VOIP的安全风险是阻止多IT部门采用该系统的主要因素之一。除此之外,为了对抗止拒绝服务攻击(DoS),缓冲溢出攻击和黑客攻击,很多公司准备去找出那些隐藏的安全漏洞。
其中就有这样一个公司,这种对抗已经持续了将近三年半的时间。在最近的一个声明中,SiperaVIPER实验室针对基于SIP的软件电话和基于WEB的即时信息服务(特别是AOL,AVAYA,MSN和Nortel公司的产品)给出了七条新的安全建议。另外还为Avaya公司基于SIP的硬件电话提出了四条建议。
在2003年,Sipera系统有限公司创建,伙同相关联的SiperaVIPER实验室查出那些威胁VOIP在企业顺利使用的安全漏洞。在对VOIP和IP通信进行严格测试后,Sipera公司宣布他们已经随时准备好为厂商和用户通告那些会妨碍VOIP电话设备及软件电话正常应用的漏洞,“VIPER实验室只关注VOIP和统一通信,”销售主管布林达说道。“提前找出漏洞,可以使我们在遭受攻击之前就做好对VOIP的保护。”
VIPER实验室提交的这些警报表明VOIP软件电话很容易出现诸如资源枯竭,缓冲溢出,拒绝服务攻击以及SIP分析错误的问题。为发出这些警报,VIPER实验室首先联系厂商,向他们提供硬件和软件所存在的潜在漏洞。一旦厂商留意到这些漏洞,Sipera公司就向消费者提交所有结果,包括产生潜在问题的系统以及那些产品。
在最近的警报中,VIPER发现了大量只产生于软件电话的漏洞。
“软件电话给通信提供了很大灵活性,但是却极易受到攻击。这些不仅仅会使VOIP系统遭受风险,还会危及到网络环境的正常运行。KrishnaKurapati(Sipera系统有限公司创建人/首席技术官、SiperaVIPER实验室所长)说道:“这些未知的漏洞会破坏重要的商业交易和个人电话通讯,这就抑制了VoIP的很多优势。Sipera愿意与顾客和厂商一起在问题变严重前找出这些风险。”
对硬件电话的风险建议是专门针对AVAYA公司型号为4602SW的电话的,因为这种型号的电话很容易陷入被攻击,如伪装一个服务器来接收那些随机IP源地址传送来的信息,UDP端口泛洪,RTP端口泛洪。这些漏洞会导致这种电话恶意呼叫,拒绝服务,和语音质量下降。
VIPER表示在他们提供给销售商的警报中也包括这些内容,他们的调查报告证实这可以很大减轻已知漏洞的危害性。VIPER认为比起仅仅预警给销售商和厂商,通过给销售商、厂商、用户漏洞三方面提交警报,可以更好防护黑客对现有VoIP的攻击。
在被问及为什么这些警报如此重要的时候,Ziolo强调道:“VoIP是因特网的一种应用,拥有它自己的安全需求,理解这一点是很重要的,企业应该认识到要建立一个安全的VoIP网络是一个很大的挑战--不是不可能的,这需要花费大量的时间,做大量的工作.”
“VoIP的风险因素不会阻止公司去实现VoIP系统,”Ziolo补充到,“不过他们会抑制公司去充分实现VoIP的优势。”
