close
不論對駭客或廣告商而言,電子郵件絕對是個極其可靠,又能確保成功率的最佳管道與工具,這也是垃圾郵件(SPAM)何以成為網際網路時代最嚴重的安全問題之主因。基於多多益善的策略考量,與電子郵件同樣有著極高市場接受度,相當受使用者歡迎的即時通訊與VoIP,自然也成為駭客延伸垃圾郵件攻擊效力的新管道。

隨著VoIP市場規模日漸擴大,垃圾語音(Spam over Internet Telephony;SPIT)非常可能成為VoIP應用上最嚴重的安全問題,其嚴重程度甚至堪與垃圾郵件相提並論。對此,北電網路即強調,一旦企業開始全面投入IP-to-IP的外部通訊,SPIT將成為VoIP安全性的最大問題來源,因為VoIP是透過公開的網際網路進行端對端通訊,所以IP位址將被公開,換句話說,駭客可以輕易搜尋到受話者的IP位址,並展開巨量的垃圾語音攻擊。

站在廣告商或駭客的角度來看,VoIP的確具備其他工具所沒有的特色,以垃圾郵件來說,使用者可以藉由標題判斷,抑或反垃圾郵件軟體加以阻絕,但是使用者卻無法不接聽SPIT電話,即使警覺性高的使用者,可以在一察覺不對勁時立即掛斷電話,但是比起在打開之前即可能被刪除的垃圾郵件,SPIT更勝一籌,因為使用者無論如何也得聽過部分內容才會有所反應,所以駭客可以透過社會工程手法,讓受害者聽得更久,甚至上當受騙。

再者,駭客若想針對企業網路或伺服器發動DoS攻擊,SPIT絕對比SPAM來得更具優勢,因為SPAM的大小不過數10 KB而已,但SPIT的大小少說也有數MB,所以容量較大的SPIT,勢將造成企業網路頻寬的嚴重負荷,甚至會有通話服務中斷、癱瘓之虞。

如今傳統市話上的詐騙電話十分猖獗,該手法若與SPIT相結合,勢將釀成更可怕的災情,因為駭客可先行錄製好相關的SPIT內容,然後再亂槍打鳥地同時傳送給成千上萬個網路電話使用者或IP位址,比起傳統市話,SPIT不但可有效提升詐騙成功機率,更能降低話費與人力的成本。

更可怕的是,駭客還可參照垃圾郵件殭屍網路(Spam Zombie)技術,發展出SPIT Zombie網路攻擊技術,換句話說,駭客可以透過後門、木馬程式的入侵與植入,完全取得受害者電腦的主控權,並藉由受害電腦中VoIP電話簿清單濫打網路電話,如此一傳十、十傳百,駭客便可輕鬆建立龐大的SPIT Zombie網路,而且還能安全地隱身在這些殭屍電腦之後,安全人員實在很難追查到發起SPIT攻擊的真正元兇。不過,對於SPIT問題,廠商已著手開發可以判斷VoIP是人為還是機器撥打的演算法技術,以作為Anti-SPIT的過濾基礎。


圖說:BorderWare科技公司所推出SIPassure代理防火牆,不但支援VoIP安全防護功能,其深層檢測技術並支援Anti-SPIT功能。(圖片來源/BorderWeb網站)

企業VoIP安全政策擬定重點-首重安全與效能之兼顧

儘管安全問題是當前企業對VoIP應用裹足不前的最大因素,但是企業全面導入VoIP服務卻是遲早的事。換句話說,只要企業導入VoIP,就一定會面臨安全風險問題,不過,考量及整體競爭力的提升,VoIP又非導入不可,既然如此,企業何不開始著手相關安全防護措施的準備工作?

首先就伺服器端來說,務必加強專門針對VoIP的各項安全防護措施,尤其是當前企業仍多沿用舊型防火牆,這些安全設備不但不具VoIP安全防護功能,容易形成安全防線上的漏洞,甚至還可能加重語音的延遲率,進而影響VoIP通話品質,所以,更換或增添支援VoIP功能的安全防護設備,絕對是首要考慮的重點。除此之外,透過系統軟體的重新調校,或可解決語音延遲、網路傳輸效能與相容性等問題。

此外,由於VoIP的話音品質較為脆弱,任何安全問題或不當設定都可能造成負面影響,所以安全廠商建議,企業CIO或安全單位務必擬定完善的安全政策及指導原則,例如關閉不必要的通訊埠,或只提供必要的服務等。值得強調的是,如今VoIP在H.323或SIP等協定方面,時有安全漏洞問題,進而造成駭客DoS攻擊或VoIP通話中斷等風險,對此,企業應透過慎選VoIP協定、關閉不必要協定、對遠端存取者進行身分認證,或將VoIP語音與資料網路分開等方式來因應,同時也可將這些做法詳列於公司的安全政策之中,以作為全公司一體奉行的安全圭臬。

至於客戶端方面,首要之務就是針對VoIP的語音傳輸進行加密保護,甲骨文公司表示,資料庫加密已成為當前企業減少安全風險的必要措施,尤其隨著VoIP日漸普及,企業傳統的電話網路,可能轉變為語音與資料合一的網路環境,所以加密保護措施絕不可少,即使駭客成功入侵獲取已經加密過的資料或語音,也是毫無用處、白忙一場。

再就駭客的非法入侵議題來說,企業可以進行IP位址認證的安全措施,也就是針對內部用戶端或遠端登錄VoIP設備的使用者進行IP位址認證,藉此阻擋駭客的非法入侵。

雖然VoIP語音與資料網路的合併,有著低建置成本、便於管理及相關應用相容等優勢,同時也可延用原有資料網路的安全設備來為VoIP安全把關,而不需另外添購專門的防護設施,但是許多安全專家建議,最好還是將兩者分開建置與管理,如此才可讓VoIP網路遠離資料網路上惡意程式與駭客攻擊等既有風險的侵害。除此之外,當前已有VoIP設備直接內建安全措施的趨勢,例如Cisco最新版本的Call Manager伺服器,即直接內建入侵防護系統(IPS),這對降低成本將有正面助益。

此外,對於有意將VoIP語音與資料網路分開的企業而言,可就要有心理準備:客戶端恐將無法採用VoIP軟體,而只能使用IP電話機,這是因為在分開的網路環境中,根本無法使用VoIP軟體,所以建置成本相對較高。


圖說:Cisco最新版本的Call Manager伺服器,已直接內建IPS入侵防護系統,對企業安全防護成本之降低將有正面助益。(圖片來源/Magnetic North網站)


電子時報 記者曹乙帆/台北 2005/12/28
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 馬堤 的頭像
    馬堤

    馬堤的剪報筆記

    馬堤 發表在 痞客邦 留言(0) 人氣()