VoIP:黑客的第二乐园?

来源 :中国计算机报 | 被引量 : 0次 | 上传用户:xgz521521
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  当互联网站和局域网络对黑客们已经没有了神秘感
  何处,将是他们下一块瞄准的新大陆?
  
  ⊙记者周评
  
  李 刚
  VoIP是一项非常了不起的应用,它的出现大大降低了人们通话的费用,它的出现消除了通话上距离的概念,在VoIP的世界里,没有长途电话之说,世界上任何两个人之间的通话只和网络流量有关,而和距离无关。它的普及应用是大势所趋。所有的通讯网络向IP融合也是大势所趋。而在这个趋势中,VoIP的安全性将会被摆在越来越重要的地位。VoIP会成为黑客们继互联网数据网之后的第二个乐园,也为从事网络安全的人们提供了巨大的商机。希望业界能更多关注VoIP的安全和有关产品与解决方案,在这个市场找到更多发展的机会。
  在现在通讯网络的发展阶段, 大概并行存在着两张网。一个是传统的语音电话网(PSTN)或者无线蜂窝网, 一个是传送数据的基于IP的数据网。数据网相互联通,构成了我们现在的互联网。而基于IP开放结构的互联网早已是黑客们的乐园。开放意味着匿名,意味着几乎不可被追踪。黑客们可以任意对数据进行截取,攻击商业网站来敲诈等等。相比之下,传统的语音网好像一直都较少听到安全方面的问题。而这个状态正在由VoIP(基于IP的语音服务)的迅速普及而改变。 VoIP正在把固定电话语音网、移动语音网和互联网逐渐融合起来, 给网络安全提出了新的挑战,如不严阵以待,语音世界将成为黑客们的第二个乐园。
  其实传统的语音电话网也存在着安全问题,美国有一个非常有名的黑客杂志叫phack, 实际上就是phone hack的意思,它一开始就主要讨论如何hack传统的语音电话网。 例如如何免费打国际长途,如何找到未被人使用过的语音信箱等等。而这些安全问题,在VoIP的世界里,都被原封不动的保留了下来,而且还带来了更多的安全问题。
  
  互联网安全痼疾
  
  首先,互联网固有的安全问题,在VoIP上也都存在。与数据网络不同,在语音世界里,负责控制的协议和语音的数据通道是分开的。 VoIP的控制协议如SIP,都是以互联网一贯的客户端/服务器模式来设计的。也就是说,它由一系列的服务器组成一个控制网络, 而这个结构,如同互联网其他协议一样,是非常容易受到拒绝服务的攻击的。只不过这时的拒绝服务攻击是用的是VoIP的控制协议如SIP,而不是TCP或者UDP。VoIP网络中的一些服务器,如边界代理服务器(edge proxy server), 对于互联网黑客来说只不过是一个能够对SIP协议进行响应的IP地址, 和攻击其他网站的方法并没有什么不同。其他传统的黑客攻击手段对VoIP设备也一样适用。以下为几个例子:
  ·攻击VoIP设备运行的操作系统(Windows或者Linux)来远程控制VoIP设备,底层操作系统如果不及时打安全补丁,必然会有漏洞,而这些漏洞有可能会被黑客扫描到,从而控制VoIP设备。
  ·与普通电话机不同,每一台VoIP设备都需要一定的配置,配置不当或者使用缺省的配置能让攻击者很容易找到目标,这些设备也就是黑客们常说的“肉鸡”。估计以后黑客们想找到的就是“肉鸡电话”了。
  ·利用设备厂商在VoIP协议实现上的漏洞,进行远程缓冲区溢出攻击。每个厂商在VoIP协议实现的方法不同,不同风格的代码实现的协议的抗攻击性也不相同。那些急于把产品推向市场,抢占市场份额的厂商,在实现VoIP协议时常常只要求功能完备,而不考虑协议实现的安全性和强壮性,从而使产品推向市场的时候就存在安全方面的隐患。
  
