VoIP的安全漏洞和防護(上)
李吳建 2004/06/25
編者按:隨著(zhù)數據網(wǎng)絡(luò )帶寬的不斷擴展以及VoIP技術(shù)的日趨成熟,VoIP已從試驗階段轉入成熟的商用階段。由此,在原有安全、封閉的PSTN網(wǎng)中未曾遇見(jiàn)的一系列安全問(wèn)題在VoIP的應用中逐漸顯現,成為影響VoIP走向規模應用的關(guān)鍵因素之一。
當前,已經(jīng)有越來(lái)越多的企業(yè)用戶(hù)開(kāi)始關(guān)注VoIP這一應用。但是在實(shí)施或使用過(guò)程中,用戶(hù)和設備供應廠(chǎng)家更為關(guān)注的是如何改善話(huà)音質(zhì)量和同現有數據網(wǎng)絡(luò )的融合,很少考慮到VoIP存在的安全隱患。如同我們將重要的應用服務(wù)器都置于防火墻的保護之內一樣,在VoIP的情況下,話(huà)音也和數據應用一樣,成了一個(gè)個(gè)的“Packet”,同樣也將承受各種病毒和黑客攻擊的困擾。
究竟有哪幾種因素會(huì )影響到VoIP呢?
首先是產(chǎn)品本身的問(wèn)題。目前VoIP技術(shù)最常用的話(huà)音建立和控制信令是H.323和SIP協(xié)議。盡管它們之間有若干區別,但總體上都是一套開(kāi)放的協(xié)議體系。設備廠(chǎng)家都有獨立的組件來(lái)承載包括IP終端登錄注冊、關(guān)守和信令接續。這些產(chǎn)品有的采用WindowsNT操作系統,也有基于Linux或VxWorks的。越是開(kāi)放的操作系統,越容易受到病毒和惡意攻擊的影響。尤其是在某些設備需要提供基于Web的管理界面的時(shí)候,都會(huì )有機會(huì )采用MicrosoftIIS或Apache來(lái)提供服務(wù),而這些應用都是在產(chǎn)品出廠(chǎng)時(shí)就已經(jīng)安裝在設備當中的,無(wú)法保證是最新版本或是承諾已經(jīng)彌補了某些安全漏洞。
其次是基于開(kāi)放端口的DoS(拒絕服務(wù))攻擊。從網(wǎng)絡(luò )攻擊的方法和產(chǎn)生的破壞效果來(lái)看,DoS算是一種既簡(jiǎn)單又有效的攻擊方式。攻擊者向服務(wù)器發(fā)送相當多數量的帶有虛假地址的服務(wù)請求,但因為所包含的回復地址是虛假的,服務(wù)器將等不到回傳的消息,直至所有的資源被耗盡。VoIP技術(shù)已經(jīng)有很多知名的端口,像1719、1720、5060等。還有一些端口是產(chǎn)品本身需要用于遠端管理或是私有信息傳遞的用途,總之要比普通的某個(gè)簡(jiǎn)單的數據應用多。只要是攻擊者的PC和這些應用端口在同一網(wǎng)段,就可以通過(guò)簡(jiǎn)單的掃描工具,如X-Way之類(lèi)的共享軟件來(lái)獲得更詳細的信息。最近報道的一個(gè)安全漏洞是由NISCC(UKNationalInfrastructureSecurityCo-ordinationCenter)提出的,測試結果表明:市場(chǎng)上很多采用H.323協(xié)議的VoIP系統在H.245建立過(guò)程中都存在漏洞,容易在1720端口上受到DoS的攻擊,從而導致系統的不穩定甚至癱瘓。
