最近發生的幾起涉及到VoIP運營商的黑客事件,再一次引起了人們對安全問題的關注。然而,安全問題影響范圍能有多廣,還取決于業務提供商總體上對IP安全問題的關注程度。
VoIP與生俱來的安全問題雖然是老生常談,但是直到最近,這些討論仍停留在理論狀態,人們并沒有對此采取實際的措施。然而,今年6月份上述情況發生了改變,這一切源于兩個高科技小偷被控告從不知情的業務提供商那里盜取了價值100多萬美元的通話分鐘。其中一個小偷是EdwinAndrewPena,他擁有一家貌似合法的VoIP批發公司Fortes電信,該公司通過包括Net2Phone在內的業務提供商非法傳輸多達1000萬分鐘的呼叫,并收取費用,為了實現這一點,Fortes電信需要尋找一家愿意合謀的IP-PBX公司來掩蓋呼叫的真正來源。Fortes電信的做法并無太多過人之處,它和很多年前PBX公司曾經設計的騙局非常相似。
此次事件之所以備受關注,是因為它是首次公布于眾的大規模的VoIP欺詐事件,更是因為人們對于這一事件的看法截然不同,有人認為應該就事論事把它視為一個獨立事件,而不應該把問題擴大化,有人認為它僅僅是個開端,由于VoIP用戶眾多,黑客們對于VoIP的攻擊將會愈演愈烈。
VoIP的先行者、Vonage公司創始人之一的JeffPulver認為,媒體對于這件事情的炒作有些過火,“從Net2phone竊取通話分鐘是個再簡單不過的盜竊事件,但是僅僅因為竊取的是IP通話分鐘,所以該事件才廣受關注。”他告訴《亞洲電信》的記者。然而,很多專家認為如果VoIP安全問題沒有得到解決,那么會有非常嚴重的問題出現,網絡和安全咨詢公司CoreCompetence的總裁DavidPiscitello注意到,最近一段時間安全郵件列表以及各種論壇通告的安全事件數量呈現上升的趨勢,Piscitello也是最近出版的《理解VoIP的安全》一書的作者之一。Piscitello表示:“越來越多的VoIP產品的弱點被公布,越來越多的人詢問怎樣才能通過VoIP協議和SIP/IPBX配置進入網絡。不難看出,VoIP市場巨大,因為利益誘惑而成為了眾人攻擊的目標。”
當然,媒體炒作與安全問題密不可分,例如前段時間媒體大肆報道,稱移動電話和即時通信領域也出現了病毒,當然這并不是說我們不需要對這些事情給予關注。至于VoIP,VOIPSA(VoIP安全聯盟)主席DavidEndler認為,媒體關注在了不該關注的領域,Endler也是3Com公司安全部門TippingPoint的主管。“近來,媒體炒作的焦點是黑客開發利用現有VoIP網絡和業務的可能性。”Endler說。他指的是用戶ID竊取、話費欺詐、竊聽、通話劫持等。他認為,對于可能對IP數據庫造成打擊的安全威脅,媒體卻很少關注,例如阻斷式服務攻擊、蠕蟲和病毒等。“坦白地說,它們對VoIP的危害更加嚴重。”Endler說。
更多的威脅
對于涉及幾百萬美元的安全事件媒體一般會給予報道,但是和安全領域的多數問題一樣,被報道的黑客案件通常低于實際數量。VoIP業務不僅受話費欺詐以及Endler提及的各種問題的影響,還受SPIT(通過VoIP傳送的垃圾信息)的沖擊,同時熱點在與裝載有免費語音服務的移動設施進行連接時也易受攻擊。
AndrewMa是Juniper網絡公司亞太地區解決方案和產品營銷部門的負責人,他認為另一個問題是在一些情況下用戶很難知道自己正在被黑客攻擊。他指出的一個威脅是VOMIT(基于錯誤配置的網絡電話的語音通信),它是一個UNIX工具,用于截取錯誤配置的網絡電話上的語音。VOMIT和另一個UNIX工具TCPdump配合使用,可獲取VoIP數據包并將它們重新組裝為可在電腦上播放的WAVE文件。“公共熱點上的VoIP服務尤其容易被竊聽,因為使用同一熱點的人可以竊取你的VoIP數據包,用VOMIT來重新構造你的對話。”Ma說。他推薦使用端到端的加密來保護VoIP業務。另一個問題是隨著SIP協議的日益廣泛使用而產生的,SIP是一種類似于HTTP的基于文本的協議。“VoIP風險加大,因為黑客可以很容易地通過試錯法來操縱SIP信號。同樣,VoIP進程是典型的多任務進程,需要以動態方式打開信號和語音承載通道,因此防火墻和IDP(入侵檢測和防御)需要更熟悉VoIP協議才能提供有效保護。”Ma解釋。