  VoIP非典型安全问题
  
  其次,VoIP带来了传统的语音电话网上没有的新的安全问题,最主要的有如下三个:
  ·一个是远程窃听;
  ·一个是垃圾电话(VoIP Spamming或者叫vamming);
  ·一个是带宽的劫持(bandwith hijack)。
  在传统语音电话网里,远程窃听基本上是政府安全部门才能有的特权,普通人因为不可能对传统语音电话设备进行远程控制,而不可能偷听到任意人的电话。而互联网的开放结构使得一个普通的黑客对任意电话进行监听成为可能。使用IP的电话终端一定要有IP 地址,那么就有可能被黑客远程控制,语音报文可以被已不加密的方式记录下来,传回到黑客的手里进行破解和回放。
  而电话垃圾会成为另外一个棘手的问题, 电子垃圾邮件的泛滥和屡禁不止是互联网现在最头疼的问题。而这个问题随着VoIP的技术的普及也将逐渐成为一个大问题。以前,向你的家里打垃圾电话推销一些你不需要的商品,打电话的人很容易被追踪是何许人也。而在互联网的世界里,想知道打电话的人是谁可就不是那么容易的事了。就如同想知道是什么人向你发送垃圾邮件几乎是不可能的一样。那么这些发送垃圾广告的人就可以肆无忌惮地给你打电话,向你的语音信箱内发送广告信息。你也许正在为每天收到的大量垃圾电子邮件而头疼,想想如果每天收到大量的推销你不需要的产品广告的电话是何感觉?
  针对终端用户的带宽的劫持也变成了一个问题,在传统的语音电话网中,每个用户都分配了固定的语音带宽。这个带宽当用户不用的时候,别人也不允许使用。而在IP网络中,带宽是共享的,你不用的带宽,别人就可以用。你用多了带宽,别人的通话质量就要受到影响。在IP网络中,由于其开放式的结构,这个带宽是很容易被黑客用一些垃圾的网络流量来填满的。在这种情况下,正常用户的语音数据流量就会受到影响。而语音的应用对于延迟和大量的丢数据包是很敏感的。用户可以在Web浏览器面前耐心等待一个网页的装入,却肯定无法忍受在和别人通话过程中话音滞后,模糊不清而根本不知道对方在讲什么。
  接着, 目前被火热讨论的IMS (IP Multimedia Subsystem CIP 多媒体子系统)也为VoIP的安全问题提出了新的课题。IMS是把无线语音蜂窝网(手机网)和IP网结合在一起的技术。使得手机用户也能享受到一些只有在IP网络里才能享受到的服务。而这也把IP世界中的一些安全问题带到了无线手机网络中。IMS向手机用户提供声音,图像和多媒体会议等服务也是使用SIP协议和由SIP服务器构成的网络结构。这样,手机上的应用的安全也将受到IP底层网安全的影响。
  综上所述,VoIP尽管安全问题始终被提及,但是人们没有深刻考虑的,它的安全不仅仅是一个产品,一项技术或者一套系统的安全问题,它因为本身的广泛作用领域和巨大商业市场,将导致一旦不从源头加以控制的话,VoIP的安全威胁规模将无数倍地放大,从安全威胁种类、入侵衍生、黑客人数、安全人员人数、相应的安全产品系统等等,甚至形成新的巨大安全子市场生态圈。如果当人们把大量的财力人力,不是放到VoIP本身技术进步和创新性能上面,而是在黑客与反黑客上面的斗争,尽管也拉动了市场,照顾了就业,但我们还是不知道这到底是一种幸运还是一种沉闷的徘徊。
  
