VoIP六惑（之二）

　　50%的認可
　　在最近的一項CompTIA 研究中，只有一半的CIO認為企業(yè)VoIP產品和服務中所采用的安全技術能夠提供充分的保障。這項調查訪問了350家員工人數在500人左右的公司。調查表明，雖然這些企業(yè)有很多對VoIP的安全性表示了滿意，但無線以及軟件等傳輸方面存在的安全弱點乃是企業(yè)所擔心的最大門檻。
　　在CompTIA的調查中，人們的擔憂不僅局限于VoIP設備和軟件可能受到的攻擊上，而且也包括蠕蟲或病毒的大規(guī)模爆發(fā)可能對IP語音呼叫的質量構成的影響。蠕蟲和病毒會導致企業(yè)網絡數據流量大增，因此，有可能導致電子郵件投遞延誤以及應用響應速度變慢，僅延遲一項就可能使IP電話通話完全中斷。
　　來自軟件的威脅
　　在VoIP產品中，漏洞最多的是IP電話應用系統和操作系統等軟件。例如，Cisco在過去18個月中，共發(fā)布了9次重大產品漏洞警報，涉及的產品從IP電話和IP PBX到執(zhí)行VoIP處理和功能的路由器。這9次警報已經具備了足夠的嚴重性，廠商完全有必要發(fā)布軟件補丁。相比之下，Cisco在同樣的18個月中，只公布了兩個與VoIP直接相關的漏洞。
　　另外，許多廠商的IP電話處理和消息產品都運行在Linux、Windows、Sun或其他服務器操作系統上。軟件電話通常都運行在Windows桌面系統上，而基于VoIP的呼叫中心平臺等應用也可能涉及其他多種應用。根據研究性網站Secunia的報告，如果將這些因素都考慮在內，Avaya共公布了25個產品安全性警報，其中既有直接與VoIP產品有關的，也有可能影響到Avaya技術運行的下層軟件產品的。而Internet安全系統X-Force漏洞數據庫在過去的5年中，共收錄了100條與VoIP產品、應用和下層協議有關的漏洞報告。
　　協議的缺陷
　　一些安全研究人員認為，某些VoIP協議的基本技術天生就容易受到黑客、拒絕服務或呼叫截獲攻擊。
　　Scanit公司的研究員Sheran Gunasekera在一篇報告中指出，如果攻擊的目標設備和流量使用的是沒有加密的標準協議，那么，VoIP呼叫截獲有時是非常容易的。Scanit稱，該公司在測試時使用了標準SIP信令協議和實時協議（RTP）作為傳輸媒介，結果證明這些都很容易被截獲。
　　Gunasekera在報告中指出，專門針對基于SIP的VoIP對話的“信令攻擊有可能竊聽通話的內容，也可能重新路由或者截獲這些通話。而且SIP消息的重放或重新發(fā)送也很方便，可以很容易地傳送給基于SIP的呼叫控制設備，為SIP呼叫增加參與者或者對流量進行重新路由。”
　　此外，“在典型的VoIP實施中，媒體流攻擊在執(zhí)行時也很方便。”攻擊者截獲任何RTP流后都可以使用相關的音頻編碼解碼器對其進行解碼，并且可以記錄和收聽實際的聲音。”
　　其他的新型VoIP威脅還包括惡意VoIP音頻編碼解碼器。理論上來說，這些所謂的“惡意編碼解碼器”是一種用于使VoIP端點或服務器發(fā)生崩潰的VoIP音頻流。VoIP業(yè)界先驅Henry Sinnreich在運營商MCI公司工作時曾經參與過SIP的早期實施。他最近指出，研究人員已經證實，這類攻擊是完全可能的。
　　過度安全憂慮癥
　　Gartner公司研究員Lawrence Orans在一次訪談時說：“竊聽是一個被過度炒作的威脅。當然，從技術上來說確實可以執(zhí)行一項中間人式的攻擊，并且捕獲一些包。但人們對這一問題明顯有些反應過度了。最重要的是將注意力集中于更大的威脅上，例如對IP PBX服務器本身的攻擊。”
　　VoIP安全聯盟（VoIPSA）主席兼安全研究機構、TippingPoint公司創(chuàng)始人David Endler認為：“如果按照最佳慣例來做，完全有可能實現安全的VoIP部署。所有這些系統的安全都是可以實現的，但用戶需要一些專業(yè)的知識才能達到這一目的。”使用VoIP信令（SIP和H.323）和負載流（通常為RTP和UDP）上的加密技術即可實現安全的VoIP部署。要想確保IP PBX服務器的安全，則需要施加補丁和正確地進行配置，并且需要嚴格限制可接受IP端點的流量類型。
　　Orans認為，IT安全最佳慣例可以對抗VoIP網絡遇到的多數常見威脅。他在報告中指出：“那些認真使用安全最佳慣例的企業(yè)完全可以保護其IP電話服務器，防止VoIP威脅給自己的計劃帶來災難。”
　　在過去的一些訪談和報告中，他還指出，人們對VoIP安全威脅的擔憂多數都源于炒作和臆斷，并不是企業(yè)IT專家面臨的實際安全問題。他甚至指責VOIPSA和其他一些VoIP安全警報機構在過去故意“散布謠言”。
　　他說：“對IP電話實施的威脅被過分夸大了，實際的攻擊事件其實非常罕見。”（未完待續(xù)）
　　相關鏈接
　　常見的VoIP安全威脅

• Wi-Fi語音傳輸易被攻擊



• 蠕蟲或病毒的大規(guī)模爆發(fā)



• IP電話應用系統和操作系統漏洞



• SIP協議信令攻擊可能導致通話被竊聽或截獲



• 媒體流攻擊可記錄、竊聽通話



• 惡意VoIP音頻編解碼器可能使VoIP端點和服務器崩潰

網界網