以下為六種常見(jiàn)的VOIP攻擊方式,希望這篇文章能夠幫助用戶(hù)更好地預防攻擊從而減少損失。
1、SIP掃描和強力破解當SIP設備使用INVITE、REGISTER或OPTION消息去一一探測有效的SIP用戶(hù)名時(shí),SIP掃描和強力破解行為就會(huì )發(fā)生,其目的就是對那些SIP設備進(jìn)行攻擊。
SBC在企業(yè)網(wǎng)絡(luò )中的安全運用
2、基礎服務(wù)類(lèi)攻擊
比如FTP/TFTP服務(wù)。VoIP的實(shí)現依賴(lài)于TCP/IP協(xié)議棧的運行,所以TCP/IP協(xié)議面臨的所有安全問(wèn)題我們都無(wú)法回避。其涉及的通信設備,無(wú)論是硬件還是軟件,都會(huì )被攻擊。例如,運行TFTP的思科路由器與運行TFTP的思科IP話(huà)機的易受攻擊程度并沒(méi)有太大不同。
比如FTP/TFTP服務(wù)。VoIP的實(shí)現依賴(lài)于TCP/IP協(xié)議棧的運行,所以TCP/IP協(xié)議面臨的所有安全問(wèn)題我們都無(wú)法回避。其涉及的通信設備,無(wú)論是硬件還是軟件,都會(huì )被攻擊。例如,運行TFTP的思科路由器與運行TFTP的思科IP話(huà)機的易受攻擊程度并沒(méi)有太大不同。
3、設備或系統的本身漏洞
通過(guò)設備或系統本身的安全漏洞是攻擊用戶(hù)通信網(wǎng)絡(luò )的最簡(jiǎn)單方式之一,同時(shí)也是比較容易容易采取措施的攻擊方式之一。比如其中一個(gè)安全性問(wèn)題就是用戶(hù)未修改通信設備的默認用戶(hù)名和密碼。這是攻擊者進(jìn)入通信設備或VOIP網(wǎng)絡(luò )最為簡(jiǎn)單的方式。換句話(huà)說(shuō),通過(guò)修改默認用戶(hù)名和密碼也能夠有效阻止這類(lèi)攻擊。
通過(guò)設備或系統本身的安全漏洞是攻擊用戶(hù)通信網(wǎng)絡(luò )的最簡(jiǎn)單方式之一,同時(shí)也是比較容易容易采取措施的攻擊方式之一。比如其中一個(gè)安全性問(wèn)題就是用戶(hù)未修改通信設備的默認用戶(hù)名和密碼。這是攻擊者進(jìn)入通信設備或VOIP網(wǎng)絡(luò )最為簡(jiǎn)單的方式。換句話(huà)說(shuō),通過(guò)修改默認用戶(hù)名和密碼也能夠有效阻止這類(lèi)攻擊。
4、信令攻擊
會(huì )話(huà)初始化協(xié)議(SIP)由于其開(kāi)放性和擴展性等性質(zhì)已成為VOIP網(wǎng)絡(luò )通話(huà)控制協(xié)議的一個(gè)選擇。SIP在沒(méi)有任何保護的情況下非常容易遭受到攻擊,而每個(gè)通信地址之間的呼叫信令的完整性又極其重要。 SIP TLS是由SIP RFC 3261定義的安全性機制,用于在加密通道上發(fā)送SIP消息。但SIP TLS對SIP終端設備并不是必需的,但大部分基于SIP的服務(wù)平臺會(huì )提供此安全性機制。
會(huì )話(huà)初始化協(xié)議(SIP)由于其開(kāi)放性和擴展性等性質(zhì)已成為VOIP網(wǎng)絡(luò )通話(huà)控制協(xié)議的一個(gè)選擇。SIP在沒(méi)有任何保護的情況下非常容易遭受到攻擊,而每個(gè)通信地址之間的呼叫信令的完整性又極其重要。 SIP TLS是由SIP RFC 3261定義的安全性機制,用于在加密通道上發(fā)送SIP消息。但SIP TLS對SIP終端設備并不是必需的,但大部分基于SIP的服務(wù)平臺會(huì )提供此安全性機制。
5、通過(guò)PBX界面的安全隱患進(jìn)行攻擊
