备和应用领域。因此,我们看到针对这些漏洞的攻击也只是时间问题而已,未来我们不得不面对更多的安全威胁。

网络世界


相关链接:
用多层次方法保VoIP安全 2007-03-19
傲然而为,平实而威——傲威通信刘宇专访 2007-03-19
五款常用网络电话软件横向评测 2007-03-16
Skype助你摆脱束缚 感受VoIP新感觉 2007-03-16
基于ARM的局域网IP电话设计 2007-03-16

分类信息: