對(duì)VoIP的威脅數(shù)不勝數(shù)�,但在2008年,該技術(shù)可能會(huì)遭受非常嚴(yán)重的攻擊��。近日�����,一個(gè)以促進(jìn)安全聯(lián)網(wǎng)新原則為宗旨的用戶團(tuán)體指出:“VoIP基本上就是一種定時(shí)炸彈����,被利用只是早晚的事情�����?��!备鶕?jù)
Infonetics在2007年12月發(fā)布的一份報(bào)告說(shuō),混合PBX系統(tǒng)(既可以處理VoIP����,也可處理TDM語(yǔ)音)占到了所有在售PBX產(chǎn)品線的64%(純IP系統(tǒng)只占18%)。為此�����,有國(guó)外專家發(fā)出警告:密切關(guān)注安全����,才能有效規(guī)避VoIP應(yīng)用風(fēng)險(xiǎn)。
據(jù)悉�,目前在VoIP廣泛使用的兩種協(xié)議 (H.323和Inter Asterisk eXchange) 在驗(yàn)證過(guò)程中容易受到嗅探攻擊的危害。這類嗅探攻擊可以顯示出用戶的口令����,而且攻擊者完全可以利用這些口令在日后攻破語(yǔ)音網(wǎng)絡(luò)�����。另外一種VoIP協(xié)議—會(huì)話啟動(dòng)協(xié)議(SIP)的實(shí)施可能使VoIP網(wǎng)絡(luò)大門洞開��,讓未授權(quán)的數(shù)據(jù)自由傳輸���。
此外,專門研究VoIP安全的行業(yè)集團(tuán)VoIPSA也公布了能夠在各類部署中尋找漏洞的工具���。VoIPSA工具的目的是幫助企業(yè)測(cè)試和確保網(wǎng)絡(luò)的安全,但這些工具和其他一些在線工具也可以用于搜尋各種各樣的弱點(diǎn)���。
VoIP與網(wǎng)絡(luò)一樣,都有可能遭受形形色色的攻擊���、 拒絕服務(wù)����、緩存溢出等等���。VoIP PBX是企業(yè)網(wǎng)絡(luò)上的服務(wù)器�,而且其安全性的好壞完全取決于網(wǎng)絡(luò)本身。除此之外��,還有許多專門針對(duì)語(yǔ)音的攻擊和威脅��。潛在的危險(xiǎn)是現(xiàn)實(shí)存在的�����,因此����,很多研究人員和廠商都已經(jīng)將這些攻擊和威脅列入針對(duì)用戶的警戒范圍����,并建議對(duì)這些威脅和攻擊加以防范�。
不過(guò)值得慶幸的是���,到目前為止��,已發(fā)現(xiàn)的漏洞利用雖然已有許多種��,但沒有任何一種被廣泛傳播��,也沒有對(duì)企業(yè)造成嚴(yán)重的影響�����。產(chǎn)生這一現(xiàn)象的部分原因是��,一些最大的VoIP廠商使用專有的協(xié)議(如Cisco公司的Skinny�����、Nortel公司的Unistim和Avaya公司的H.323變體)���,這使得獲取和研究潛在漏洞變得非常困難�。
但在統(tǒng)一通信領(lǐng)域���,SIP已經(jīng)越來(lái)越受歡迎。SIP的廣泛應(yīng)用將使人喜憂參半����,糟糕的是����,對(duì)于那些希望利用該協(xié)議漏洞的人來(lái)說(shuō)���,SIP可以輕易獲取���,并且很容易入手。好消息是保護(hù)SIP的方法也有很多種���,這些方法包括支持SIP的多種防火墻和入侵阻止系統(tǒng)�����。
漏洞未被廣泛利用的另外一個(gè)原因是��,攻擊者在開發(fā)中投入的時(shí)間得不到足夠的投資回報(bào)�。然而�,隨著VoIP越來(lái)越受歡迎,攻擊者的動(dòng)機(jī)可能會(huì)增加���,甚至有可能會(huì)不停地發(fā)起攻擊��。
