VoIP將成黑客第二樂園
子明 2009/02/23
VoIP盡管安全問題始終被提及,但是人們沒有深刻考慮的���,它的安全不僅僅是一個產(chǎn)品��,一項技術(shù)或者一套系統(tǒng)的安全問題����,它因為本身的廣泛作用領(lǐng)域和巨大商業(yè)市場�,將導致一旦不從源頭加以控制的話,VoIP的安全威脅規(guī)模將無數(shù)倍地放大��,從安全威脅種類�����、入侵衍生、黑客人數(shù)�����、安全人員人數(shù)�����、相應(yīng)的安全產(chǎn)品系統(tǒng)等等��,甚至形成新的巨大安全子市場生態(tài)圈�����。
當互聯(lián)網(wǎng)站和局域網(wǎng)絡(luò)對黑客們已經(jīng)沒有了神秘感����,何處,將是他們下一塊瞄準的新大陸?
VoIP是一項非常了不起的應(yīng)用��,它的出現(xiàn)大大降低了人們通話的費用�����,它的出現(xiàn)消除了通話上距離的概念,在VoIP的世界里��,沒有長途電話之說��,世界上任何兩個人之間的通話只和網(wǎng)絡(luò)流量有關(guān)��,而和距離無關(guān)��。它的普及應(yīng)用是大勢所趨�����。所有的通訊網(wǎng)絡(luò)向IP融合也是大勢所趨��。而在這個趨勢中����,VoIP的安全性將會被擺在越來越重要的地位���。VoIP會成為黑客們繼互聯(lián)網(wǎng)數(shù)據(jù)網(wǎng)之后的第二個樂園���,也為從事網(wǎng)絡(luò)安全的人們提供了巨大的商機。希望業(yè)界能更多關(guān)注VoIP的安全和有關(guān)產(chǎn)品與解決方案����,在這個市場找到更多發(fā)展的機會�����。
在現(xiàn)在通訊網(wǎng)絡(luò)的發(fā)展階段����,大概并行存在著兩張網(wǎng)����。一個是傳統(tǒng)的語音電話網(wǎng)(PSTN)或者無線蜂窩網(wǎng),一個是傳送數(shù)據(jù)的基于IP的數(shù)據(jù)網(wǎng)。數(shù)據(jù)網(wǎng)相互聯(lián)通��,構(gòu)成了我們現(xiàn)在的互聯(lián)網(wǎng)����。而基于IP開放結(jié)構(gòu)的互聯(lián)網(wǎng)早已是黑客們的樂園。開放意味著匿名��,意味著幾乎不可被追蹤��。黑客們可以任意對數(shù)據(jù)進行截取�,攻擊商業(yè)網(wǎng)站來敲詐等等。相比之下�,傳統(tǒng)的語音網(wǎng)好像一直都較少聽到安全方面的問題�。而這個狀態(tài)正在由VoIP(基于IP的語音服務(wù))的迅速普及而改變���。VoIP正在把固定電話語音網(wǎng)����、移動語音網(wǎng)和互聯(lián)網(wǎng)逐漸融合起來���,給網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)��,如不嚴陣以待����,語音世界將成為黑客們的第二個樂園����。
其實傳統(tǒng)的語音電話網(wǎng)也存在著安全問題,美國有一個非常有名的黑客雜志叫phack���,實際上就是phonehack的意思,它一開始就主要討論如何hack傳統(tǒng)的語音電話網(wǎng)��。例如如何免費打國際長途��,如何找到未被人使用過的語音信箱等等。而這些安全問題���,在VoIP的世界里�,都被原封不動的保留了下來���,而且還帶來了更多的安全問題��。
互聯(lián)網(wǎng)安全痼疾