  Check Point NGX 设备新添御毒衣
  NGX安全平台增强远程办公保护
  
  近日,Check Point公司宣布,其VPN-1 Edg增添了先进的入侵抵御及防病毒功能,配合其原有的防火墙和VPN技术提供更强大的安全保护。
  VPN-1 Edg是一套应用于保护远程办公地点的整合安全设备,它是Check Point边界产品系统VPN-1家庭中的一员。凭着新增的入侵抵御及防病毒功能,VPN-1 Edge 的NGX 版本使得企业能确保其分支办工地点能与本部拥有同等的扎实安全防护,免受蠕虫和各种病毒的攻击。VPN-1 Edge NGX的整合安全保护及可扩展的管理功能,令用户可便捷及经济地连接数以千计的远程站点,同时可以安心这些端点不会成为网络安全的薄弱环节。
  VPN-1 Edge现也整合了SmartDefens服务系统。顾客为其VPN-1 Edge设备订购SmartDefense 服务,他便可收到抵御最新病毒的保护,在单一控制台把所有远端办公地点的安全保护更新。这不仅大幅度降低了维护一个分布式安全系统的成本,同时也使得整个网络系统更为严密安全。
  具备嵌入式NGX技术的VPN-1 Edge整合了Check Point首屈一指的防火墙、VPN、入侵防御软件,它为用户带来以下好处:简化而高度可靠的VPN——使得管理员能使用动态路由及基于路由,快速地把大量的远程端点连接。支持安全无线协议——这是市场上第一款支持WPA2/802.11i无线安全标准的设备。卓越性能表现——具备无线多媒体服务质量支持,确保无线网络在传送时间性十分重要的信息时(例如VoIP)会以最小延迟和合乎期望的水平传输。 (范元)
其他文献
在网吧已经成为一个有序的产业以后,实名登记已经成为大多数网吧的正常程序,人们似乎已经淡忘了这个话题。4月10日,长春市公安系统对全市网吧突击检查的结果,让人们开始关注网吧实名登记制度是否名存实亡。  正如这家网吧把提示标语贴在最醒目位置一样,大多数正规网吧的实名登记工作都做得很认真。  “还有能上网的机器吗?”一个中学生模样的女孩走进网吧,问服务台的工作人员。工作人员打量了她一下说:“请出示你的身
就像早期开始接触DVD时,人们惊讶于DVD的高画质一样,如今正在兴起的高清电视(HDTV)为人们带来了更加难以置信的影音享受。曾几何时,DVD影碟是消费者最为熟悉的存储媒介之一,可是在HDTV来临的时代里,现有DVD光盘在存储容量上远远无法满足高清视频的需求。如何进一步提高DVD光盘存储容量,已成为业内大厂迫切需要解决的问题。  2006年6月16日,在BenQ鳄鱼家族8周年庆典暨光存储事业部策略
Intel于8月下旬更新了其集成显示芯片的驱动程序,使得Intel集成显卡可以支持Vertex Shader 3.0(顶点渲染引擎)。此次更新的驱动程序支持Intel Q963、G965、945G和用于笔记本电脑的GM965集成显卡。  此次发布的Intel集成显卡驱动程序版本为14.31,主要为了配合最新推出的Intel G35芯片组。前一个版本驱动程序是在今年4月发布的。  通过更新驱动程序,
15年前,联想首次在业界提出家用电脑的概念,并推出专门针对家庭用户的“联想1 1”品牌。经过使用时代、适用时代、好用时代后,家用电脑开始进入享用时代。未来的家用电脑会是什么样?显然,这个问题的答案不仅仅取决于客户需求,也不仅仅是个技术问题。    联想大中华区台式营销总经理汤捷认为,未来的家用电脑一定要突破PC固有功能的束缚,甚至可能不叫PC。  15年的时间毕竟太久远了,没有谁还记得当年的细节。
网络边缘防御安全解决方  今天几乎所有公司都具有 Internet 连接,以便访问合作伙伴和客户站点的 Web 服务器中存放的信息,以及从分支机构位置访问总公司的 Web 内容。尽管 Internet 和分支机构网络让员工能够快速共享和操作信息,但它们也潜藏着共享和传播来自黑客的漏洞和攻击以及恶意移动代码的危险。今天的企业必须提供一种方式来保护企业网络外部的用户对于企业 Web 服务器的访问。同时
全球经济从物流时代进入供应链时代,供应链解决方案也随即发生质的变化。在近日举行的“RFID及企业移动优势发展论坛”上,美国讯宝(Symbol)科技全球副总裁兼首席营销官(CMO)Alan Marcus表示:“作为新一代的供应链解决方案,移动解决方案可以让企业动起来,显著提高办公效率。”看看全球零售业巨头沃尔玛、家乐福都相继实施移动方案,全球部署移动解决方案的企业正在以10%的速度高速增长,不由得让
近年来,诸如ERP、CRM及其他一些商业应用软件的普及已经成为企业经济快速增长的重要因素,而专业技能的缺乏和培训成本的昂贵却成为企业主们的最大障碍,于是,方案提供商们不断尝试各种方案,以便跟进用户的需求。    拥有不同资产的企业在选择商业应用软件时的较多考虑要素  《VARBusiness 2007技術调查报告》显示,商业应用软件在整个软件市场领域发展迅速。商务软件是如何发展的,方案提供商若想在
如今,大大小小企业的CIO都开始讨论RFID这一既有前景又变化莫测的技术。在他们眼中,这或许是一场零售革命的开始,或许只是被冠以美名的条形码而已。不过,金佰利CIO已经大踏步地行动起来了!   RFID尽管还有若干问题,但其应用势头不可阻挡。   在不太遥远的未来,当你某天走进一家药店购买一盒舒洁纸巾时,将会引起一系列的连锁反应,最终导致加拿大一棵成年树被砍伐,这就是RFID(无线射频识别)效应。
作为专业摄影师,用高端数码相机将自然事物最美好的一面呈现在我们眼前,在欣赏者眼中也许是件轻而易举的事情。可事实并非如此,一件完美的摄影作品背后,不仅包涵了摄影师的丰富情感,更有专业数码产品的功劳。  没有功能强大的高端数码相机,就难以满足专业摄影师对于光圈、快门速度、ISO、白平衡等功能的处理;而没有一张大容量、高速度的存储卡,就难以让专业摄影师手中的高端数码相机发挥出更好的性能,更会影响摄影师的
针对大中型用户在部署大规模VPN网络时所遇到的不同运营商之间VPN互连使用时带宽小、延迟大的瓶颈问题时,深信服科技结合原有的VPN领域的多线路复用专利技术,提出了多线路智能选路的解决方案并申请专利。  多线路智能选路技术,即是指在企业数据中心网络的网关位置部署深信服科技的IPSec/SSL一体化网关—SINFOR SSL VPN,同时采用不同运营   商的上网线路连接Internet实现线路捆绑和