Kate Dostart 2007/07/23

　　VOIP的安全風險是阻止多IT部門采用該系統(tǒng)的主要因素之一。除此之外，為了對抗止拒絕服務攻擊(DoS)，緩沖溢出攻擊和黑客攻擊，很多公司準備去找出那些隱藏的安全漏洞。
　　其中就有這樣一個公司，這種對抗已經(jīng)持續(xù)了將近三年半的時間。在最近的一個聲明中，Sipera VIPER 實驗室針對基于SIP的軟件電話和基于WEB的即時信息服務(特別是AOL，AVAYA，MSN和Nortel公司的產(chǎn)品)給出了七條新的安全建議。另外還為Avaya公司基于SIP的硬件電話提出了四條建議。
　　在2003年，Sipera 系統(tǒng)有限公司創(chuàng)建，伙同相關聯(lián)的Sipera VIPER實驗室查出那些威脅VOIP在企業(yè)順利使用的安全漏洞。在對VOIP和IP通信進行嚴格測試后，Sipera公司宣布他們已經(jīng)隨時準備好為廠商和用戶通告那些會妨礙VOIP電話設備及軟件電話正常應用的漏洞，
　　“VIPER實驗室只關注VOIP和統(tǒng)一通信,”銷售主管布林達說道�！疤崆罢页雎┒矗�可以使我們在遭受攻擊之前就做好對VOIP的保護�！�
　　VIPER實驗室提交的這些警報表明 VOIP軟件電話很容易出現(xiàn)諸如資源枯竭，緩沖溢出，拒絕服務攻擊以及SIP分析錯誤的問題。為發(fā)出這些警報，VIPER實驗室首先聯(lián)系廠商，向他們提供硬件和軟件所存在的潛在漏洞。一旦廠商留意到這些漏洞，Sipera公司就向消費者提交所有結(jié)果，包括產(chǎn)生潛在問題的系統(tǒng)以及那些產(chǎn)品。
　　在最近的警報中，VIPER 發(fā)現(xiàn)了大量只產(chǎn)生于軟件電話的漏洞。
　　“軟件電話給通信提供了很大靈活性，但是卻極易受到攻擊。這些不僅僅會使VOIP系統(tǒng)遭受風險，還會危及到網(wǎng)絡環(huán)境的正常運行。Krishna Kurapati(Sipera系統(tǒng)有限公司創(chuàng)建人/首席技術(shù)官、Sipera VIPER實驗室所長)說道：“這些未知的漏洞會破壞重要的商業(yè)交易和個人電話通訊，這就抑制了VoIP的很多優(yōu)勢。Sipera愿意與顧客和廠商一起在問題變嚴重前找出這些風險�！�
　　對硬件電話的風險建議是專門針對AVAYA公司型號為4602SW 的電話的，因為這種型號的電話很容易陷入被攻擊，如偽裝一個服務器來接收那些隨機IP源地址傳送來的信息，UDP端口泛洪，RTP端口泛洪。這些漏洞會導致這種電話惡意呼叫，拒絕服務，和語音質(zhì)量下降。
　　VIPER 表示在他們提供給銷售商的警報中也包括這些內(nèi)容，他們的調(diào)查報告證實這可以很大減輕已知漏洞的危害性。VIPER認為比起僅僅預警給銷售商和廠商，通過給銷售商、廠商、用戶漏洞三方面提交警報，可以更好防護黑客對現(xiàn)有VoIP的攻擊。
　　在被問及為什么這些警報如此重要的時候，Ziolo強調(diào)道：“VoIP是因特網(wǎng)的一種應用，擁有它自己的安全需求，理解這一點是很重要的，企業(yè)應該認識到要建立一個安全的VoIP網(wǎng)絡是一個很大的挑戰(zhàn)--不是不可能的，這需要花費大量的時間,做大量的工作.”
　　“VoIP的風險因素不會阻止公司去實現(xiàn)VoIP系統(tǒng)，” Ziolo補充到，“不過他們會抑制公司去充分實現(xiàn)VoIP的優(yōu)勢。”

IT專家網(wǎng)