扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
为了说明VoIP电话窃听问题,Cox编写了SIPtap演示工具。其结果是招致了一大批人指责他是在危言耸听。指责意见大致分为三类:首先,只有在加密及其他安全控制措施被禁用的情况下,窃听威胁才有可能存在;其次,VoIP安全问题已广为人知;第三,保护VoIP网络的安全其实就跟保护其他任何IP应用的安全一样。还有人认为:“如果你的网络和IT环境是安全的,那么VoIP许多安全防范措施应当已落实到位。”
据悉,目前在VoIP广泛使用的两种协议 (H.323和Inter Asterisk eXchange) 在验证过程中容易受到嗅探攻击的危害。这类嗅探攻击可以显示出用户的口令,而且攻击者完全可以利用这些口令在日后攻破语音网络。另外一种VoIP协议—会话启动协议(SIP)的实施可能使VoIP网络大门洞开,让未授权的数据自由传输。
此外,专门研究VoIP安全的行业集团VoIPSA也公布了能够在各类部署中寻找漏洞的工具。VoIPSA工具的目的是帮助企业测试和确保网络的安全,但这些工具和其他一些在线工具也可以用于搜寻各种各样的弱点。
VoIP与网络一样,都有可能遭受形形色色的攻击、 拒绝服务、缓存溢出等等。VoIP PBX是企业网络上的服务器,而且其安全性的好坏完全取决于网络本身。除此之外,还有许多专门针对语音的攻击和威胁。潜在的危险是现实存在的,因此,很多研究人员和厂商都已经将这些攻击和威胁列入针对用户的警戒范围,并建议对这些威胁和攻击加以防范。
不过值得庆幸的是,到目前为止,已发现的漏洞利用虽然已有许多种,但没有任何一种被广泛传播,也没有对企业造成严重的影响。产生这一现象的部分原因是,一些最大的VoIP厂商使用专有的协议(如Cisco公司的Skinny、Nortel公司的Unistim和Avaya公司的H.323变体),这使得获取和研究潜在漏洞变得非常困难。
企业该如何防范此类由于VoIP系统而引发的新的安全威胁或者漏洞呢?对于企业来说,需要有专人负责VoIP的安全。这听上去似乎明确而又简单,但你不知道企业里会有多少人认为VoIP的安全理应由安全团队负责,可各个安全团队之间实际上会相互扯皮。假如连该谁负责这样的小事情都明确不了,那么安全又从何谈起?
再下一步,评估系统的漏洞风险。企业级VoIP威胁一般会有4个主要来源:可用性、隐私、服务窃取以及获得对敏感信息的访问权。可用性涉及是否易受分布式DoS或其他攻击,从而导致VoIP系统掉线。隐私涉及VoIP呼叫的泄密。服务窃取自然是指系统是否易受他人滥用,比如上面所说的FoIP案例。而最后一项则需要考虑Vishing对企业的入侵特性:比如黑客可能会截获某个VoIP呼叫,将其ID修改成“IT部门”,再拨到比如总裁秘书处,精心制造一些场景要求总裁秘书提供总裁的系统口令或其他机密信息。秘书则会认为她是在与IT部门通话,从而轻易地将机密信息泄露给了黑客。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者