VoIP安全威脅:事實還是虛構?
來源:互聯網
上載者:User
關鍵字
安全
VOIP
IT經理不應當認為由於他們的資料網路得到了保護,所以向他們的系統添加語音也是安全的。 想像一下這樣的情景:入侵者神不知鬼不覺地進入你的VoIP網路,開始監視他所選擇的任何談話,提取敏感資訊、公司秘密、甚至包括可用於敲詐CEO的詳細資料。 上個月,ISS(Internet Security Systems)公司發出警告,提醒使用者注意Cisco的VoIP產品存在一個有可能發生上述情景的安全性漏洞。 據該公司說,Cisco的負責處理呼叫信令和路由的Call Manager中存在的這個漏洞可能造成緩衝區溢位,使入侵者可以接入系統監聽通過系統傳送的所有呼叫。 成長的痛苦ISS的X-Force研發部團隊負責人Neel Mehta說:「VoIP在安全性問題上將遭遇成長的痛苦。 這仍是一種新出現的威脅,而且是我們需要認真對待的威脅。 」這類廠商(包括BorderWare、Secure Logix和NFR)敦促使用專用防火牆這樣的安全設備。 這類防火牆專門設計用於過濾VoIP傳輸流,查找可疑的模式並切斷這些連接。 但是,找到一家受到VoIP濫用者(無論他們是利用多餘的消息阻塞語音信箱信箱的垃圾郵件製造者,監聽電話談話的入侵者還是隱藏自己真實身份的詐騙者)傷害的公司還有些困難。 到目前為止,威脅還主要是假設的威脅。 Burton Group高級分析師Irwin Lazar說:「我認為現在還沒有真正的威脅。 VoIP仍是相當封閉的系統,幾乎沒有一家公司將自己的VoIP系統向Internet開放。 」不過,他說,一旦這種情況發生變化,公司開始在名片和網站上公佈他們在VoIP通信中使用的SIP位址,VoIP安全將變得至關重要。 去年,VoIP管理廠商Qovia宣佈說,它申請了一項涉及捕獲VoIP垃圾郵件技術的專利。 VoIP垃圾郵件被認為是VoIP網路面臨的較直接的威脅之一。 Qovia行銷副總裁Pierce Reid說,公司曾計畫去年推出這種垃圾郵件捕捉模組,但由於市場缺少興趣而一直沒有做這件事。 熱門話題不過,Reid說對這類產品的興趣開始升溫,安全問題現在是有關VoIP活動上的熱門話題。 Reid說:「我們去年想做的部分工作是説明人們及時提高安全意識,在受到VoIP威脅襲擊前保護自己。 」該公司計畫今年年底推出反垃圾郵件產品。 北卡羅萊納州Jacksonville市高級IT專家Bobby Parrish說,市政當局大約3年前安裝Cisco的VoIP設備時,將注意力放在了減少費用上,安全性不是主要擔心的問題。 但是,他的部門採取了一些措施保護語音網路,例如將語音網路與資料網路隔離,為電話提供物理安全措施。 儘管Jacksonville市的VoIP網路沒有遇到任何安全違規事件,但Parrish認為他的部門也許運氣不錯,並且相信這種運氣不會永遠存在下去。 他說:「我還沒有看到恐怖的一面,不過我還沒有天真到認為這種事情不會發生的程度。 」當Qovia的反VoIP垃圾郵件產品發佈時,Jacksonville將評估這種產品。 我們有一些充分的理由不能忽視VoIP面臨的潛在威脅,甚至在它們還沒有成為廣泛存在的事實前。 首先,鑒於病毒、垃圾郵件和網頁欺詐等濫用在另一些基於IP的通信系統(特別是電子郵件)氾濫成災的事實,不難想像類似的威脅也會進入VoIP。 第二,如果這些理論上的威脅進入企業,它們會造成嚴重的破壞。 小心慢走加州Santa Rosa市Exchange Bank資訊安全官Bob Gligorea說:「我認為人們不應當部署VoIP,除非他們採取了必需的安全措施。 」這家社區銀行目前正在安裝新的網路硬體,包括ISS安全設備,這樣他可以在明年遷移到VoIP上。 他說:「我沒有聽說過發生了這類濫用,但是我會想到為獲得競爭優勢而偷聽,這種事會非常糟。 」那麼, 企業應當對這些威脅做些什麼呢?今年年初,美國政府提出了一些建議。 1月份,商務部下屬國家標準與技術局發表了一份評估VoIP安全的報告,指出IT經理不應當認為由於他們的資料網路得到了保護,所以向他們的系統添加語音也是安全的。 這份報告說,「管理人員可能錯誤地認為由於數位化語音通過資料包傳送,因此他們可以簡單地將VoIP元件插入到他們已經得到保護的網路中,然後就高枕無憂。 但是,這個過程沒有那麼簡單。 」報告建議採用目前流行的隔離語音與資料傳輸流的措施,使用可以檢測VoIP協定的防火牆這樣的安全產品,以及避免通過使用PC和耳機來實現VoIP的「軟電話」,從而使網路免于受到病毒和其他惡意軟體的攻擊。 SurfControl公司全球威脅分析與研究副總裁Susan Larson說,除了安裝可以清除可疑VoIP傳輸流的特殊產品外,公司還應當考慮自己的VoIP網路如何在總體安全努力中發揮作用。 隨著Skype(一種使PC使用者可在Internet上打電話的免費對等程式—因而建立與外部世界的沒有保護的連接)這類應用程式的日益流行,公司必須考慮自己的雇員可能下載什麼。 Larson說,SurfControl的產品可以阻止從這類網站進行下載,並在帶有指向這些網站的嵌入URL的電子郵件進入企業前捕獲它們。 (責任編輯:zhaohb) 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文:VoIP安全威脅:事實還是虛構? 返回網路安全首頁
