别为安全拒绝VoIP

VoIP漏洞不断被利用，但有专家说，这些事实只表明对安全性有更高的需求，而不能说明这项技术存在着致命的危机。

VoIP漏洞不断被利用，但有专家说，这些事实只表明对安全性有更高的需求，而不能说明这项技术存在着致命的危机。

研究人员宣布了针对VoIP信令协议H.323和AIX的工具，以及将音频插入到VoIP呼叫中的工具。其中，一款自动探测会话发起协议安全漏洞的工具被认为能够在VoIP传输流上搭载数据。

Next Generation Security Software公司高级安全顾问Barrie Dempster说，问题并不是出现在VoIP技术中，而是出现在它的实现中。

VoIP的安全恶名

VoIP安全漏洞的恶名大部分源于这项技术比较新，其代码在编写时不一定考虑到了安全性—这是个困扰许多新技术的问题。

Dempster提到了利用Asterisk(一种开源PBX)的方法，包括缓冲区溢出。他说，这种漏洞以及其他漏洞可以通过删除未使用特性的代码和对使用的特性进行安全审计来对付。他说：“问题不是具体安全漏洞本身，而是软件的成熟性。而且，到目前为止，一直还没有针对软件进行相应的安全审查机制。”

人们认识到了这个问题，并通过公布已知漏洞来帮助开发抵御漏洞的防御措施。

行业组织VoIP安全联盟在网站上公布了一套黑客工具，该组织将这套工具作为测试VoIP能否抵御真实世界中攻击的安全工具加以推广。

安全咨询机构Palindrome Technologies公司CTO Peter Thermos说，保护VoIP的安全并不是不能实现的。他透露了能够改变呼叫路由或切断呼叫的媒体网关控制协议(MGCP)存在的安全漏洞。

他还展示了ZRTP存在的一个安全漏洞。ZRTP还未成为标准的加密VoIP协议。这个协议不能加密按下电话键所产生的拨号音，这种作法可能使VoIP线路输入的信用卡号通过分析音频的方法被盗。

Thermos说，这个MGCP问题最终将需要对协议本身进行修改，不过，目前用户可以通过阻止对MGCP使用的端口的非授权访问来加强协议的安全。ZRTP问题涉及到协议的现实，此前，一直利用在系统中添加补丁的方式来解决。

他说，企业部署VoIP的最佳路线是提前规定针对不同公司的“因人而异”的安全要求。他说，金融机构或政府机构可能需要保密性，因此，比其他企业需要更多的加密能力。

Thermos说：“我看到的一个常见错误是客户没有为他们的网络规定自己的安全要求，发生问题以后才意识到他们需要安全性，然后把安全性视为额外的费用。”他说，从一开始就部署安全工具还可以更好地保护VoIP，抵御尚未发现的威胁。

比PSTN更安全

尽管确实存在攻击的可能性，但一些专家说，VoIP比传统的公共交换电话网(PSTN)更安全。

生产软件安全性测试工具的Codenomicon公司创建人、CTO Ari Takanen说：“VoIP系统比传统系统要安全得多。”他承认VoIP存在安全漏洞，但他同时表示，这些安全问题并不是不能克服的。

他说：“IP系统更为暴露，但有更多可以部署的安全措施。如果因此就不使用它，那太愚蠢了。”

Cisco公司VoIP部工程师Cullen Jennings指出，PSTN主叫方ID很容易被嗅探到，利用传统PBX进行的话费欺诈很常见。但Jennings说，PSTN的可靠性是一个广为宣扬的服务质量指标。

但是，这并不意味着PSTN无懈可击，甚至比VoIP更安全。他说，“并不是说PSTN没有达到它的可靠性目标，而是说这与主叫方ID是否能被嗅探到没有关系。核心网是否瘫痪,与威胁是否针对主叫方ID没有关系。”

道高一尺 魔高一丈

Verisign公司VoIP产品经理Akif Arsoy说，企业最终不会因为担心安全性而拒绝VoIP。他们将在融合的网络中采用它传送集成的语音和数据。Arsoy说：“用户将从VoIP得到今天他们在传统语音上得不到的东西。”

Thermos说，即便如此，近期将出现更多的VoIP漏洞被利用的情况。他说，他已经发现了更多的信令协议弱点和现实漏洞。但他说这还只是VoIP面临安全挑战的一个开始，这种问题将随应用的深入层出不穷。攻击与防护就是道高一尺，魔高一丈的较量。