當互聯網站和局域網絡對黑客們已經沒有了神秘感,何處,將是他們下一塊瞄準的新大陸?
VoIP是一項非常了不起的應用,它的出現大大降低了人們通話的費用,它的出現消除了通話上距離的概念,在VoIP的世界里,沒有長途電話之說,世界上任何兩個人之間的通話只和網絡流量有關,而和距離無關。它的普及應用是大勢所趨。所有的通訊網絡向IP融合也是大勢所趨。而在這個趨勢中,VoIP的安全性將會被擺在越來越重要的地位。VoIP會成為黑客們繼互聯網數據網之后的第二個樂園,也為從事網絡安全的人們提供了巨大的商機。希望業界能更多關注VoIP的安全和有關產品與解決方案,在這個市場找到更多發展的機會。
在現在通訊網絡的發展階段, 大概并行存在著兩張網。一個是傳統的語音電話網(PSTN)或者無線蜂窩網, 一個是傳送數據的基于IP的數據網。數據網相互聯通,構成了我們現在的互聯網。而基于IP開放結構的互聯網早已是黑客們的樂園。開放意味著匿名,意味著幾乎不可被追蹤。黑客們可以任意對數據進行截取,攻擊商業網站來敲詐等等。相比之下,傳統的語音網好像一直都較少聽到安全方面的問題。而這個狀態正在由VoIP(基于IP的語音服務)的迅速普及而改變。 VoIP正在把固定電話語音網、移動語音網和互聯網逐漸融合起來, 給網絡安全提出了新的挑戰,如不嚴陣以待,語音世界將成為黑客們的第二個樂園。
其實傳統的語音電話網也存在著安全問題,美國有一個非常有名的黑客雜志叫phack, 實際上就是phone hack的意思,它一開始就主要討論如何hack傳統的語音電話網。 例如如何免費打國際長途,如何找到未被人使用過的語音信箱等等。而這些安全問題,在VoIP的世界里,都被原封不動的保留了下來,而且還帶來了更多的安全問題。
互聯網安全痼疾
首先,互聯網固有的安全問題,在VoIP上也都存在。與數據網絡不同,在語音世界里,負責控制的協議和語音的數據通道是分開的。 VoIP的控制協議如SIP,都是以互聯網一貫的客戶端/服務器模式來設計的。也就是說,它由一系列的服務器組成一個控制網絡, 而這個結構,如同互聯網其他協議一樣,是非常容易受到拒絕服務的攻擊的。只不過這時的拒絕服務攻擊是用的是VoIP的控制協議如SIP,而不是TCP或者UDP。VoIP網絡中的一些服務器,如邊界代理服務器(edge proxy server), 對于互聯網黑客來說只不過是一個能夠對SIP協議進行響應的IP地址, 和攻擊其他網站的方法并沒有什么不同。其他傳統的黑客攻擊手段對VoIP設備也一樣適用。 以下為幾個例子:
·攻擊VoIP設備運行的操作系統(Windows或者Linux)來遠程控制VoIP設備,底層操作系統如果不及時打安全補丁,必然會有漏洞,而這些漏洞有可能會被黑客掃描到,從而控制VoIP設備。
·與普通電話機不同,每一臺VoIP設備都需要一定的配置,配置不當或者使用缺省的配置能讓攻擊者很容易找到目標,這些設備也就是黑客們常說的“肉雞”。估計以后黑客們想找到的就是“肉雞電話”了。
·利用設備廠商在VoIP協議實現上的漏洞,進行遠程緩沖區溢出攻擊。每個廠商在VoIP協議實現的方法不同,不同風格的代碼實現的協議的抗攻擊性也不相同。那些急于把產品推向市場,搶占市場份額的廠商,在實現VoIP協議時常常只要求功能完備,而不考慮協議實現的安全性和強壯性,從而使產品推向市場的時候就存在安全方面的隱患。
VoIP非典型安全問題
其次,VoIP帶來了傳統的語音電話網上沒有的新的安全問題,最主要的有如下三個:
·一個是遠程竊聽;
·一個是垃圾電話(VoIP Spamming或者叫vamming);
·一個是帶寬的劫持(bandwith hijack)。
在傳統語音電話網里,遠程竊聽基本上是政府安全部門才能有的特權,普通人因為不可能對傳統語音電話設備進行遠程控制,而不可能偷聽到任意人的電話。而互聯網的開放結構使得一個普通的黑客對任意電話進行監聽成為可能。使用IP的電話終端一定要有IP 地址,那么就有可能被黑客遠程控制,語音報文可以被已不加密的方式記錄下來,傳回到黑客的手里進行破解和回放。
而電話垃圾會成為另外一個棘手的問題, 電子垃圾郵件的泛濫和屢禁不止是互聯網現在最頭疼的問題。而這個問題隨著VoIP的技術的普及也將逐漸成為一個大問題。以前,向你的家里打垃圾電話推銷一些你不需要的商品,打電話的人很容易被追蹤是何許人也。而在互聯網的世界里,想知道打電話的人是誰可就不是那么容易的事了。就如同想知道是什么人向你發送垃圾郵件幾乎是不可能的一樣。那么這些發送垃圾廣告的人就可以肆無忌憚地給你打電話,向你的語音信箱內發送廣告信息。你也許正在為每天收到的大量垃圾電子郵件而頭疼,想想如果每天收到大量的推銷你不需要的產品廣告的電話是何感覺?
針對終端用戶的帶寬的劫持也變成了一個問題,在傳統的語音電話網中,每個用戶都分配了固定的語音帶寬。這個帶寬當用戶不用的時候,別人也不允許使用。而在IP網絡中,帶寬是共享的,你不用的帶寬,別人就可以用。你用多了帶寬,別人的通話質量就要受到影響。在IP網絡中,由于其開放式的結構,這個帶寬是很容易被黑客用一些垃圾的網絡流量來填滿的。在這種情況下,正常用戶的語音數據流量就會受到影響。而語音的應用對于延遲和大量的丟數據包是很敏感的。用戶可以在Web瀏覽器面前耐心等待一個網頁的裝入,卻肯定無法忍受在和別人通話過程中話音滯后,模糊不清而根本不知道對方在講什么。
接著, 目前被火熱討論的IMS (IP Multimedia Subsystem CIP 多媒體子系統)也為VoIP的安全問題提出了新的課題。IMS是把無線語音蜂窩網 (手機網)和IP網結合在一起的技術。使得手機用戶也能享受到一些只有在IP網絡里才能享受到的服務。而這也把IP世界中的一些安全問題帶到了無線手機網絡中。IMS向手機用戶提供聲音,圖像和多媒體會議等服務也是使用SIP協議和由SIP服務器構成的網絡結構。這樣,手機上的應用的安全也將受到IP底層網安全的影響。
綜上所述,VoIP盡管安全問題始終被提及,但是人們沒有深刻考慮的,它的安全不僅僅是一個產品,一項技術或者一套系統的安全問題,它因為本身的廣泛作用領域和巨大商業市場,將導致一旦不從源頭加以控制的話,VoIP的安全威脅規模將無數倍地放大,從安全威脅種類、入侵衍生、黑客人數、安全人員人數、相應的安全產品系統等等,甚至形成新的巨大安全子市場生態圈。如果當人們把大量的財力人力,不是放到VoIP本身技術進步和創新性能上面,而是在黑客與反黑客上面的斗爭,盡管也拉動了市場,照顧了就業,但我們還是不知道這到底是一種幸運還是一種沉悶的徘徊。
Check Point NGX 設備新添御毒衣
NGX安全平臺增強遠程辦公保護
近日,Check Point公司宣布,其VPN-1 Edg增添了先進的入侵抵御及防病毒功能,配合其原有的防火墻和VPN技術提供更強大的安全保護。
VPN-1 Edg是一套應用于保護遠程辦公地點的整合安全設備,它是Check Point邊界產品系統VPN-1家庭中的一員。憑著新增的入侵抵御及防病毒功能,VPN-1 Edge 的NGX 版本使得企業能確保其分支辦工地點能與本部擁有同等的扎實安全防護,免受蠕蟲和各種病毒的攻擊。VPN-1 Edge NGX的整合安全保護及可擴展的管理功能,令用戶可便捷及經濟地連接數以千計的遠程站點,同時可以安心這些端點不會成為網絡安全的薄弱環節。
VPN-1 Edge現也整合了SmartDefens服務系統。顧客為其VPN-1 Edge設備訂購SmartDefense 服務,他便可收到抵御最新病毒的保護,在單一控制臺把所有遠端辦公地點的安全保護更新。這不僅大幅度降低了維護一個分布式安全系統的成本,同時也使得整個網絡系統更為嚴密安全。
具備嵌入式NGX技術的VPN-1 Edge整合了Check Point首屈一指的防火墻、VPN、入侵防御軟件,它為用戶帶來以下好處:簡化而高度可靠的VPN——使得管理員能使用動態路由及基于路由,快速地把大量的遠程端點連接。支持安全無線協議——這是市場上第一款支持WPA2/802.11i無線安全標準的設備。卓越性能表現——具備無線多媒體服務質量支持,確保無線網絡在傳送時間性十分重要的信息時(例如VoIP)會以最小延遲和合乎期望的水平傳輸。
