最近发生的几起涉及到VoIP运营商的黑客事件,再一次引起了人们对安全问题的关注。然而,安全问题影响范围能有多广,还取决于业务提供商总体上对IP安全问题的关注程度。
VoIP与生俱来的安全问题虽然是老生常谈,但是直到最近,这些讨论仍停留在理论状态,人们并没有对此采取实际的措施。然而,今年6月份上述情况发生了改变,这一切源于两个高科技小偷被控告从不知情的业务提供商那里盗取了价值100多万美元的通话分钟。其中一个小偷是EdwinAndrewPena,他拥有一家貌似合法的VoIP批发公司Fortes电信,该公司通过包括Net2Phone在内的业务提供商非法传输多达1000万分钟的呼叫,并收取费用,为了实现这一点,Fortes电信需要寻找一家愿意合谋的IP-PBX公司来掩盖呼叫的真正来源。Fortes电信的做法并无太多过人之处,它和很多年前PBX公司曾经设计的骗局非常相似。
此次事件之所以备受关注,是因为它是首次公布于众的大规模的VoIP欺诈事件,更是因为人们对于这一事件的看法截然不同,有人认为应该就事论事把它视为一个独立事件,而不应该把问题扩大化,有人认为它仅仅是个开端,由于VoIP用户众多,黑客们对于VoIP的攻击将会愈演愈烈。
VoIP的先行者、Vonage公司创始人之一的JeffPulver认为,媒体对于这件事情的炒作有些过火,“从Net2phone窃取通话分钟是个再简单不过的盗窃事件,但是仅仅因为窃取的是IP通话分钟,所以该事件才广受关注。”他告诉《亚洲电信》的记者。然而,很多专家认为如果VoIP安全问题没有得到解决,那么会有非常严重的问题出现,网络和安全咨询公司CoreCompetence的总裁DavidPiscitello注意到,最近一段时间安全邮件列表以及各种论坛通告的安全事件数量呈现上升的趋势,Piscitello也是最近出版的《理解VoIP的安全》一书的作者之一。Piscitello表示:“越来越多的VoIP产品的弱点被公布,越来越多的人询问怎样才能通过VoIP协议和SIP/IPBX配置进入网络。不难看出,VoIP市场巨大,因为利益诱惑而成为了众人攻击的目标。”
当然,媒体炒作与安全问题密不可分,例如前段时间媒体大肆报道,称移动电话和即时通信领域也出现了病毒,当然这并不是说我们不需要对这些事情给予关注。至于VoIP,VOIPSA(VoIP安全联盟)主席DavidEndler认为,媒体关注在了不该关注的领域,Endler也是3Com公司安全部门TippingPoint的主管。“近来,媒体炒作的焦点是黑客开发利用现有VoIP网络和业务的可能性。”Endler说。他指的是用户ID窃取、话费欺诈、窃听、通话劫持等。他认为,对于可能对IP数据库造成打击的安全威胁,媒体却很少关注,例如阻断式服务攻击、蠕虫和病毒等。“坦白地说,它们对VoIP的危害更加严重。”Endler说。
更多的威胁
对于涉及几百万美元的安全事件媒体一般会给予报道,但是和安全领域的多数问题一样,被报道的黑客案件通常低于实际数量。VoIP业务不仅受话费欺诈以及Endler提及的各种问题的影响,还受SPIT(通过VoIP传送的垃圾信息)的冲击,同时热点在与装载有免费语音服务的移动设施进行连接时也易受攻击。
AndrewMa是Juniper网络公司亚太地区解决方案和产品营销部门的负责人,他认为另一个问题是在一些情况下用户很难知道自己正在被黑客攻击。他指出的一个威胁是VOMIT(基于错误配置的网络电话的语音通信),它是一个UNIX工具,用于截取错误配置的网络电话上的语音。VOMIT和另一个UNIX工具TCPdump配合使用,可获取VoIP数据包并将它们重新组装为可在电脑上播放的WAVE文件。“公共热点上的VoIP服务尤其容易被窃听,因为使用同一热点的人可以窃取你的VoIP数据包,用VOMIT来重新构造你的对话。”Ma说。他推荐使用端到端的加密来保护VoIP业务。另一个问题是随着SIP协议的日益广泛使用而产生的,SIP是一种类似于HTTP的基于文本的协议。“VoIP风险加大,因为黑客可以很容易地通过试错法来操纵SIP信号。同样,VoIP进程是典型的多任务进程,需要以动态方式打开信号和语音承载通道,因此防火墙和IDP(入侵检测和防御)需要更熟悉VoIP协议才能提供有效保护。”Ma解释。
