VoIP требует строгого внимания к безопасности лучшие методы
Новые пути к работнику VoIP не являются фатальными, если Вы подготовлены к нимTim Greene, Мир Сети, 08/16/07
Новые деяния против VoIP продолжают появляться, но эксперты говорят, что эти демонстрации показывают потребность в бдительной безопасности и не являются фатальными недостатками к технологии.
В Черной шапочке в этом месяце исследователи выпустили инструменты взламывания против VoIP сигнальные протоколы H.323 и ЭКС-АН-ПРОВАНС так же как инструменты, чтобы вставить аудио в требования VoIP. В Обороноспособности инструмент, который автоматически исследует Протокол Инициирования Сессии для уязвимости, был выпущен, чтобы позволить тайное осуществление контрейлерных перевозок данных по потокам VoIP.
Ложь проблемы не в технологии VoIP, а в ее выполнении, говорит Barrie Dempster, старший консультант безопасности для Программного обеспечения Безопасности Следующего поколения. "Если Вы применяете традиционную логику безопасности сети к VoIP, Вы можете сделать это столь же безопасным как любой другой протокол," говорит он.
Большая часть славы уязвимости VoIP прибывает, потому что технология относительно нова, и ее кодекс был не обязательно написан с безопасностью в памяти - проблема что эпидемии много новых технологий.
Dempster цитирует способы эксплуатировать Звездочку, открытый источник PBX, включая буферное переполнение. Он говорит это, и с другими слабостями можно иметь дело, удаляя кодекс для неиспользованных особенностей и выполняя ревизии безопасности на особенностях, которые используются. "Проблема не определенная уязвимость непосредственно. Это - зрелость программного обеспечения. Еще не было достаточного количества обзора безопасности," говорит он.
Проблема хорошо признана, и известные деяния разглашены, чтобы помочь развить обороноспособность против них. Например, промышленная группа, Союз Безопасности VoIP издает ряд инструментов взламывания на его участке, который это продвигает как инструменты безопасности, чтобы проверить это механизм VoIP, может противостоять нападениям реального мира.
Обеспечение VoIP весьма преодолим, говорят Peter Thermos, CTO Технологий Палиндрома консалтинговой фирмы безопасности. Он показал уязвимость к протоколу контроля за воротами СМИ (MGCP), которые позволяют изменить маршрут требования или отключить их. Он также показал, что уязвимость к ZRTP, надвигающемуся стандарту, зашифровала протокол VoIP, который не шифровал звуки тонов, сделанных, нажимая телефонные кнопки. Это потенциально оставило номера кредитной карточки, вводимые по линиям VoIP открытыми для того, чтобы быть собранным, говорит он.
Проблема MGCP в конечном счете потребует изменения к протоколу непосредственно, но тем временем пользователи могут укрепить это, блокируя несанкционированный доступ к портам использование MGCP, говорит Термос. Проблема ZRTP вовлекала выполнение протокола и была обращена с участком.
Лучший маршрут для фирм, осуществляющих VoIP, должен установить отдельные требования безопасности загодя, которые отличаются среди компаний, говорит он. Финансовое учреждение или правительственное учреждение, возможно, нуждаются в конфиденциальности и поэтому большем количестве шифрования чем другие фирмы, говорит он.
"Частая ошибка, которую я вижу, состоит в том, что клиенты не определяют свои требования безопасности для их специфической сети, понимают позже, что они нуждаются в безопасности, затем чувствуют это как дополнительную стоимость," говорит Термос. Получение инструментов безопасности в месте от начала также лучше защищает VoIP против угроз, еще обнаруженных, говорит он.
Несмотря на подлинные возможности нападения, некоторые эксперты говорят, что VoIP более безопасен, чем традиционная общественность переключила телефонную сеть (PSTN).
"Система VoIP намного более безопасна чем традиционные системы," говорят Ari Takanen, основатель и CTO Codenomicon, который делает инструменты тестирования безопасности программного обеспечения. Говоря на недавней европейской конференции 2007 VON, он признал уязвимость VoIP, но сказал, что они были весьма преодолимы. "IP системы более выставлены, но у Вас есть больше безопасности, которую Вы можете установить," говорит он. "Если Вы не используете это - это глупо."
Cullen Jennings, выдающийся инженер в группе Cisco VoIP, которая также говорила на конференции, отмечает, что удостоверение личности гостя PSTN легко spoofed, и мошенничество потерь через традиционный PBXs все еще распространено.
Jennings говорит надежность PSTN - пригодность длинного гудка почти все время - является той, чрезвычайно рекламировал меру качества обслуживания. Но это не означает, что PSTN неуязвим или еще лучше чем VoIP. "Я не утверждаю, что PSTN не встречает [надежность] цели," говорит он, но у которого нет никакого опирания, может ли, например, удостоверение личности гостя быть spoofed. "Если основная сеть понижалась, не имеет значения, была ли угроза к удостоверению личности гостя," говорит он.
Главные угрозы VoIP, перечисленному группой VON, были:
* Нулевые проблемы дня, для которых продавцы еще не выпустили затруднительное положение.
* Безопасность, не включаемая, потому что это слишком сложно.
* Определенная для продавца уязвимость, которая не обращена лучшими методами.
В конечном счете фирмы не будут поворачивать свои задние части на VoIP, потому что они волнуются по поводу безопасности, говорит Akif Arsoy, менеджер продукта VoIP для Verisign. Они примут это для интегрированного голоса и данных в сходившейся сети. "Конечные пользователи принимают решения на том, что я получаю [с VoIP], что я не добираюсь сегодня [с традиционным голосом]?" Arsoy говорит.
Даже в этом случае, ожидайте, что больше деяний VoIP появится по краткосрочному, говорит Термос, кто говорит, что он уже идентифицировал более сигнальные слабости протокола и уязвимость выполнения. "Мы только трогательны в началах многих деяний, которые будут прибывать в будущем," говорит он.
Комментарии Сообщества