本次采访中,Fusion(一家提供VoIP解决方案的公司)公司CEO,Rosen先生谈了VoIP的安全威胁及其对公司的影响,并就怎样防止VoIP安全威胁给出一些建议。
Q:目前,对于VoIP来说,最大的安全威胁是什么?
A:总的来说,目前对VoIP威胁最大的是人们的无知和冷漠。正如在过去,人们普遍认为网站是独立于网络环境的中心的,不太可能遭受入侵,当然那个时候我们也是同样错误地认为。现在,入侵VoIP的途径很多。打个比方,流行的拒绝服务攻击(DoS),有些人用无用的数据包注入目标站点,有效地阻止合法数据。这同样会发生在VoIP上。
比如说,攻击者可以伪造一个虚假的声音邮件消息并发送给每一位订阅VoIP服务的人,这样就会使VoIP提供方出现过载现象,有效地把系统搞瘫。类似地,还有一个攻击,SPIT(Spam over IP Telephony)。攻击者伪造一个虚假的呼叫,发送给每一位用户。因为大多数VoIP系统都被设计成同时处理很多链接请求,这也会使系统过载从而完全瘫痪。当然,收到VoIP垃圾邮件的用户也很不高兴。
还有一些非常狡诈阴险的攻击方式。比如说,很可能伪造一个假的数字声音消息,甚至FBI的声音分析器都识别不出来。此外,可能会在真正的通话中插入混淆词汇,从而彻底改变了通话的内容和上下文。另外一种攻击会使用sniffer程序,在用户的PC上或VoIP提供方服务器上窃取VoIP的通话内容。当通话结束时,存下来的.wav等声音文件就会被发送给入侵者。
VoIP上的攻击方式真是太多了,但是,如果有知识、有专家指导、永久性地提高警惕,无论哪种方式的攻击都可能被阻止或者变得难以实施。
Q:它们的现实程度如何?它们会影响已经部署了VoIP的那些公司吗?
A:是非常现实的。随着VoIP供应商及用户数量的增长,对这些各种各样的攻击方式的使用也会越来越多。像Skype这样的供应商,有意开放机器,很容易遭到sniffer攻击或其它试图捕获暴露机器作为垃圾邮件或DoS发起者。任何一家使用VoIP的公司都必须清楚地知道潜在的威胁和各种类型的入侵,并采取一些措施将此类攻击成功的可能性降到最小。
Q:厂商和开发人员可以得到的VoIP安全标准有哪些?
A:IETF(英特网工程任务组,Internet Engineering Task Force)根据不同的协议(比如,SIP等)定义了相应的安全标准,以RFC的形式存在。不过,没有一个标准可以在真空中发挥作用,必须集成到总的网络安全策略和计划中实行。
Q:针对VoIP安全威胁,应该采取什么样的预防措施?
网络安全策略定义了什么应该被保护、预防对象是谁以及这些资源的价值。更加重要的系统应该在安全方面有更大的投入。没有哪个系统可以被保护得绝对安全,所以策略定义的是对每个公司来讲可接受的网络安全危险级别。网络安全计划会指明应该遵循的程序和应该使用的工具。
这样,公司就可以达到可接受的安全级别。一个可用的方法是找其它公司参与伪装入侵分析和网络安全审计,他们可以模拟入侵者,然后提供一个报告,从这个报告中可以知道系统有哪些漏洞并加以事先修补。就像你所期望的那样,实际的防范措施远比这几句话要多得多。
Q:在不久的将来,我们可以期望有什么样的VoIP安全解决方案?
A:我们已经看到了专门用于VoIP的防火墙。我希望针对我们上述讨论的威胁的新的系统的出现。正如对传统网络及数据系统的情况那样,一旦发现漏洞,就要以最快的速度打补丁、进行代码更新等。
网友评论