当互联网站和局域网络对黑客们已经没有了神秘感
何处,将是他们下一块瞄准的新大陆?
李 刚
VoIP是一项非常了不起的应用,它的出现大大降低了人们通话的费用,它的出现消除了通话上距离的概念,在VoIP的世界里,没有长途电话之说,世界上任何两个人之间的通话只和网络流量有关,而和距离无关。
它的普及应用是大势所趋。所有的通讯网络向IP融合也是大势所趋。而在这个趋势中,VoIP的安全性将会被摆在越来越重要的地位。VoIP会成为黑客们继互联网数据网之后的第二个乐园,也为从事网络安全的人们提供了巨大的商机。希望业界能更多关注VoIP的安全和有关产品与解决方案,在这个市场找到更多发展的机会。
在现在通讯网络的发展阶段, 大概并行存在着两张网。一个是传统的语音电话网(PSTN)或者无线蜂窝网, 一个是传送数据的基于IP的数据网。数据网相互联通,构成了我们现在的互联网。而基于IP开放结构的互联网早已是黑客们的乐园。开放意味着匿名,意味着几乎不可被追踪。黑客们可以任意对数据进行截取,攻击商业网站来敲诈等等。相比之下,传统的语音网好像一直都较少听到安全方面的问题。而这个状态正在由VoIP(基于IP的语音服务)的迅速普及而改变。 VoIP正在把固定电话语音网、移动语音网和互联网逐渐融合起来, 给网络安全提出了新的挑战,如不严阵以待,语音世界将成为黑客们的第二个乐园。
其实传统的语音电话网也存在着安全问题,美国有一个非常有名的黑客杂志叫phack, 实际上就是phone hack的意思,它一开始就主要讨论如何hack传统的语音电话网。 例如如何免费打国际长途,如何找到未被人使用过的语音信箱等等。而这些安全问题,在VoIP的世界里,都被原封不动的保留了下来,而且还带来了更多的安全问题。
互联网安全痼疾
首先,互联网固有的安全问题,在VoIP上也都存在。与数据网络不同,在语音世界里,负责控制的协议和语音的数据通道是分开的。 VoIP的控制协议如SIP,都是以互联网一贯的客户端/服务器模式来设计的。也就是说,它由一系列的服务器组成一个控制网络, 而这个结构,如同互联网其他协议一样,是非常容易受到拒绝服务的攻击的。只不过这时的拒绝服务攻击是用的是VoIP的控制协议如SIP,而不是TCP或者UDP。VoIP网络中的一些服务器,如边界代理服务器(edge proxy server), 对于互联网黑客来说只不过是一个能够对SIP协议进行响应的IP地址, 和攻击其他网站的方法并没有什么不同。其他传统的黑客攻击手段对VoIP设备也一样适用。 以下为几个例子:
·攻击VoIP设备运行的操作系统(Windows或者Linux)来远程控制VoIP设备,底层操作系统如果不及时打安全补丁,必然会有漏洞,而这些漏洞有可能会被黑客扫描到,从而控制VoIP设备。
·与普通电话机不同,每一台VoIP设备都需要一定的配置,配置不当或者使用缺省的配置能让攻击者很容易找到目标,这些设备也就是黑客们常说的“肉鸡”。估计以后黑客们想找到的就是“肉鸡电话”了。
·利用设备厂商在VoIP协议实现上的漏洞,进行远程缓冲区溢出攻击。每个厂商在VoIP协议实现的方法不同,不同风格的代码实现的协议的抗攻击性也不相同。那些急于把产品推向市场,抢占市场份额的厂商,在实现VoIP协议时常常只要求功能完备,而不考虑协议实现的安全性和强壮性,从而使产品推向市场的时候就存在安全方面的隐患。
VoIP非典型安全问题
其次,VoIP带来了传统的语音电话网上没有的新的安全问题,最主要的有如下三个:
·一个是远程窃听;
·一个是垃圾电话(VoIP Spamming或者叫vamming);
·一个是带宽的劫持(bandwith hijack)。
在传统语音电话网里,远程窃听基本上是政府安全部门才能有的特权,普通人因为不可能对传统语音电话设备进行远程控制,而不可能偷听到任意人的电话。而互联网的开放结构使得一个普通的黑客对任意电话进行监听成为可能。使用IP的电话终端一定要有IP 地址,那么就有可能被黑客远程控制,语音报文可以被已不加密的方式记录下来,传回到黑客的手里进行破解和回放。
而电话垃圾会成为另外一个棘手的问题, 电子垃圾邮件的泛滥和屡禁不止是互联网现在最头疼的问题。而这个问题随着VoIP的技术的普及也将逐渐成为一个大问题。以前,向你的家里打垃圾电话推销一些你不需要的商品,打电话的人很容易被追踪是何许人也。而在互联网的世界里,想知道打电话的人是谁可就不是那么容易的事了。就如同想知道是什么人向你发送垃圾邮件几乎是不可能的一样。那么这些发送垃圾广告的人就可以肆无忌惮地给你打电话,向你的语音信箱内发送广告信息。你也许正在为每天收到的大量垃圾电子邮件而头疼,想想如果每天收到大量的推销你不需要的产品广告的电话是何感觉?
