分析人士預測���,到2009年�����,IPPBX將占市場份額的90%以上���。不過,在部署VoIP前�,用戶需要了解安全風險以及用戶應采取的對策。VoIP終于成為一種主流應用�。據(jù)Dell' Oro Group說,2005年���,IP PBX設備銷售額超過10億美元��,首次超過了傳統(tǒng)TDM PBX��。但是安全也隨之成為了VoIP應用的下一個門檻��。
安全性在任何情況下都是非常重要的����,不過,當用戶更換世界上最老����、最大、最有彈性和最可用的通信網(wǎng)絡時��,安全性顯得尤其重要�。盡管沒有一個安全措施能完全消除針對VoIP部署的攻擊,但一種多層次的方式��,可以有效地減少攻擊取得成功的可能性�。
威脅
企業(yè)VoIP用戶和服務提供者容易受到假冒攻擊的襲擊,其中的很多攻擊與“電話線路盜用者”針對傳統(tǒng)電話和蜂窩服務所使用的方法沒有什么兩樣����,這些攻擊的目標偷也是一樣的,即偷竊身份與信息����,以及詐騙話費�����?����! 『芏喙魧⒅攸c放在VoIP終端上�。操作系統(tǒng)���、Internet協(xié)議、應用程序以及VoIP硬電話和運行軟電話的管理界面容易受到非法接入���、病毒與蠕蟲和很多拒絕服務(DoS)的攻擊�。這些攻擊往往利用通用Internet協(xié)議以及VoIP協(xié)議本身進行��。
VoIP使用IETF會話發(fā)起協(xié)議(SIP)和實時傳輸協(xié)議(RTP)提交呼叫信令和語音消息���。這些協(xié)議以及補充性會話描述和RTP控制協(xié)議(SDP�、RTCP)�����,沒有在呼叫信令和呼叫數(shù)據(jù)(如包含壓縮和編碼語音的媒體流)上提供足夠的主叫方認證、端到端的完整性保護和保密措施�����。在這些安全特性部署到服務之前�,攻擊者有很多可利用的漏洞。
目前��,SIP和RTP協(xié)議沒有加密呼叫信令包和語音流���,因此�,呼叫者的身份��、證明信息和SIP統(tǒng)一資源標識符(電話號碼)可以利用LAN和WLAN傳輸流采集工具(嗅探器)來捕獲���?�! 」粽呖梢岳貌东@的賬戶信息假冒用戶�,欺騙客戶代表或自助門戶網(wǎng)站�。攻擊者可以在自助門戶網(wǎng)站上將呼叫計劃修改為允許撥打“900”收費電話號碼,或撥打被封鎖的國際號碼�。他還可以訪問語音郵件或修改呼叫轉發(fā)號碼���。
假冒攻擊通常用于進行話費欺詐,但以獲得財務上好處為目標的攻擊者�,還可以捕獲語音對話,并在以后重放它們來獲取敏感的企業(yè)或個人信息����。 利用SIP呼叫信令消息(例如邀請��、注冊���、再見或RTP媒體流數(shù)據(jù)包)淹沒VoIP目標���,可以降低服務質量�,迫使呼叫提前掛斷,以及使某個VoIP設備完全不能處理呼叫��。VoIP設備還容易受到針對Internet協(xié)議的DoS攻擊的襲擊����,如TCP SYN、 Ping of Death和最近出現(xiàn)的DNS分布式DoS擴大攻擊�����。 VoIP系統(tǒng)還會受到針對特定媒體的攻擊(如以太網(wǎng)廣播風暴和Wi-Fi無線電干擾)和破壞�����。新VoIP硬件中使用的操作系統(tǒng)和TCP/IP棧容易遭受針對特定軟件實現(xiàn)的攻擊���,這類攻擊利用了編程缺陷�����。攻擊會造成系統(tǒng)停止運行或使攻擊者獲得系統(tǒng)的遠程管理控制權���。
VoIP軟電話帶來一種獨有的棘手問題,即軟電話應用程序運行在用戶的系統(tǒng)上(PC����、PDA),容易遭受針對數(shù)據(jù)和語音應用的惡意代碼攻擊�����。因此IT管理人員必須考慮攻擊者可能通過VoIP軟電話應用程序,注入惡意代碼來繞過常規(guī)的PC惡意軟件防護的可能性����。 垃圾郵件常常搭載著間諜軟件和管理工具�����。通過Internet電話傳播的垃圾郵件可以傳送主動提供的推銷電話和其他討厭的消息�����,下載到軟電話上的程序可能包含暗藏的惡意軟件��?����!”M管以上描述并不全面��,但也足以促使IT管理人員進一步評估引進VoIP的風險����,制定利用現(xiàn)成的安全技術減少風險的政策和實現(xiàn)計劃��。
風險評估
語音對于傳統(tǒng)電話服務提供商來說,是一棵四季常青的搖錢樹���;對于VoIP廠商來說����,是一個利潤豐厚的新市場����;對于企業(yè)來說,是一項關鍵業(yè)務服務��。因此���,公共VoIP運營商(電話公司)和專有VoIP運營者(企業(yè))必須控制的最大的風險就是服務中斷��?! oIP用戶期望得到高可用性�,至少不低于他們習慣于從公共交換電話網(wǎng)(PSTN)得到的可用性。因此��,對于所有未來的VoIP運營者來說�,一項精心策劃的VoIP部署計劃必須包含減少DoS攻擊風險的措施?��! ∑渌麅?yōu)先考慮的風險包括身份偷竊和話費欺詐�。VoIP公共運營商在VoIP部署中的身份和終端驗證上,面臨比PSTN和蜂窩運營商更大的挑戰(zhàn)����,因為終端的IP地址一般在Internet入口點上是不經(jīng)過驗證的,目前VoIP運營商還沒有廣泛采取措施�����,合作驗證或證明某個SIP身份是否有效���。
