安全危機(jī)是搖籃中VoIP的致命軟肋
VoIP技術(shù)作為下一代通訊技術(shù)之一,以其便宜的價格優(yōu)勢和可輕松擴(kuò)展多項應(yīng)用的特點(diǎn),深受人們的喜愛。然而其通過IP網(wǎng)絡(luò)傳輸?shù)奶攸c(diǎn)同時也讓人們一直擔(dān)心其安全問題,本文將和大家了解一下VoIP所面臨的安全風(fēng)險。
VoIP可以說是互聯(lián)網(wǎng)的一種應(yīng)用,它與電子郵件、即時訊息、搜索網(wǎng)頁一樣,是網(wǎng)絡(luò)的一種應(yīng)用。它可以在連接了互聯(lián)網(wǎng)的設(shè)備之間進(jìn)行傳輸,如電腦、手持設(shè)備、掌上設(shè)備、無線設(shè)備等。
從技術(shù)角度講,VoIP是將語音通過數(shù)據(jù)包的方式在互聯(lián)網(wǎng)上進(jìn)行傳輸,因此,我們所熟悉的互聯(lián)網(wǎng)上存在的攻擊手段一般來說都可以用來威脅VoIP的安全問題。
VoIP設(shè)備本身帶來的基礎(chǔ)網(wǎng)絡(luò)風(fēng)險
與其他網(wǎng)絡(luò)設(shè)備或服務(wù)器一樣,VoIP設(shè)備自身的安全性是其首先要面對的問題,目前大部分VoIP設(shè)備基于標(biāo)準(zhǔn)操作系統(tǒng),有的是采用WindowsNT操作系統(tǒng),有的是基于Linux操作系統(tǒng),都有相當(dāng)高的可能受到攻擊者的襲擊。
據(jù)筆者了解,國內(nèi)不少知名VoIP廠商采用的是Linux操作系統(tǒng),盡管安全性相對較高一些,但是同樣也避免不了一些安全威脅。從原理上說,利用漏洞可以發(fā)起各種類型的攻擊。
從安全威脅程度上來說,一旦VoIP核心系統(tǒng)被黑客攻入,帶來的損害無疑是不可估計的,一方面IP電話可以不經(jīng)過認(rèn)證隨意撥打,未經(jīng)保護(hù)的語音通話有可能遭到攔截和竊聽,而且可以被隨時截斷。另一方面現(xiàn)有用戶的帳號信息也無疑得不到安全保證。
另外,大部分情況下,VoIP設(shè)施需要提供遠(yuǎn)程管理能力,其所依賴的服務(wù)和軟件也同樣可能存在安全漏洞。如果配置不當(dāng),黑客同樣可以利用這些漏洞以管理員身份進(jìn)入系統(tǒng),而一旦進(jìn)入系統(tǒng),公司的內(nèi)部網(wǎng)絡(luò)對黑客來說就是完全透明的,不但可以對VoIP設(shè)備本身發(fā)起攻擊,同時也可以對公司基礎(chǔ)網(wǎng)絡(luò)發(fā)起攻擊,致使公司網(wǎng)絡(luò)癱瘓、數(shù)據(jù)丟失,那么后果就相當(dāng)嚴(yán)重了。
據(jù)筆者所知,國內(nèi)一家小型VoIP運(yùn)營商的網(wǎng)守系統(tǒng)采用的是RedHat7.3,數(shù)據(jù)庫采用的MySQL。為了遠(yuǎn)程管理方便,打開了Webmin服務(wù),結(jié)果有一天突然發(fā)現(xiàn)數(shù)據(jù)庫出現(xiàn)數(shù)據(jù)丟失,經(jīng)過技術(shù)分析,發(fā)現(xiàn)有人利用Webmin侵入網(wǎng)守,刪除了用戶數(shù)據(jù),幸虧該運(yùn)營商每天都對數(shù)據(jù)庫進(jìn)行備份,沒有造成太大經(jīng)濟(jì)損失,試想一下,如果沒有備份的話,那么對該運(yùn)營商的打擊可以說是致命性的。