PBX管理界面以及Shell訪(fǎng)問(wèn)也是易遭受攻擊的渠道之一。管理界面(如Webmin、 FreePBX、 Trixbox GUIs)和Shell訪(fǎng)問(wèn)(SSH或Telnet)是值得注意的存在安全隱患的地方。處理這些安全隱患的最簡(jiǎn)單的方法是阻止所有外來(lái)報文的進(jìn)入(或者在不使用管理界面/SSH/Telnet時(shí),完全關(guān)閉它們)。這通過(guò)接口綁定還是通過(guò)防火墻來(lái)實(shí)現,由用戶(hù)自己決定,但要注意的是,當用戶(hù)想遠程進(jìn)行管理或維護時(shí),這種方式會(huì )造成麻煩,用戶(hù)通過(guò)建立VPN連接到內部網(wǎng)絡(luò ),即可解決此類(lèi)麻煩。除此之外,用戶(hù)不能阻止經(jīng)常用來(lái)管理系統的IP地址的接入。
PBX管理界面以及Shell訪(fǎng)問(wèn)也是易遭受攻擊的渠道之一。管理界面(如Webmin、 FreePBX、 Trixbox GUIs)和Shell訪(fǎng)問(wèn)(SSH或Telnet)是值得注意的存在安全隱患的地方。處理這些安全隱患的最簡(jiǎn)單的方法是阻止所有外來(lái)報文的進(jìn)入(或者在不使用管理界面/SSH/Telnet時(shí),完全關(guān)閉它們)。這通過(guò)接口綁定還是通過(guò)防火墻來(lái)實(shí)現,由用戶(hù)自己決定,但要注意的是,當用戶(hù)想遠程進(jìn)行管理或維護時(shí),這種方式會(huì )造成麻煩,用戶(hù)通過(guò)建立VPN連接到內部網(wǎng)絡(luò ),即可解決此類(lèi)麻煩。除此之外,用戶(hù)不能阻止經(jīng)常用來(lái)管理系統的IP地址的接入。
無(wú)論是否對這些接口進(jìn)行堵塞,用戶(hù)都應該設置安全的用戶(hù)名和密碼。安全的用戶(hù)名和密碼應該包含大小寫(xiě)字母、數字以及符號。
6、通過(guò)用戶(hù)分機的安全隱患進(jìn)行攻擊攻擊
某個(gè)交換機最常見(jiàn)方法之一是攻擊電話(huà)系統里的某個(gè)分機。攻擊者以某種方式取得交換機系統內某個(gè)分機的用戶(hù)名和密碼,然后開(kāi)始發(fā)送攻擊報文。這種攻擊最常見(jiàn)的根本原因是用戶(hù)設置了不安全的密碼。關(guān)于SIP用戶(hù)密碼,最突出的是用戶(hù)常常僅需輸入密碼一次,就是在設置用戶(hù)賬戶(hù)時(shí)輸入。使用你容易記住的密碼也不是最好的避開(kāi)攻擊的方式,特別是當密碼與與分機號碼或用戶(hù)名相同或相似的時(shí)候(例如:號碼為1000的分機的用戶(hù)名和密碼都為1000)。最恰當的方式是使用在線(xiàn)密碼生成器來(lái)隨機生成密碼(或者讓寵物/小孩直接在鍵盤(pán)上隨意敲出一個(gè)密碼)。使用密碼隨機生成器能夠減少通過(guò)暴力破解密碼來(lái)進(jìn)行攻擊的幾率。
某個(gè)交換機最常見(jiàn)方法之一是攻擊電話(huà)系統里的某個(gè)分機。攻擊者以某種方式取得交換機系統內某個(gè)分機的用戶(hù)名和密碼,然后開(kāi)始發(fā)送攻擊報文。這種攻擊最常見(jiàn)的根本原因是用戶(hù)設置了不安全的密碼。關(guān)于SIP用戶(hù)密碼,最突出的是用戶(hù)常常僅需輸入密碼一次,就是在設置用戶(hù)賬戶(hù)時(shí)輸入。使用你容易記住的密碼也不是最好的避開(kāi)攻擊的方式,特別是當密碼與與分機號碼或用戶(hù)名相同或相似的時(shí)候(例如:號碼為1000的分機的用戶(hù)名和密碼都為1000)。最恰當的方式是使用在線(xiàn)密碼生成器來(lái)隨機生成密碼(或者讓寵物/小孩直接在鍵盤(pán)上隨意敲出一個(gè)密碼)。使用密碼隨機生成器能夠減少通過(guò)暴力破解密碼來(lái)進(jìn)行攻擊的幾率。
總之,我們應當正視這些來(lái)自四面八方的公司并采取合理措施,這對企業(yè)通信尤為重要。傳統電話(huà)的壟斷時(shí)代即將過(guò)去,屬于全IP話(huà)通信時(shí)代已經(jīng)來(lái)臨。作為IP通信設備制造商,我們的技術(shù)重心已經(jīng)由滿(mǎn)足基本通信向構建更加安全高效的網(wǎng)絡(luò )發(fā)生轉移。
