统一通信安全性弱点讨论

当前，诸如VoIP这样的统一通信(Unified Communications，简称UC)技术正在慢慢地成为主流， 其安全性问题也越来越成为业界关注的重点。即便如此，部署一个统一通信系统所引入的安全性问题有可能是系统管理员从前所没有遇到过的，因此需要额外加强防范和维护。

　　事实上，最近的相关研究工作表明，SIP协议本身就具有比较明显的安全性弱点，黑客们可以利用其在Windows XP SP2系统上制造缓存溢出。从前，这种类型的缓存溢出仅仅是用来攻击软电话终端的，但事实上，类似的弱点可以被攻击者利用来建立一个其与被攻击电脑的常连接，从而可以给攻击者完全接入的权利，例如建立、复制和删除文件。

　　这仅仅是统一通信系统所面临的若干安全性问题的一个，提到它是为了说明统一通信系统确实需要强大的安全性保障。

　　目前，即使是对于那些认为自己的安全性体系没有问题的公司，也应该考虑重新评估他们的安全性机制，通常情况下，安全性机制都是为传统数据网络设计的，并不能防御统一通信系统特点的攻击。这是因为，这些攻击通常都利用统一通信系统相关的漏洞，例如对于基于SIP协议系统的攻击，而传统的安全性机制通常都不进行相应数据包的识别和检查。

　　因此，统一通信系统所潜在的安全性隐患不能被忽视。在比较好的情况下，对于统一通信系统的攻击可能会导致公司软电话系统的瘫痪，而比较恶劣的情况下，甚至可能窃取或修改公司的数据、窃听音频和视频电话。

　　笔者这里并不能覆盖统一通信系统安全性所有的相关知识，但是可以指出各种类型的攻击应如何进行应对，以及在哪里可以找到相应的参考。

　　如果公司所部属的统一通信系统没有自动升级的功能，笔者建议要经常地手动访问设备商网站(至少每周一次)，从而了解是否有新的补丁需要下载和升级，以及获得最新的安全性相关建议。需要注意的是，虽然对于基于标准SIP协议的厂商所面临的安全性问题大体类似，但是有些厂商对于出现的问题解决相当及时，很快便会有补丁和相应的公告，而另外一些厂商可能会反映迟钝一些。

　　笔者在撰写本文的时候，发现SIPERA公布了全球首个VoIP公司Vonage的系统有严重的安全性漏洞，而且至今为止，这个安全性问题并没有被认可和解决。

　　至今为止，笔者发现关于统一通信系统安全性问题在Sipera (http://www.sipera.com/)有比较详细的讨论和信息，而其下的VIPERE实验室正是专注于发现和公布统一通信系统相关的安全性问题。有些安全性弱点是和厂商实现相关的，而另一些则是和协议相关的，存在于每个厂商的系统。

　　综上所述，对于统一通信系统而言，并没有简单的方法来实现安全性的防护。有些安全性问题是和厂商相关的，而另一些则是存在于所有系统中的。在传统的防火墙和IDS系统被升级到能够防护统一通信系统相关的攻击数据包之前，系统管理员需要不停地关注各大站点，从而保证能够得到最新的安全性信息。