VoIP應用層面的攻擊也會增多,而舊的威脅也會表現出新的嚴重性。Endler認為,歷史上技術的發展總是超出相應的現實安全的要求,VoIP也不例外,對于VoIP的安全而言,最大的挑戰是語音服務在已有數據網絡上的融合,而很多已有的威脅可能會變得更嚴重。Endler說:“例如,阻斷式服務攻擊對傳統網絡的影響是用戶瀏覽網頁的速度比平常要低,而在VoIP網絡中,阻斷式服務攻擊不僅使瀏覽速度降低,還會使會話變得無法理解。在把VoIP技術加載到現有數據網絡的時候,用戶也面臨著解決可用性、QoS和私密性等新的安全需求。”
當心寄生蟲
對于VoIP加劇了IP網絡本身固有的不可靠問題的觀點,朗訊亞太地區安全業務部門總監基思·懷特表示贊同。他認為,安全問題是妨礙業務提供商和組織機構盡可能廣泛地推廣VoIP的主要原因之一。他也在試圖改變這種情況。“在網絡安全方面,我們遇到的最大困難是讓組織機構和業務提供商理解VoIP網絡與傳統交換系統之間的主要差異,”懷特說,“IP網絡本身是不安全的,但是這并不意味著我們應該拋棄VoIP。我們只需要按照解決常規IP安全問題的方式去解決VoIP安全問題即可。”
懷特認為業務提供商能夠也應該提供安全的VoIP業務,而對于Skype等站在現有運營商肩膀上的“寄生”服務商,他則不愿意過多提及。“有兩種VoIP業務,一種是大的業務提供商通過自己的網絡提供的真正的VoIP,一種是Skype、Net2Phone、Vonage等提供的‘寄生’式的VoIP,對于這兩種VoIP,我們應該嚴格區分。”懷特說。他認為,兩種VoIp之間差別明顯,一個構建在特別的用戶基礎上,沒有質量控制,也沒有QoS保證,另一個由專業的網絡集成商和業務提供商提供,通過嚴格的監控程序以確保QoS。”
對于典型的無線熱點的安全性,他也頗有微詞。“有的系統采用了存在潛在不安全因素的VoIP和同樣不安全的無線熱點,如果我使用這樣的系統,那么我不會在通話中透露任何機密,如果基于這樣的系統使用無線對講電話,那么我什么都不會說。”懷特認為用戶會在用戶端使用加密技術,從而確保自己獲得某種程度上的保護。“盡管這種加密技術會逐漸打包在應用程序中,但是很多人還是希望自己控制這些技術,以自我確信通信系統的安全性。”他說。
將要做什么
盡管威脅和潛在的漏洞真真切切地存在,但是大多數觀察家相信VoIP能夠做到足夠安全。事實上,所有可用來保證IP網絡安全的都已經使用了,業務提供商和組織機構此時需要的是好的政策和程序。
ManishSablok在阿爾卡特(新加坡)負責語音和應用業務的市場工作,他提倡分層的安全問題解決機制,認為:“安全問題不是一個產品而是一個過程,這個過程的目標是引入多層次的安全機制,以進一步加強對IP電話提供商的保護。順利經過所有的層次而不被系統管理員發現,對于黑客來說是一件極其復雜的任務。”
Verizon商業部門亞太區市場總監DarrenDay認為,主要的挑戰是從一開始就設計一個考慮了安全因素的VoIP網絡。他說:“很多公司都是在部署了VoIP網絡之后才考慮安全問題,但任何成功的VoIP案例都在關鍵的開頭部分就花費時間來理解組織需求和考慮相應的安全策略。”他同時認為,最好的實踐,比如使用VPNs來提供接入、使用強健的補丁管理進程以及拒絕外部接入IP-PBX等,也應該運用到VoIP的部署中。