针对终端用户的带宽的劫持也变成了一个问题,在传统的语音电话网中,每个用户都分配了固定的语音带宽。这个带宽当用户不用的时候,别人也不允许使用。而在IP网络中,带宽是共享的,你不用的带宽,别人就可以用。你用多了带宽,别人的通话质量就要受到影响。在IP网络中,由于其开放式的结构,这个带宽是很容易被黑客用一些垃圾的网络流量来填满的。在这种情况下,正常用户的语音数据流量就会受到影响。而语音的应用对于延迟和大量的丢数据包是很敏感的。用户可以在Web浏览器面前耐心等待一个网页的装入,却肯定无法忍受在和别人通话过程中话音滞后,模糊不清而根本不知道对方在讲什么。
接着, 目前被火热讨论的IMS (IP Multimedia Subsystem CIP 多媒体子系统)也为VoIP的安全问题提出了新的课题。IMS是把无线语音蜂窝网 (手机网)和IP网结合在一起的技术。使得手机用户也能享受到一些只有在IP网络里才能享受到的服务。而这也把IP世界中的一些安全问题带到了无线手机网络中。IMS向手机用户提供声音,图像和多媒体会议等服务也是使用SIP协议和由SIP服务器构成的网络结构。这样,手机上的应用的安全也将受到IP底层网安全的影响。
综上所述,VoIP尽管安全问题始终被提及,但是人们没有深刻考虑的,它的安全不仅仅是一个产品,一项技术或者一套系统的安全问题,它因为本身的广泛作用领域和巨大商业市场,将导致一旦不从源头加以控制的话,VoIP的安全威胁规模将无数倍地放大,从安全威胁种类、入侵衍生、黑客人数、安全人员人数、相应的安全产品系统等等,甚至形成新的巨大安全子市场生态圈。如果当人们把大量的财力人力,不是放到VoIP本身技术进步和创新性能上面,而是在黑客与反黑客上面的斗争,尽管也拉动了市场,照顾了就业,但我们还是不知道这到底是一种幸运还是一种沉闷的徘徊。
Check Point NGX 设备新添御毒衣
NGX安全平台增强远程办公保护
近日,Check Point公司宣布,其VPN-1 Edg增添了先进的入侵抵御及防病毒功能,配合其原有的防火墙和VPN技术提供更强大的安全保护。
VPN-1 Edg是一套应用于保护远程办公地点的整合安全设备,它是Check Point边界产品系统VPN-1家庭中的一员。凭着新增的入侵抵御及防病毒功能,VPN-1 Edge 的NGX 版本使得企业能确保其分支办工地点能与本部拥有同等的扎实安全防护,免受蠕虫和各种病毒的攻击。VPN-1 Edge NGX的整合安全保护及可扩展的管理功能,令用户可便捷及经济地连接数以千计的远程站点,同时可以安心这些端点不会成为网络安全的薄弱环节。
VPN-1 Edge现也整合了SmartDefens服务系统。顾客为其VPN-1 Edge设备订购SmartDefense 服务,他便可收到抵御最新病毒的保护,在单一控制台把所有远端办公地点的安全保护更新。这不仅大幅度降低了维护一个分布式安全系统的成本,同时也使得整个网络系统更为严密安全。
具备嵌入式NGX技术的VPN-1 Edge整合了Check Point首屈一指的防火墙、VPN、入侵防御软件,它为用户带来以下好处:简化而高度可靠的VPN——使得管理员能使用动态路由及基于路由,快速地把大量的远程端点连接。支持安全无线协议——这是市场上第一款支持WPA2/802.11i无线安全标准的设备。卓越性能表现——具备无线多媒体服务质量支持,确保无线网络在传送时间性十分重要的信息时(例如VoIP)会以最小延迟和合乎期望的水平传输。