Fusion CEO访谈：VoIP安全问题及解决_voip

Fusion CEO访谈：VoIP安全问题及解决

2006/05/19

　　本次采访中，Fusion（一家提供VoIP解决方案的公司）公司CEO，Rosen先生谈了VoIP的安全威胁及其对公司的影响，并就怎样防止VoIP安全威胁给出一些建议。

　　Q：目前，对于VoIP来说，最大的安全威胁是什么？

　　A：总的来说，目前对VoIP威胁最大的是人们的无知和冷漠。正如在过去，人们普遍认为网站是独立于网络环境的中心的，不太可能遭受入侵，当然那个时候我们也是同样错误地认为。现在，入侵VoIP的途径很多。打个比方，流行的拒绝服务攻击（DoS），有些人用无用的数据包注入目标站点，有效地阻止合法数据。这同样会发生在VoIP上。

　　比如说，攻击者可以伪造一个虚假的声音邮件消息并发送给每一位订阅VoIP服务的人，这样就会使VoIP提供方出现过载现象，有效地把系统搞瘫。类似地，还有一个攻击，SPIT（Spam over IP Telephony）。攻击者伪造一个虚假的呼叫，发送给每一位用户。因为大多数VoIP系统都被设计成同时处理很多链接请求，这也会使系统过载从而完全瘫痪。当然，收到VoIP垃圾邮件的用户也很不高兴。

　　还有一些非常狡诈阴险的攻击方式。比如说，很可能伪造一个假的数字声音消息，甚至FBI的声音分析器都识别不出来。此外，可能会在真正的通话中插入混淆词汇，从而彻底改变了通话的内容和上下文。另外一种攻击会使用sniffer程序，在用户的PC上或VoIP提供方服务器上窃取VoIP的通话内容。当通话结束时，存下来的.wav等声音文件就会被发送给入侵者。

　　VoIP上的攻击方式真是太多了，但是，如果有知识、有专家指导、永久性地提高警惕，无论哪种方式的攻击都可能被阻止或者变得难以实施。

　　Q：它们的现实程度如何？它们会影响已经部署了VoIP的那些公司吗？

　　A：是非常现实的。随着VoIP供应商及用户数量的增长，对这些各种各样的攻击方式的使用也会越来越多。像Skype这样的供应商，有意开放机器，很容易遭到sniffer攻击或其它试图捕获暴露机器作为垃圾邮件或DoS发起者。任何一家使用VoIP的公司都必须清楚地知道潜在的威胁和各种类型的入侵，并采取一些措施将此类攻击成功的可能性降到最小。

　　Q：厂商和开发人员可以得到的VoIP安全标准有哪些？

　　A：IETF（英特网工程任务组，Internet Engineering Task Force）根据不同的协议（比如，SIP等）定义了相应的安全标准，以RFC的形式存在。不过，没有一个标准可以在真空中发挥作用，必须集成到总的网络安全策略和计划中实行。

　　Q：针对VoIP安全威胁，应该采取什么样的预防措施？

　　网络安全策略定义了什么应该被保护、预防对象是谁以及这些资源的价值。更加重要的系统应该在安全方面有更大的投入。没有哪个系统可以被保护得绝对安全，所以策略定义的是对每个公司来讲可接受的网络安全危险级别。网络安全计划会指明应该遵循的程序和应该使用的工具。

　　这样，公司就可以达到可接受的安全级别。一个可用的方法是找其它公司参与伪装入侵分析和网络安全审计，他们可以模拟入侵者，然后提供一个报告，从这个报告中可以知道系统有哪些漏洞并加以事先修补。就像你所期望的那样，实际的防范措施远比这几句话要多得多。

　　Q：在不久的将来，我们可以期望有什么样的VoIP安全解决方案？

　　A：我们已经看到了专门用于VoIP的防火墙。我希望针对我们上述讨论的威胁的新的系统的出现。正如对传统网络及数据系统的情况那样，一旦发现漏洞，就要以最快的速度打补丁、进行代码更新等。

赛迪网中国信息化(industry.ccidnet.com)