VoIP漏洞多风险大 但08年不会受大规模攻击

【51CTO.com独家翻译】潜在的威胁是非常现实的，VoIP对于许多来自网络的攻击程序非常敏感，如拒绝服务攻击，缓冲溢出等。VoIP专用分组交换机作为企业网服务器并且作为网络本身是唯一可靠的。另外，还有许多特别的噪声攻击和威胁。这些都已经被研究人员和供应商记录下来以提醒使用者加以防范。

举例来说，两个在VoIP中被广泛使用的协议--H.323和IAX--已经被证明是脆弱的，这些协议会暴露密码给以后使用语音网络带来危险。以后实施的SIP是VoIP的另一种选择，它可以脱离VoIP网络开放给未经授权的数据传输。

另外，可以帮助我们找到漏洞的工具已经由一个致力于保护VoIP的公司在网上公布。该VoIP工具是为了帮助企业测试并保护他们的网络，但是这些和其它的线上工具还是用来检测漏洞的好。仍然还有几个漏洞到目前为止还没有散布或者还没波及到商业。“我们没有听到有关攻击的说法。我们不认为这些攻击会发生。”Gartner的分析师Lawrence Orans说。

部分原因可使是一些最大的VoIP服务提供商使用私有的协议，比如思科的Skinny、北电网络的Unistim以及Avaya的变种H.323标准，Orans说。这样使得别人难有获得并研究潜在的安全隐患的机会。“这些系统都不会轻易提供给那些坏家伙”，他说。

越来越受欢迎的SIP是一个混合体，Orans说，因为对那些想使用和开发它的人来说这很容易上手。“我会说SIP亦好亦坏的东西。你容易上手也就是说那些坏家伙也容易，好消息是我们有更多的选择来保护SIP，”他说。这些选择包括防火墙和入侵防御系统来帮助SIP。另一个原因就是相对于袭击者的开发所花费的时间。攻击者的动机也许会得到改善，但是随着VoIP的普及，有些事情还是会很无情得发生。

混合PBX系统--可以处理好VoIP和TDM语音--根据2007年12月的Infonetics报告，在所有售出的PBX中占64%，纯IP系统占有另外的18%。

同时，并不是人人都同意VoIP在2008年不会受到重大打击这个观点。“VoIP本质上就是一个定时炸弹，存在太多的漏洞。”Jericho Forum董事会成员Paul Simmonds说。Jericho Forum是一个促进新的网络安全法则的用户团体。