VoIP是“移动靶”安全预算不可少

　　 

如果说在Interop会议上就VoIP发出了一个非常强烈的信号，那就是担心。非常的担心。

一个专家小组向大约30个与会者简要介绍了当前和未来的VoIP安全威胁并且向他们提供了潜在的补救措施。虽然这个会议的题目是“五大VoIP安全挑战和如何应对这些挑战”，但是，这个小组没有一个专家对同样的五个问题取得一致意见。

Extreme网络公司IP电话解决方案经理Richard DeSoto说，没有办法把这样多的问题归结为仅仅五个问题。

不过，这个小组达成一致意见的一个问题是VoIP安全应该像数据安全一样对待。用户应该确保他们受到能够处理语音的防火墙的保护。用户应该在核心、边缘和终端等三个关键的网络层受到保护。远程接入应该使用VPN。

3Com公司旗下的TippingPoint部门负责安全研究的经理David Endler把VoIP称做是日益增长的威胁的一个“移动靶”。他解释说，VoIP将经历一个转折点。一旦这种技术繁荣起来，攻击将变得非常普遍。

Endler提出的安全挑战列表中排在首位的安全挑战是拒绝服务攻击，其次是对运行VoIP的操作系统实施的攻击。Endler说，在今后的几年里，话费诈欺、身份欺骗、窃听、IP电话垃圾信息和钓鱼攻击等其它攻击方式也会攻击VoIP。他说，VoIP与数据安全并没有很大的不同。

DeSoto赞成拒绝服务攻击在VoIP安全担心的问题中排在第一位。他补充说，特洛伊木马、蠕虫和病毒也将同DHCP攻击和窃听一起更加流行。

他说，身份识别和加密、防火墙、会话边界控制产品、路由器和网关对于防御VoIP网络的入侵都是必不可少的。他说，路由器和应用层网关必须要熟悉语音技术以确保语音包的接收优先于数据包，以消除延迟。VoIP安全必须是你们整个安全策略的一部分。

网络产品测试和分析公司Miercom的首席执行官Rob Smithers表示，潜在的攻击存在于VoIP产品的安全漏洞之中。他简要介绍了一个月前发生在西海岸的一个社区语音系统的攻击事件。这次攻击是有人通过电子邮件向这个网络放入了一个病毒，从而造成了大约2000部IP电话在6个小时的时间里无法使用。

Smithers谨慎地指出，这个威胁是真实存在的。你们将会看到这种威胁。他建议，任何规划部署VoIP的人都应该研究一种监视和拦截对VoIP 网络的威胁。企业应该把VoIP预算的20%用于安全。

Smithers说，一定要向VoIP安全投入资金和资源以保证网络的安全。最佳的忠告是在部署VoIP之前和之后进行现场调查和安全审计，采用一个统一的威胁管理系统和购买一个监测VoIP系统质量的工具。

参加会议的听众一半是已经使用了VoIP技术的公司，一半是正在考虑使用这种技术的公司。这些人离开会场的时候都有些担心。但是，许多人表示，他们知道安全威胁是一个现实的问题，必须要用任何技术来对付这个问题。

纽约州技术办公室电信部门的Sue Rider表示，纽约州正在规划VoIP应用的早期阶段。潜在的安全问题令她感到害怕，但是，还不足以让她放弃使用VoIP。然而，她补充说，她现在知道了现场调查的必要性。她说，如果纽约州部署VoIP，仅在Albany就能有6.5万用户。

她说，这个技术正朝着那个方向发展。你必须要随着这个技术一起发展以便生存。但是，在我们应用VoIP之前，我们必须要厂商确定一些事情。

W.W. Grainger公司语音和数据小组负责人Glenn Allison表示，他也担心VoIP的安全突破问题。他说，当管理大约8000部IP电话的时候，还要控制当前和潜在的威胁是很可怕的事情。保持系统处于最新的状态是一项繁重的工作。

W.W. Grainger是北美的设备维护产品供应商。这家公司采用了思科Call Manager(电话管理员)软件。这个软件在微软的操作系统上运行。虽然这个系统从来没有受到过攻击，但是，Allison表示，保持使用微软最新的补丁以确保系统的安全一直是一项非常艰巨的工作。

然而，听过这个小组的忠告之后，Allison表示，他计划对该公司的VoIP网络进行一次评估以确保这个网络没有安全漏洞。（责任编辑：zhaohb）

原文转自：http://www.ltesting.net