VoIP应用层面的攻击也会增多,而旧的威胁也会表现出新的严重性。Endler认为,历史上技术的发展总是超出相应的现实安全的要求,VoIP也不例外,对于VoIP的安全而言,最大的挑战是语音服务在已有数据网络上的融合,而很多已有的威胁可能会变得更严重。Endler说:“例如,阻断式服务攻击对传统网络的影响是用户浏览网页的速度比平常要低,而在VoIP网络中,阻断式服务攻击不仅使浏览速度降低,还会使会话变得无法理解。在把VoIP技术加载到现有数据网络的时候,用户也面临着解决可用性、QoS和私密性等新的安全需求。”
当心寄生虫
对于VoIP加剧了IP网络本身固有的不可靠问题的观点,朗讯亚太地区安全业务部门总监基思·怀特表示赞同。他认为,安全问题是妨碍业务提供商和组织机构尽可能广泛地推广VoIP的主要原因之一。他也在试图改变这种情况。“在网络安全方面,我们遇到的最大困难是让组织机构和业务提供商理解VoIP网络与传统交换系统之间的主要差异,”怀特说,“IP网络本身是不安全的,但是这并不意味着我们应该抛弃VoIP。我们只需要按照解决常规IP安全问题的方式去解决VoIP安全问题即可。”
怀特认为业务提供商能够也应该提供安全的VoIP业务,而对于Skype等站在现有运营商肩膀上的“寄生”服务商,他则不愿意过多提及。“有两种VoIP业务,一种是大的业务提供商通过自己的网络提供的真正的VoIP,一种是Skype、Net2Phone、Vonage等提供的‘寄生’式的VoIP,对于这两种VoIP,我们应该严格区分。”怀特说。他认为,两种VoIp之间差别明显,一个构建在特别的用户基础上,没有质量控制,也没有QoS保证,另一个由专业的网络集成商和业务提供商提供,通过严格的监控程序以确保QoS。”
对于典型的无线热点的安全性,他也颇有微词。“有的系统采用了存在潜在不安全因素的VoIP和同样不安全的无线热点,如果我使用这样的系统,那么我不会在通话中透露任何机密,如果基于这样的系统使用无线对讲电话,那么我什么都不会说。”怀特认为用户会在用户端使用加密技术,从而确保自己获得某种程度上的保护。“尽管这种加密技术会逐渐打包在应用程序中,但是很多人还是希望自己控制这些技术,以自我确信通信系统的安全性。”他说。
将要做什么
尽管威胁和潜在的漏洞真真切切地存在,但是大多数观察家相信VoIP能够做到足够安全。事实上,所有可用来保证IP网络安全的都已经使用了,业务提供商和组织机构此时需要的是好的政策和程序。
ManishSablok在阿尔卡特(新加坡)负责语音和应用业务的市场工作,他提倡分层的安全问题解决机制,认为:“安全问题不是一个产品而是一个过程,这个过程的目标是引入多层次的安全机制,以进一步加强对IP电话提供商的保护。顺利经过所有的层次而不被系统管理员发现,对于黑客来说是一件极其复杂的任务。”
Verizon商业部门亚太区市场总监DarrenDay认为,主要的挑战是从一开始就设计一个考虑了安全因素的VoIP网络。他说:“很多公司都是在部署了VoIP网络之后才考虑安全问题,但任何成功的VoIP案例都在关键的开头部分就花费时间来理解组织需求和考虑相应的安全策略。”他同时认为,最好的实践,比如使用VPNs来提供接入、使用强健的补丁管理进程以及拒绝外部接入IP-PBX等,也应该运用到VoIP的部署中。
Juniper公司的Ma也提供了特别的方法,他指出很多业务提供商运用MPLS、VLAN等网络虚拟技术,以把VoIP业务流和其他IP流分开,这样没有获得授权的终端就不能轻易接入VoIP设备。他同时推荐利用边界会话控制器,来进行拓扑并隐藏IP地址,同时在网络中使用呼叫接入控制机制,这样在VoIP受到阻断式服务攻击时,也能保证满足足够的呼叫数量。
朗讯公司的怀特认为,VoIP只是天生就不安全的IP网络上的另一种数据流,因此需要对数据流和底部网络的安全性给予特别考虑,他相信很多系统管理员都是在不安全的IP网络上运行VoIP,并缺乏对IP网络的安全评价和审查。他说:“确保网络适合VoIP业务是成功的关键,这就需要对网络的全部要素和终端进行监察,以确保网络足够强健能够运行VoIP。”
怀特最后的一条建议与行业具体问题密切相关,他建议对在网络安全领域提供服务的公司进行更好的控制,这样无效的运营商就被淘汰出局。如果你认为没有这个必要,那么可以看看文章开始所提到的VoIP事件,在这一事件中,与Fotes电信一起被控告的另一家公司是Miami科技和咨询公司,根据该公司网站上的消息,这家公司现在仍在提供VoIP安全审查业务,这难免会引起人们的惊慌。
VoIP安全情况概览
坏消息
—专家认为VoIP安全威胁日益严重
—安全问题林林总总,从话费欺诈和窃听到垃圾话音和网络钓鱼,VoIP安全问题无所不包
—业务提供商需要加强防备以免受攻击
好消息
—所需要的所有的安全技术和程序一应俱全
—大多数攻击和IP安全专家曾经应对过的安全问题非常相似
—VoIP评估系统已经问世
评估风险
不知道是不是与日俱增的VoIP安全问题带来的一个副作用,越来越多的运营商和设备商开始推出或者大力宣传自己的VoIP安全评估系统。例如,全球业务提供商Verizon商业部门就宣称,有近300名专业安全人员为其业务提供支撑。
这一服务被设计用来识别和解决潜在的安全隐患,这些隐患在任何硬件商和软件商提供的客户端VoIP和主机IPPBX系统中都存在。这些安全问题范围广泛,包括传统语音和IP数据网络的内在风险(如服务丢失、话费欺诈、隐私受损、服务阻断、病毒和垃圾话音),以及和VoIP软硬件集成和互操作相关的风险。
按照Verizon商业部门亚太区市场总监DarrenDay的说法,目前美国和英国的客户可以获得这些服务,其他地区的用户在某些特定的情况下也可以使用这些服务。
朗讯科技也通过其专业服务部门提供评估和审查服务,朗讯亚太区安全业务部门总监怀特说,一些工具和方法可以被用来确保客户网络完全安全,并能提供专业VoIP服务所需要的QoS。其中之一就是贝尔实验室开发的72点网络安全结构模型,该模型已经被ITU采纳为x.805标准。最近,该标准被ISO采纳(ISO-18028),成为一个用于审查和保护IP网络的方法。
安全联盟
最近一个和安全相关的组织是VOIPSA(VoIP安全联盟),它于去年由一些领先的VoIP设备商、运营商和安全研究机构发起成立。根据联盟章程,VOIPSA的主要工作方式是发布讨论列表和白皮书,支持VoIP安全性研究项目,以及开发公众使用的工具和方法,从而帮助所有VoIP公司和组织理解并避免VoIP安全风险。
联盟的第一个任务是制定VoIP安全威胁分类框架,这个框架有助于VoIP组织成员定义对VoIP部署、服务和终端用户构成威胁的众多潜在隐患。VOIPSA主席以及3Com公司安全部门TippingPoint的主管DavidEndler认为:“困难在于,要设计有效的VoIP安全保护体系,首先需要识别VoIP安全威胁。”
Endler告诉《亚洲电信》,联盟的下一个项目是开发最好的方法,以降低威胁分类所定义的各种安全威胁的严重性。