安全是VoIP永远的追求
朱茜
2005/02/23
有关专家在2004年VON盛会上提醒那些希望通过VoIP加强网络安全性的人:VoIP技术非常脆弱和敏感,想要建立安全的VoIP网络,就必须面对无数的可能威胁,而这些问题都是从事传统电信行业的人们所不熟悉的。
AT&T 提到一个令人吃惊的威胁,即在VoIP流中插话的问题,这有点像数据网络中的拦截式(man-in-the-middle)攻击。AT&T的安全专家表示,如果在他人交流中恶意插入话语,即使讲话的本人也听不到。他曾经在实验室中使用这一技术捏造整条VoIP声音邮件消息,结果被当时的FBI声纹分析鉴定成真的。他强调说,这种事情完全有可能发生,后果非常可怕。
VoIP的弱点还包括Internet电话垃圾,不请自来的声音邮件可能会塞满VoIP邮箱,而拒绝服务攻击则可能会产生潮水般的请求接入信号,从而瘫痪声音服务器。
但也不必过分担心,因为已有的安全性方案可以在很大程度上降低这一风险。例如,可以加密呼叫信号来隐藏电话地址,从而减少插话攻击的机会;或者加密声音包来杜绝插入字词的可能性,从而进一步降低威胁。NORTEL已经在其VoIP手持设备的软件上加密声音包以抵御插话攻击。
没有一种硬件和软件保护措施能够抵挡一切攻击,这一基本VoIP安全性准则适用于所有网络安全方案。VeriSign的产品经理在一次VoIP安全性会议上表示,有数据显示每个月都会出现新的威胁,恶意攻击层出不穷,令人防不胜防。
VeriSign表示,新的VoIP安全性服务有两个安全操作中心,它们可以监视用户网络的两个方面,一方面通过扫描已知病毒来找出恶意攻击行为,另一方面搜索不正常的网络行为。这类流量会被暂时冻结,等待用户得到通知并确认它不是攻击后才会放行。
VeriSign 目前在寻找IP电话合作伙伴,希望在他们的服务中加入数字证书,以便用户可以验证电话内容安全与否。
与此同时,Juniper 和 Avaya 展示了Juniper的安全设备与Avaya的VoIP工具的合成产品。这一展示品是专为中小企业设计的,其中的Juniper防火墙可以打开或关闭端口以接纳VoIP呼叫。VoIP呼叫使用一定范围内的多个随机端口,除非与防火墙紧密集成,否则没有用于关闭这些端口的机制。所以,保护VoIP网络不受端口扫描攻击的关键在于确保呼叫完成时关闭端口。
VoIP保护的一般解决方案是使用分层安全性,IP网络也是使用这一模型。这包括在通信服务器周围建立防火墙,阻拦已知IP地址以外的入站VoIP信号,以及使用VPN在站点间传输VoIP。一些建议措施已被广泛用于保护数据网络,不过另有一些措施是专门针对VoIP的。
尽管业界一再做出保证,但许多公司仍然担心使用VoIP所带来的可能危险。一家国内连锁零售店公司的电信主管表示,公司目前只在一个站点内部使用VoIP,他并不担心该站点的安全问题,但如果开始在各个零售店通过WAN使用VoIP,安全方面可能会有问题。
Countrywide Financial的一位电信经理表示,公司正在研究如何将来自多家供应商的超过40台PBX联合起来,这些交换机为全国各地的34000名员工提供服务,IP电话设备与TDM交换机的安全性就成为最令人关心的问题。
IT部门员工的一般感觉是TDM设备在提供声音服务方面非常稳定,但如果使用IP设备,就会让人担心稳定性是否会受到影响。
这种担心部分源于IP网络和基于Intel的服务器的世界里出现的威胁,像病毒和木马,这些是从事电信的人们过去从未遇到的问题,现在都会变成现实。
虽然存在危险,但安全的VoIP部署也是有可能实现的,就有一些公司表示不太担心VoIP的网络安全,毕竟目前针对VoIP的病毒并不是很多,而且权威安全机构也没有关于这方面的报道,很多人相信,这些威胁都只是暂时的。
有关专家在2004年VON盛会上提醒那些希望通过VoIP加强网络安全性的人:VoIP技术非常脆弱和敏感,想要建立安全的VoIP网络,就必须面对无数的可能威胁,而这些问题都是从事传统电信行业的人们所不熟悉的。
赛迪网 中国信息化(industry.ccidnet.com)
相关链接: