想象一下这样的情景:入侵者神不知鬼不觉地进入你的VoIP网络,开始监视他所选择的任何谈话,提取敏感信息、公司秘密、甚至包括可用于敲诈CEO的详细资料。上个月,ISS(Internet Security Systems)公司发出警告,提醒用户注意Cisco的VoIP产品存在一个有可能发生上述情景的安全漏洞。据该公司说,Cisco的负责处理呼叫信令和路由的Call Manager中存在的这个漏洞可能造成缓冲区溢出,使入侵者可以接入系统监听通过系统传送的所有呼叫。
成长的痛苦
ISS的X-Force研发部团队负责人Neel Mehta说:“VoIP在安全性问题上将遭遇成长的痛苦。这仍是一种新出现的威胁,而且是我们需要认真对待的威胁。”
这类厂商(包括BorderWare、Secure Logix和NFR)敦促使用专用防火墙这样的安全设备。这类防火墙专门设计用于过滤VoIP传输流,查找可疑的模式并切断这些连接。
但是,找到一家受到VoIP滥用者(无论他们是利用多余的消息阻塞语音邮件信箱的垃圾邮件制造者,监听电话谈话的入侵者还是隐藏自己真实身份的诈骗者)伤害的公司还有些困难。到目前为止,威胁还主要是假设的威胁。
Burton Group高级分析师Irwin Lazar说:“我认为现在还没有真正的威胁。VoIP仍是相当封闭的系统,几乎没有一家公司将自己的VoIP系统向Internet开放。”不过,他说,一旦这种情况发生变化,公司开始在名片和网站上公布他们在VoIP通信中使用的SIP地址,VoIP安全将变得至关重要。
去年,VoIP管理厂商Qovia宣布说,它申请了一项涉及捕获VoIP垃圾邮件技术的专利。VoIP垃圾邮件被认为是VoIP网络面临的较直接的威胁之一。Qovia营销副总裁Pierce Reid说,公司曾计划去年推出这种垃圾邮件捕捉模块,但由于市场缺少兴趣而一直没有做这件事。
热门话题
不过,Reid说对这类产品的兴趣开始升温,安全问题现在是有关VoIP活动上的热门话题。Reid说:“我们去年想做的部分工作是帮助人们及时提高安全意识,在受到VoIP威胁袭击前保护自己。”该公司计划今年年底推出反垃圾邮件产品。
北卡罗莱纳州Jacksonville市高级IT专家Bobby Parrish说,市政当局大约3年前安装Cisco的VoIP设备时,将注意力放在了减少费用上,安全性不是主要担心的问题。但是,他的部门采取了一些措施保护语音网络,例如将语音网络与数据网络隔离,为电话提供物理安全措施。
尽管Jacksonville市的VoIP网络没有遇到任何安全违规事件,但Parrish认为他的部门也许运气不错,并且相信这种运气不会永远存在下去。他说:“我还没有看到恐怖的一面,不过我还没有天真到认为这种事情不会发生的程度。”当Qovia的反VoIP垃圾邮件产品发布时,Jacksonville将评估这种产品。
我们有一些充分的理由不能忽视VoIP面临的潜在威胁,甚至在它们还没有成为广泛存在的事实前。首先,鉴于病毒、垃圾邮件和网页欺诈等滥用在另一些基于IP的通信系统(特别是电子邮件)泛滥成灾的事实,不难想象类似的威胁也会进入VoIP。第二,如果这些理论上的威胁进入企业,它们会造成严重的破坏。
小心慢走
加州Santa Rosa市Exchange Bank信息安全官Bob Gligorea说:“我认为人们不应当部署VoIP,除非他们采取了必需的安全措施。”这家社区银行目前正在安装新的网络硬件,包括ISS安全设备,这样他可以在明年迁移到VoIP上。他说:“我没有听说过发生了这类滥用,但是我会想到为获得竞争优势而偷听,这种事会非常糟。”
那么, 企业应当对这些威胁做些什么呢?今年年初,美国政府提出了一些建议。1月份,商务部下属国家标准与技术局发表了一份评估VoIP安全的报告,指出IT经理不应当认为由于他们的数据网络得到了保护,所以向他们的系统添加语音也是安全的。这份报告说,“管理人员可能错误地认为由于数字化语音通过数据包传送,因此他们可以简单地将VoIP组件插入到他们已经得到保护的网络中,然后就高枕无忧。但是,这个过程没有那么简单。”
报告建议采用目前流行的隔离语音与数据传输流的措施,使用可以检测VoIP协议的防火墙这样的安全产品,以及避免通过使用PC和耳机来实现VoIP的“软电话”,从而使网络免于受到病毒和其他恶意软件的攻击。
SurfControl公司全球威胁分析与研究副总裁Susan Larson说,除了安装可以清除可疑VoIP传输流的特殊产品外,公司还应当考虑自己的VoIP网络如何在总体安全努力中发挥作用。随着Skype(一种使PC用户可在Internet上打电话的免费对等程序—因而建立与外部世界的没有保护的连接)这类应用程序的日益流行,公司必须考虑自己的雇员可能下载什么。Larson说,SurfControl的产品可以阻止从这类站点进行下载,并在带有指向这些网站的嵌入URL的电子邮件进入企业前捕获它们。