Juniper公司的Ma也提供了特別的方法,他指出很多業務提供商運用MPLS、VLAN等網絡虛擬技術,以把VoIP業務流和其他IP流分開,這樣沒有獲得授權的終端就不能輕易接入VoIP設備。他同時推薦利用邊界會話控制器,來進行拓撲并隱藏IP地址,同時在網絡中使用呼叫接入控制機制,這樣在VoIP受到阻斷式服務攻擊時,也能保證滿足足夠的呼叫數量。
朗訊公司的懷特認為,VoIP只是天生就不安全的IP網絡上的另一種數據流,因此需要對數據流和底部網絡的安全性給予特別考慮,他相信很多系統管理員都是在不安全的IP網絡上運行VoIP,并缺乏對IP網絡的安全評價和審查。他說:“確保網絡適合VoIP業務是成功的關鍵,這就需要對網絡的全部要素和終端進行監察,以確保網絡足夠強健能夠運行VoIP。”
懷特最后的一條建議與行業具體問題密切相關,他建議對在網絡安全領域提供服務的公司進行更好的控制,這樣無效的運營商就被淘汰出局。如果你認為沒有這個必要,那么可以看看文章開始所提到的VoIP事件,在這一事件中,與Fotes電信一起被控告的另一家公司是Miami科技和咨詢公司,根據該公司網站上的消息,這家公司現在仍在提供VoIP安全審查業務,這難免會引起人們的驚慌。
VoIP安全情況概覽
壞消息
—專家認為VoIP安全威脅日益嚴重
—安全問題林林總總,從話費欺詐和竊聽到垃圾話音和網絡釣魚,VoIP安全問題無所不包
—業務提供商需要加強防備以免受攻擊
好消息
—所需要的所有的安全技術和程序一應俱全
—大多數攻擊和IP安全專家曾經應對過的安全問題非常相似
—VoIP評估系統已經問世
評估風險
不知道是不是與日俱增的VoIP安全問題帶來的一個副作用,越來越多的運營商和設備商開始推出或者大力宣傳自己的VoIP安全評估系統。例如,全球業務提供商Verizon商業部門就宣稱,有近300名專業安全人員為其業務提供支撐。
這一服務被設計用來識別和解決潛在的安全隱患,這些隱患在任何硬件商和軟件商提供的客戶端VoIP和主機IPPBX系統中都存在。這些安全問題范圍廣泛,包括傳統語音和IP數據網絡的內在風險(如服務丟失、話費欺詐、隱私受損、服務阻斷、病毒和垃圾話音),以及和VoIP軟硬件集成和互操作相關的風險。
按照Verizon商業部門亞太區市場總監DarrenDay的說法,目前美國和英國的客戶可以獲得這些服務,其他地區的用戶在某些特定的情況下也可以使用這些服務。
朗訊科技也通過其專業服務部門提供評估和審查服務,朗訊亞太區安全業務部門總監懷特說,一些工具和方法可以被用來確保客戶網絡完全安全,并能提供專業VoIP服務所需要的QoS。其中之一就是貝爾實驗室開發的72點網絡安全結構模型,該模型已經被ITU采納為x.805標準。最近,該標準被ISO采納(ISO-18028),成為一個用于審查和保護IP網絡的方法。
安全聯盟
最近一個和安全相關的組織是VOIPSA(VoIP安全聯盟),它于去年由一些領先的VoIP設備商、運營商和安全研究機構發起成立。根據聯盟章程,VOIPSA的主要工作方式是發布討論列表和白皮書,支持VoIP安全性研究項目,以及開發公眾使用的工具和方法,從而幫助所有VoIP公司和組織理解并避免VoIP安全風險。
聯盟的第一個任務是制定VoIP安全威脅分類框架,這個框架有助于VoIP組織成員定義對VoIP部署、服務和終端用戶構成威脅的眾多潛在隱患。VOIPSA主席以及3Com公司安全部門TippingPoint的主管DavidEndler認為:“困難在于,要設計有效的VoIP安全保護體系,首先需要識別VoIP安全威脅。”
Endler告訴《亞洲電信》,聯盟的下一個項目是開發最好的方法,以降低威脅分類所定義的各種安全威脅的嚴重性。