再次就是服務(wù)竊取,這個(gè)問(wèn)題在模擬話(huà)機的情況下同樣存在。如同我們在一根普通模擬話(huà)機線(xiàn)上又并接了多個(gè)電話(huà)一樣,將會(huì )出現電話(huà)盜打的問(wèn)題。盡管IP話(huà)機沒(méi)辦法通過(guò)并線(xiàn)的方式來(lái)打電話(huà),但通過(guò)竊取使用者IP電話(huà)的登錄密碼同樣能夠獲得話(huà)機的權限。通常在IP話(huà)機首次登錄到系統時(shí),會(huì )要求提示輸入各人的分機號碼和密碼;很多采用了VoIP的企業(yè)為了方便員工遠程/移動(dòng)辦公,都會(huì )在分配一個(gè)桌面電話(huà)的同時(shí),再分配一個(gè)虛擬的IP電話(huà),并授予密碼和撥號權限。這樣,即使員工出差或是在家辦公,都可以利用VPN方式接入到公司的局域網(wǎng)中,然后運行電腦中的IP軟件電話(huà)接聽(tīng)或撥打市話(huà),如同在公司里辦公一樣。當密碼流失之后,任何人都可以用自己的軟電話(huà)登錄成為別人的分機號碼;如果獲得的權限是可以自由撥打國內甚至國際長(cháng)途號碼,將會(huì )給企業(yè)帶來(lái)巨大的損失且很難追查。
最后是媒體流的偵聽(tīng)問(wèn)題。模擬話(huà)機存在并線(xiàn)竊聽(tīng)的問(wèn)題,當企業(yè)用戶(hù)使用了數字話(huà)機之后,由于都是廠(chǎng)家私有的協(xié)議,很難通過(guò)簡(jiǎn)單的手段來(lái)偵聽(tīng)。但VoIP環(huán)境下,這個(gè)問(wèn)題又被提了出來(lái)。一個(gè)典型的VoIP呼叫需要信令和媒體流兩個(gè)步驟,RTP/RTCP是在基于包的網(wǎng)絡(luò )上傳輸等時(shí)話(huà)音信息的協(xié)議。由于協(xié)議本身是開(kāi)放的,即使是一小段的媒體流都可以被重放出來(lái)而不需要前后信息的關(guān)聯(lián)。如果有人在數據網(wǎng)絡(luò )上通過(guò)Sniffer的方式記錄所有信息并通過(guò)軟件加以重放,會(huì )引起員工對話(huà)音通信的信任危機。
為什么VoIP技術(shù)會(huì )存在上述問(wèn)題呢?其實(shí)在這項技術(shù)研發(fā)伊始,開(kāi)發(fā)者只期望它作為傳統長(cháng)途電話(huà)的一種廉價(jià)的替代方式,因此并未太多在意安全問(wèn)題;同時(shí),VoIP技術(shù)也是跟隨著(zhù)整個(gè)網(wǎng)絡(luò )市場(chǎng)的發(fā)展而發(fā)展的,不同廠(chǎng)家和產(chǎn)品的同時(shí)存在導致一時(shí)無(wú)法提出一個(gè)統一的技術(shù)標準;VoIP的基礎還是IP網(wǎng)絡(luò ),開(kāi)放的體系構架不可避免地受到了來(lái)自網(wǎng)絡(luò )的負面影響。但是,我們仍然可以采用一些機制和合理的配置,最大限度地保障VoIP的安全。
中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
巴里|
和政县|
香河县|
纳雍县|
漳浦县|
湖南省|
麟游县|
武胜县|
常熟市|
手机|
梓潼县|
阿城市|
酒泉市|
涟源市|
龙井市|
酉阳|
广丰县|
施甸县|
威信县|
陇南市|
建阳市|
普陀区|
定南县|
湘潭市|
微山县|
犍为县|
雷波县|
巴东县|
佛冈县|
湖南省|
江川县|
萍乡市|
巢湖市|
海城市|
巨鹿县|
墨竹工卡县|
茂名市|
徐水县|
平舆县|
昌黎县|
建始县|
http://444
http://444
http://444
http://444
http://444
http://444