谁在虚构VoIP安全威胁

ilikemaths

   IT经理不应当认为由于他们的数据网络得到了保护，所以向他们的系统添加语音也是安全的。

　　想象一下这样的情景：入侵者神不知鬼不觉地进入你的VoIP网络，开始监视他所选择的任何谈话，提取敏感信息、企业秘密、甚至包括可用于敲诈CEO的详细资料。
   
    上个月，ISS(Internet Security Systems)企业发出警告，提醒用户注意Cisco的VoIP产品存在一个有可能发生上述情景的安全漏洞。据该企业说，Cisco的负责处理呼叫信令和路由的Call Manager中存在的这个漏洞可能造成缓冲区溢出，使入侵者可以接入系统监听通过系统传送的所有呼叫。

　　成长的痛苦

　　ISS的X-Force研发部团队负责人Neel Mehta说：“VoIP在安全性问题上将遭遇成长的痛苦。这仍是一种新出现的威胁，而且是大家需要认真对待的威胁。”

　　这类厂商(包括BorderWare、Secure Logix和NFR)敦促使用专用防火墙这样的安全设备。这类防火墙专门设计用于过滤VoIP传输流，查找可疑的模式并切断这些连接。

　　但是，找到一家受到VoIP滥用者(无论他们是利用多余的消息阻塞语音邮件信箱的垃圾邮件制造者，监听电话谈话的入侵者还是隐藏自己真实身份的诈骗者)伤害的企业还有些困难。到目前为止，威胁还主要是假设的威胁。

　　Burton Group高级分析师Irwin Lazar说：“我认为现在还没有真正的威胁。VoIP仍是相当封闭的系统，几乎没有一家企业将自己的VoIP系统向Internet开放。”不过，他说，一旦这种情况发生变化，企业开始在名片和网站上公布他们在VoIP通信中使用的SIP地址，VoIP安全将变得至关重要。

　　去年，VoIP管理厂商Qovia宣布说，它申请了一项涉及捕获VoIP垃圾邮件技术的专利。VoIP垃圾邮件被认为是VoIP网络面临的较直接的威胁之一。Qovia营销副总裁Pierce Reid说，企业曾计划去年推出这种垃圾邮件捕捉模块，但由于市场缺少兴趣而一直没有做这件事。

　　热门话题

　　不过，Reid说对这类产品的兴趣开始升温，安全问题现在是有关VoIP活动上的热门话题。Reid说：“大家去年想做的部分工作是帮助人们及时提高安全意识，在受到VoIP威胁袭击前保护自己。”该企业计划今年年底推出反垃圾邮件产品。

　　北卡罗莱纳州Jacksonville市高级IT专家Bobby Parrish说，市政当局大约3年前安装Cisco的VoIP设备时，将注意力放在了减少费用上，安全性不是主要担心的问题。但是，他的部门采取了一些措施保护语音网络，例如将语音网络与数据网络隔离，为电话提供物理安全措施。

　　尽管Jacksonville市的VoIP网络没有遇到任何安全违规事件，但Parrish认为他的部门也许运气不错，并且相信这种运气不会永远存在下去。他说：“我还没有看到恐怖的一面，不过我还没有天真到认为这种事情不会发生的程度。”当Qovia的反VoIP垃圾邮件产品发布时，Jacksonville将评估这种产品。

　　大家有一些充分的理由不能忽视VoIP面临的潜在威胁，甚至在它们还没有成为广泛存在的事实前。首先，鉴于病毒、垃圾邮件和网页欺诈等滥用在另一些基于IP的通信系统(特别是电子邮件)泛滥成灾的事实，不难想象类似的威胁也会进入VoIP。第二，如果这些理论上的威胁进入企业，它们会造成严重的破坏。

　　小心慢走

　　加州Santa Rosa市Exchange Bank信息安全官Bob Gligorea说：“我认为人们不应当部署VoIP，除非他们采取了必需的安全措施。”这家社区银行目前正在安装新的网络硬件，包括ISS安全设备，这样他可以在明年迁移到VoIP上。他说：“我没有听说过发生了这类滥用，但是我会想到为获得竞争优势而偷听，这种事会非常糟。”

　　那么， 企业应当对这些威胁做些什么呢？今年年初，美国政府提出了一些建议。1月份，商务部下属国家标准与技术局发表了一份评估VoIP安全的报告，指出IT经理不应当认为由于他们的数据网络得到了保护，所以向他们的系统添加语音也是安全的。这份报告说，“管理人员可能错误地认为由于数字化语音通过数据包传送，因此他们可以简单地将VoIP组件插入到他们已经得到保护的网络中，然后就高枕无忧。但是，这个过程没有那么简单。”

　　报告建议采用目前流行的隔离语音与数据传输流的措施，使用可以检测VoIP协议的防火墙这样的安全产品，以及避免通过使用PC和耳机来实现VoIP的“软电话”，从而使网络免于受到病毒和其他恶意App的攻击。

　　SurfControl企业全球威胁分析与研究副总裁Susan Larson说，除了安装可以清除可疑VoIP传输流的特殊产品外，企业还应当考虑自己的VoIP网络如何在总体安全努力中发挥作用。随着Skype(一种使PC用户可在Internet上打电话的免费对等程序—因而建立与外部世界的没有保护的连接)这类应用程序的日益流行，企业必须考虑自己的雇员可能下载什么。Larson说，SurfControl的产品可以阻止从这类站点进行下载，并在带有指向这些网站的嵌入URL的电子邮件进入企业前捕获它们。