除此之外,VoIP設(shè)備也必將面臨拒絕服務(wù)攻擊的威脅,一旦大量的數(shù)據(jù)包被用于對VoIP設(shè)備發(fā)起攻擊,正常用戶的請求將被忽略,從而無法保證用戶的正常使用。
如果VoIP的基礎(chǔ)設(shè)施不能得到有效保護(hù),它就能夠被輕易地攻擊。與傳統(tǒng)的電話設(shè)備相比,用于傳輸VoIP的網(wǎng)絡(luò)━━路由器、服務(wù)器,甚至是交換機(jī),都更容易受到攻擊。而傳統(tǒng)電話使用的PBX,它是穩(wěn)定和安全的。VoIP的傳輸載體是IP網(wǎng)絡(luò),作為一個開放的網(wǎng)絡(luò),其本身固有數(shù)據(jù)網(wǎng)的安全脆弱性,導(dǎo)致VoIP信號在傳輸?shù)倪^程中,將有可能面臨以下安全風(fēng)險。
1、語音數(shù)據(jù)包被嗅探監(jiān)聽
目前很多VoIP廠商的工作人員在部署測試VoIP網(wǎng)絡(luò)的時候,有一種常見的測試語音通話質(zhì)量的辦法,是通過抓取數(shù)據(jù)包,然后將其還原成數(shù)字語音信號在計算機(jī)上播放,由此我們可以想象,一旦我們的語音數(shù)據(jù)包也被黑客截取,應(yīng)該也有辦法將其轉(zhuǎn)換為數(shù)字語音信號,那么我們在通話過程中的個人信息如隱私、銀行卡信息都無疑曝露給了黑客。
2、網(wǎng)絡(luò)身份欺騙、以免費(fèi)使用服務(wù)
很多VoIP服務(wù)的客戶端認(rèn)證是基于用戶名和密碼方式的,因此一旦黑客通過各種手段獲取了用戶的信息,那么使用用戶的帳號和密碼就可以隨便撥打電話,費(fèi)用自然會計在用戶的頭上。
3、垃圾信息騷擾VoIP用戶
未來垃圾郵件的泛濫,同樣可能出現(xiàn)在VoIP系統(tǒng)之上。黑客會使用和尋找電子郵件地址一樣的目錄獲取攻擊,尋找出大量的合法IP電話地址,然后將一段wav文件放到某臺計算機(jī)上,就可以發(fā)送大量垃圾語音郵件,并且通過假造的IP電話地址,讓人無從追查。
4、網(wǎng)絡(luò)線路質(zhì)量直接關(guān)系VoIP質(zhì)量
現(xiàn)在很多VoIP廠商都面臨一個兩難的選擇,一是選用專門線路搭建專用于VoIP的網(wǎng)絡(luò),這種選擇雖然可以保證VoIP傳輸信號的穩(wěn)定性和高質(zhì)量性,但是顯然成本太高;而讓VoIP信號在公網(wǎng)上跑,這種辦法經(jīng)濟(jì)實(shí)惠可行性高,實(shí)際上目前大多數(shù)VoIP廠商也都是采取的這種辦法。不過這種辦法,顯然有太多不確定因素不可保證。
國內(nèi)一家大型電信運(yùn)營商一直有一項VoIP服務(wù),為了打擊對手從而使自己的業(yè)務(wù)得到發(fā)展,該運(yùn)營商采取了在其網(wǎng)內(nèi)不建斷封殺其他VoIP廠商的服務(wù)器或VoIP地址的做法,這樣給用戶帶來的感覺就是VoIP服務(wù)不穩(wěn)定,有時候能上去,有時候上不去,于是可能就會選擇放棄該服務(wù)或選用其他廠家的服務(wù)。
評論