首先�,互聯(lián)網(wǎng)固有的安全問題�,在VoIP上也都存在。與數(shù)據(jù)網(wǎng)絡(luò)不同��,在語音世界里����,負責控制的協(xié)議和語音的數(shù)據(jù)通道是分開的。VoIP的控制協(xié)議如SIP�����,都是以互聯(lián)網(wǎng)一貫的客戶端/服務(wù)器模式來設(shè)計的��。也就是說�,它由一系列的服務(wù)器組成一個控制網(wǎng)絡(luò)��,而這個結(jié)構(gòu)��,如同互聯(lián)網(wǎng)其他協(xié)議一樣�����,是非常容易受到拒絕服務(wù)的攻擊的��。只不過這時的拒絕服務(wù)攻擊是用的是VoIP的控制協(xié)議如SIP�,而不是TCP或者UDP�����。VoIP網(wǎng)絡(luò)中的一些服務(wù)器�����,如邊界代理服務(wù)器(edgeproxyserver)�,對于互聯(lián)網(wǎng)黑客來說只不過是一個能夠?qū)IP協(xié)議進行響應(yīng)的IP地址,和攻擊其他網(wǎng)站的方法并沒有什么不同�。其他傳統(tǒng)的黑客攻擊手段對VoIP設(shè)備也一樣適用��!∫韵聻閹讉例子:
- 攻擊VoIP設(shè)備運行的操作系統(tǒng)(Windows或者Linux)來遠程控制VoIP設(shè)備���,底層操作系統(tǒng)如果不及時打安全補丁�����,必然會有漏洞����,而這些漏洞有可能會被黑客掃描到���,從而控制VoIP設(shè)備��。
- 與普通電話機不同�,每一臺VoIP設(shè)備都需要一定的配置,配置不當或者使用缺省的配置能讓攻擊者很容易找到目標�,這些設(shè)備也就是黑客們常說的“肉雞”。估計以后黑客們想找到的就是“肉雞電話”了�。
- 利用設(shè)備廠商在VoIP協(xié)議實現(xiàn)上的漏洞,進行遠程緩沖區(qū)溢出攻擊����。每個廠商在VoIP協(xié)議實現(xiàn)的方法不同,不同風格的代碼實現(xiàn)的協(xié)議的抗攻擊性也不相同�����。那些急于把產(chǎn)品推向市場,搶占市場份額的廠商����,在實現(xiàn)VoIP協(xié)議時常常只要求功能完備,而不考慮協(xié)議實現(xiàn)的安全性和強壯性�����,從而使產(chǎn)品推向市場的時候就存在安全方面的隱患����。
VoIP非典型安全問題
其次,VoIP帶來了傳統(tǒng)的語音電話網(wǎng)上沒有的新的安全問題���,最主要的有如下三個:
- 一個是遠程竊聽;
- 一個是垃圾電話(VoIP Spamming或者叫vamming);
- 一個是帶寬的劫持(bandwith hijack)�。
在傳統(tǒng)語音電話網(wǎng)里�����,遠程竊聽基本上是政府安全部門才能有的特權(quán)�����,普通人因為不可能對傳統(tǒng)語音電話設(shè)備進行遠程控制,而不可能偷聽到任意人的電話��。而互聯(lián)網(wǎng)的開放結(jié)構(gòu)使得一個普通的黑客對任意電話進行監(jiān)聽成為可能�。使用IP的電話終端一定要有IP地址��,那么就有可能被黑客遠程控制��,語音報文可以被已不加密的方式記錄下來�,傳回到黑客的手里進行破解和回放。
而電話垃圾會成為另外一個棘手的問題��,電子垃圾郵件的泛濫和屢禁不止是互聯(lián)網(wǎng)現(xiàn)在最頭疼的問題���。而這個問題隨著VoIP的技術(shù)的普及也將逐漸成為一個大問題�����。以前�����,向你的家里打垃圾電話推銷一些你不需要的商品�,打電話的人很容易被追蹤是何許人也����。而在互聯(lián)網(wǎng)的世界里��,想知道打電話的人是誰可就不是那么容易的事了�。就如同想知道是什么人向你發(fā)送垃圾郵件幾乎是不可能的一樣�。那么這些發(fā)送垃圾廣告的人就可以肆無忌憚地給你打電話,向你的語音信箱內(nèi)發(fā)送廣告信息���。你也許正在為每天收到的大量垃圾電子郵件而頭疼��,想想如果每天收到大量的推銷你不需要的產(chǎn)品廣告的電話是何感覺?
針對終端用戶的帶寬的劫持也變成了一個問題��,在傳統(tǒng)的語音電話網(wǎng)中�����,每個用戶都分配了固定的語音帶寬�����。這個帶寬當用戶不用的時候��,別人也不允許使用����。而在IP網(wǎng)絡(luò)中,帶寬是共享的����,你不用的帶寬,別人就可以用�����。你用多了帶寬�,別人的通話質(zhì)量就要受到影響�。在IP網(wǎng)絡(luò)中,由于其開放式的結(jié)構(gòu)��,這個帶寬是很容易被黑客用一些垃圾的網(wǎng)絡(luò)流量來填滿的�。在這種情況下,正常用戶的語音數(shù)據(jù)流量就會受到影響�。而語音的應(yīng)用對于延遲和大量的丟數(shù)據(jù)包是很敏感的。用戶可以在Web瀏覽器面前耐心等待一個網(wǎng)頁的裝入�,卻肯定無法忍受在和別人通話過程中話音滯后,模糊不清而根本不知道對方在講什么���。
接著���, 目前被火熱討論的IMS (IP Multimedia SubsystemCIP多媒體子系統(tǒng))也為VoIP的安全問題提出了新的課題。IMS是把無線語音蜂窩網(wǎng) (手機網(wǎng))和IP網(wǎng)結(jié)合在一起的技術(shù)。使得手機用戶也能享受到一些只有在IP網(wǎng)絡(luò)里才能享受到的服務(wù)���。而這也把IP世界中的一些安全問題帶到了無線手機網(wǎng)絡(luò)中���。IMS向手機用戶提供聲音,圖像和多媒體會議等服務(wù)也是使用SIP協(xié)議和由SIP服務(wù)器構(gòu)成的網(wǎng)絡(luò)結(jié)構(gòu)����。這樣,手機上的應(yīng)用的安全也將受到IP底層網(wǎng)安全的影響�����。
綜上所述�,VoIP盡管安全問題始終被提及,但是人們沒有深刻考慮的��,它的安全不僅僅是一個產(chǎn)品���,一項技術(shù)或者一套系統(tǒng)的安全問題�,它因為本身的廣泛作用領(lǐng)域和巨大商業(yè)市場�,將導致一旦不從源頭加以控制的話,VoIP的安全威脅規(guī)模將無數(shù)倍地放大�,從安全威脅種類����、入侵衍生��、黑客人數(shù)�、安全人員人數(shù)、相應(yīng)的安全產(chǎn)品系統(tǒng)等等�,甚至形成新的巨大安全子市場生態(tài)圈。如果當人們把大量的財力人力����,不是放到VoIP本身技術(shù)進步和創(chuàng)新性能上面����,而是在黑客與反黑客上面的斗爭,盡管也拉動了市場�,照顧了就業(yè),但我們還是不知道這到底是一種幸運還是一種沉悶的徘徊�。
Check Point NGX 設(shè)備新添御毒衣
NGX安全平臺增強遠程辦公保護
近日,CheckPoint公司宣布���,其VPN-1Edg增添了先進的入侵抵御及防病毒功能�����,配合其原有的防火墻和VPN技術(shù)提供更強大的安全保護�����。
VPN-1Edg是一套應(yīng)用于保護遠程辦公地點的整合安全設(shè)備���,它是CheckPoint邊界產(chǎn)品系統(tǒng)VPN-1家庭中的一員�。憑著新增的入侵抵御及防病毒功能����,VPN-1Edge 的NGX版本使得企業(yè)能確保其分支辦工地點能與本部擁有同等的扎實安全防護,免受蠕蟲和各種病毒的攻擊��。VPN-1EdgeNGX的整合安全保護及可擴展的管理功能�,令用戶可便捷及經(jīng)濟地連接數(shù)以千計的遠程站點,同時可以安心這些端點不會成為網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)����。
VPN-1 Edge現(xiàn)也整合了SmartDefens服務(wù)系統(tǒng)。顧客為其VPN-1Edge設(shè)備訂購SmartDefense服務(wù)���,他便可收到抵御最新病毒的保護�����,在單一控制臺把所有遠端辦公地點的安全保護更新��。這不僅大幅度降低了維護一個分布式安全系統(tǒng)的成本���,同時也使得整個網(wǎng)絡(luò)系統(tǒng)更為嚴密安全����。
具備嵌入式NGX技術(shù)的VPN-1Edge整合了CheckPoint首屈一指的防火墻�、VPN、入侵防御軟件�,它為用戶帶來以下好處:簡化而高度可靠的VPN——使得管理員能使用動態(tài)路由及基于路由,快速地把大量的遠程端點連接�����。支持安全無線協(xié)議——這是市場上第一款支持WPA2/802.11i無線安全標準的設(shè)備�。卓越性能表現(xiàn)——具備無線多媒體服務(wù)質(zhì)量支持���,確保無線網(wǎng)絡(luò)在傳送時間性十分重要的信息時(例如VoIP)會以最小延遲和合乎期望的水平傳輸��。
ChinaByte(e.chinabyte.com)
相關(guān)鏈接: