日本久久久_“突破”IP電話(huà)網(wǎng)絡(luò )_

“突破”IP電話(huà)網(wǎng)絡(luò )

2004/08/20

　　IP電話(huà)網(wǎng)絡(luò )能防黑客嗎？最近，美國《網(wǎng)絡(luò )世界》對這個(gè)問(wèn)題進(jìn)行了有史以來(lái)第一次公開(kāi)測試，結果是肯定的。同時(shí)，測試活動(dòng)也說(shuō)明:能否防黑客在很大程度上取決于你用的是哪個(gè)廠(chǎng)商的IP PBX，而且更重要的是，取決于你是否愿意為了防黑客在網(wǎng)絡(luò )安全規劃、網(wǎng)絡(luò )和人力資源以及額外的安全設備方面投入金錢(qián)和時(shí)間。

　　思科和Avaya兩家公司的產(chǎn)品參加了這次橫向評測。在測試中，美國《網(wǎng)絡(luò )世界》制訂了一項計劃，以評估各廠(chǎng)商的IP電話(huà)產(chǎn)品在對抗堅定的惡意攻擊者時(shí)的實(shí)際安全度。按照測試的基本原則，給4人攻擊小組設定了一些限制。例如，只能用黑客工具及可在Internet上獲得的攻擊手段; 攻擊必須通過(guò)最終用戶(hù)數據端口或IP電話(huà)連接發(fā)起，就像黑客進(jìn)入了辦公室中的標準小隔間一樣；攻擊者不能拆開(kāi)廠(chǎng)商的IP電話(huà)系統進(jìn)行仔細研究；等等。

　　攻擊的目標是破壞電話(huà)通信。攻擊小組通過(guò)數據和IP電話(huà)連接，用掃描工具和其他技巧來(lái)了解他們能對系統拓撲做什么。攻擊小組預先不知道廠(chǎng)商的任何配置信息。這些“黑客”在找到一些“目標”后，就有系統地發(fā)起多次攻擊，有時(shí)同時(shí)攻擊多個(gè)目標。

　　因為受到基本原則和測試時(shí)間的限制，所以需要說(shuō)明的是：對這些產(chǎn)品發(fā)起的攻擊不像在實(shí)際情況中可能遇到的攻擊那么嚴重。6位安全專(zhuān)家對此表示，這些攻擊屬于中等強度。

思科：“無(wú)法被破壞”的系統

　　思科的方案配置為:一個(gè)基于中檔CallManager的系統，具有呼叫控制、話(huà)音郵件和網(wǎng)關(guān)；基于Catalyst 4500和Catalyst 6500的第二層/第三層基礎設施；大量入侵檢測系統（IDS）和PIX防火墻安全附加軟件。

　　測試結果表明，采用了復雜攻擊手段的攻擊小組無(wú)法破壞思科公司的VoIP網(wǎng)絡(luò )，甚至無(wú)法對其造成顯著(zhù)的干擾。這套精心制造的IP電話(huà)系統(包括第二層和第三層基礎設施以及各式各樣的附加安全軟件)是“安全的”（參見(jiàn)表中所示的VoIP安全評價(jià)標準），它最大限度地全面發(fā)揮了思科公司的網(wǎng)絡(luò )安全專(zhuān)長(cháng)，利用了思科公司擁有的每一種防御武器。

　　與大多數用戶(hù)目前使用的系統相比，本次測試的思科拓撲方案的確具有更安全的選項和更嚴格的安全設置，不過(guò)所有可選產(chǎn)品目前都收費提供。

特別的CallManager

　　4.0版CallManager處理呼叫控制軟件，是思科公司IP電話(huà)解決方案的核心，其中包括一些有關(guān)安全的新功能，主要的是該公司第一個(gè)VoIP加密功能。這次，只有思科公司較新的7970 IP電話(huà)機支持話(huà)音流（實(shí)時(shí)傳輸協(xié)議，Real-time Transfer Protocol，簡(jiǎn)稱(chēng)RTP）加密。據思科公司透露，最新的CallManager除了運行在Windows 2000操作系統上，還有新的增強功能。對本次的測試而言，這意味著(zhù)關(guān)閉了一些開(kāi)放端口以及禁用了一些不必要的服務(wù)。

　　在所測試的各個(gè)Catalyst IOS版本中包含了一些令人印象深刻的網(wǎng)絡(luò )自防御功能，如把IOS 12.2（17b）sxa放在核心Catalyst 6500上，把IOS 12.1(20)ew放在接入Catalyst 4500上。這些功能在阻止攻擊方面，比思科拓撲中任何其他組件貢獻都大，因為它們是第一線(xiàn)防御措施，其中包括：流量策略和承諾接入速率、第二層端口安全性、第二層動(dòng)態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，簡(jiǎn)稱(chēng)DHCP）監聽(tīng)、動(dòng)態(tài)地址解析協(xié)議（Dynamic Address Resolution Protocol ，簡(jiǎn)稱(chēng)ARP）檢查、IP源保護（IP Source Guard）以及虛擬LAN（VLAN）訪(fǎng)問(wèn)控制列表。

　　Cisco安全代理（Cisco Security Agent，簡(jiǎn)稱(chēng)CSA）是一個(gè)基于主機的防入侵系統（IPS），現在是CallManager IP電話(huà)服務(wù)器中的安全組件的組成部分。它還用在思科的Unity話(huà)音郵件服務(wù)器和所有在思科的網(wǎng)絡(luò )拓撲中使用的其他Windows 2000服務(wù)器上（總共7個(gè)CSA代理）。CSA代理自動(dòng)運行，無(wú)需值守，在服務(wù)器上提供一些強大的安全措施，包括：

緩沖器溢出保護，保護服務(wù)器協(xié)議棧免受包括變形數據包在內的各種攻擊;

防止網(wǎng)絡(luò )蠕蟲(chóng)和特洛伊木馬（未測試）;

防止未經(jīng)授權的應用運行;

防止同步洪水式攻擊，這是一系列針對服務(wù)器TCP處理的DoS攻擊;

端口掃描檢測，這是所有黑客用來(lái)根據服務(wù)器對具體服務(wù)的響應以及端口數確定脆弱點(diǎn)的方法。

兩個(gè)“小小擔心”

　　經(jīng)過(guò)3天的攻擊后，攻擊小組未能發(fā)現對電話(huà)通信有可察覺(jué)到的破壞。對所測試的思科系統，僅有兩個(gè)小小的擔心。

　　首先，我們的“黑客”很容易在IP電話(huà)機連接中插入一個(gè)無(wú)源探頭。從這個(gè)有利地點(diǎn)，他們可以觀(guān)察和收集全部信息流細節，包括協(xié)議、地址，甚至可以捕獲RTP。不過(guò)，進(jìn)出Cisco 7970電話(huà)的VoIP信息流可以是128位加密的。本次活動(dòng)的“黑客”小組也承認，它不太可能解密這些信息流。

　　第二點(diǎn)，通過(guò)插入的探頭收集網(wǎng)絡(luò )信息后，“黑客”們就可以插入他們自己的計算機，獲得對話(huà)音VLAN的訪(fǎng)問(wèn)并向VLAN上的其他設備發(fā)送信息流。不過(guò)，他們無(wú)法假冒一個(gè)IP電話(huà)或用欺騙手法進(jìn)行IP電話(huà)呼叫。由于所有其他控制手段的存在，他們無(wú)法進(jìn)一步利用該系統。

　　有一個(gè)按照思科說(shuō)明配置的防火墻，在任何方向都不傳輸信息流，這也許是安全的，但是卻不很實(shí)用。還有一個(gè)易受攻擊的服務(wù)，被錯誤地留在一個(gè)節點(diǎn)上運行。雖然這些問(wèn)題都被迅速解決了，但也說(shuō)明，即使制訂得最好的安全性計劃，也可能因為不恰當或不正確的設置而受到影響甚至損害。

Avaya：兩種配置評價(jià)不同

　　Avaya提供了兩種配置: 一種是沒(méi)有周邊產(chǎn)品、開(kāi)箱即用的Avaya IP電話(huà)實(shí)施方案，這種設備沒(méi)有額外收費的安全選項；另一種是最高安全性配置，VoIP設備相同，但是有附加防火墻和Extreme網(wǎng)絡(luò )公司的第二層/第三層基礎設施交換機。安全方面的弱點(diǎn)使基本的Avaya配置獲得了不好不壞的評價(jià); 而加強的產(chǎn)品組合綜合評價(jià)為“有抵抗力的”（參見(jiàn)表中所示的VoIP安全評價(jià)標準）。

方案一：雖有安全機制，卻難免受到攻擊

　　Avaya公司為參與安全評估提交的第一個(gè)方案根本沒(méi)有第三層網(wǎng)絡(luò )基礎設施，所有IP通信都通過(guò)一個(gè)扁平的交換式第二層網(wǎng)絡(luò )，這個(gè)網(wǎng)絡(luò )分成兩個(gè)相互隔離的VLAN，一個(gè)用于話(huà)音，另一個(gè)用于數據；沒(méi)有使用防火墻。盡管如此，它確實(shí)具有各種各樣固有的安全機制。例如：

呼叫控制，以一套冗余的S8700媒體服務(wù)器形式出現，把呼叫控制連接到專(zhuān)用LAN，專(zhuān)用LAN把媒體服務(wù)器與生產(chǎn)網(wǎng)絡(luò )隔離開(kāi)。這些服務(wù)器僅連接到專(zhuān)用IP系統接口模塊，運行G650媒體網(wǎng)關(guān)中的第5版軟件。

話(huà)音郵件通過(guò)模擬主干連接，Avaya稱(chēng)，當IP網(wǎng)絡(luò )有問(wèn)題或有來(lái)自IP網(wǎng)絡(luò )的安全威脅時(shí)，這是一個(gè)有利條件。

遠程診斷和測試沒(méi)有通過(guò)Internet連接，Avaya為其設置了一個(gè)安全調制解調器連接。但是，盡管這一定會(huì )避免基于IP的攻擊，卻幾乎不能代表數據連網(wǎng)或安全性的最新水平。

系統軟件上載過(guò)程有兩個(gè)步驟：管理員把新軟件下載到膝上型機，然后從膝上型機把軟件上載到呼叫控制系統。

　　不過(guò)，Avaya的呼叫控制信息沒(méi)有加密，用于IP電話(huà)驗證的口令也不是很強壯。而Avaya Cajun P333交換機確實(shí)具有一些安全功能。

　　攻擊小組成功突破和監視思科系統的兩種主要技巧在A(yíng)vaya環(huán)境中同樣很奏效。“黑客”們可以很容易地在IP電話(huà)連接中插入一個(gè)無(wú)源探頭，觀(guān)察和收集全部信息流細節。進(jìn)出Avaya 4620 IP電話(huà)的VoIP流也進(jìn)行了加密。“黑客”們還能把他們自己的計算機插入系統，訪(fǎng)問(wèn)話(huà)音VLAN，與VLAN上的其他設備聯(lián)系，但是不能假冒IP電話(huà)或用欺騙手法進(jìn)行IP電話(huà)呼叫。

　　攻擊小組發(fā)現了一些可以用來(lái)破壞話(huà)音通信的嚴重弱點(diǎn)。比如，連續幾分鐘向一個(gè)IP電話(huà)發(fā)送特殊類(lèi)型的高速信息流后，該電話(huà)在很多情況下會(huì )重新啟動(dòng)。這種重新啟動(dòng)使得電話(huà)易于受到第二步攻擊——傳遞少量的特殊信息包，這使該電話(huà)陷于禁用狀態(tài)達20分鐘。另外，Avaya IP電話(huà)后部的交換機數據端口利用所附的VLAN標簽接受和傳遞用戶(hù)信息流，使黑客更容易搞破壞。

方案二：“抵抗力”大大增加

　　Avaya正式表示，關(guān)于VoIP基礎設施之下的第二層和第三層設備，其IP電話(huà)系統是交換機不可知的。因此在第二個(gè)方案的測試中，用Extreme公司的第二層/第三層交換機取代了第一輪測試中使用的Avaya Cajun P333交換機（Extreme是Avaya的合作伙伴）。從結構上看，增加的第三層IP路由和其他主要的配置變化防止了第一輪測試中所用的攻擊。

在這個(gè)方案中，使安全性得到增強的一些變化包括：

Summit交換機的IP信息流速率限制防止任何TCP、UDP或廣播信息流速率超過(guò)1Mbps。

每個(gè)IP電話(huà)端口都建立了單獨的VLAN。

Avaya稱(chēng)為“正移交換（Shuffling）”的過(guò)程被禁用。

　　Extreme Alpine可以限制它傳遞給已知的IP電話(huà)MAC地址的信息量。這意味著(zhù)，黑客必須假冒合法IP電話(huà)的MAC地址來(lái)通過(guò)Alpine發(fā)送信息流。這也正是我們的攻擊小組所采用的方法。我們的攻擊小組設計的無(wú)源監視電纜可以捕獲所有使用中的網(wǎng)絡(luò )地址，在這一配置增強的Avaya系統中也一樣。

　　SG208防火墻配置成僅讓特定端口的信息流進(jìn)出呼叫控制設備。只有在狹窄的特定UDP端口范圍內的信息流才允許傳遞到媒體處理模塊，只有與Avaya基于H.323的呼叫控制信令有關(guān)的端口和協(xié)議才傳遞到CLAN模塊。“黑客”們沒(méi)用多少時(shí)間就用簡(jiǎn)單的技巧推斷出哪個(gè)端口是開(kāi)放的。根據他們的監視結果，呼叫處理是H.323。這意味著(zhù)某些端口一定處于使用中，用偽造的真實(shí)電話(huà)IP身份，他們能夠與呼叫控制基礎設施聯(lián)系并得到響應。

　　在第一輪測試中成功攻擊了其他IP電話(huà)的方法對這次的配置不再起作用了。但是攻擊小組找到了另一個(gè)脆弱點(diǎn)。通過(guò)用特定協(xié)議和端口向呼叫控制設備發(fā)布一個(gè)非常小的信息包，可以阻止IP電話(huà)注冊。在通常情況下，這只會(huì )影響很少量的電話(huà)，因為IP電話(huà)只在第一次插入時(shí)才注冊。

　　因此，除非一個(gè)電話(huà)移動(dòng)或斷開(kāi)連接，它通常不需要重新注冊。另外，只要把很小量的信息流持續發(fā)送到呼叫控制器，也可能阻止電話(huà)注冊。Avaya表示，要消除這一脆弱點(diǎn)，呼叫控制軟件需要增加一個(gè)修補軟件，該公司承諾要解決這個(gè)問(wèn)題。

VoIP安全性測試的基本原則

　　為了對所有廠(chǎng)商的產(chǎn)品進(jìn)行一致的測試，要在測試之前，用這些基本原則設定一個(gè)公平的評測環(huán)境。

　　1. 廠(chǎng)商完全控制IP電話(huà)環(huán)境及其下的網(wǎng)絡(luò )基礎設施，采用哪些產(chǎn)品以及每個(gè)產(chǎn)品如何配置，完全由廠(chǎng)商決定。

　　2. 模擬的是僅用于局域網(wǎng)的中檔VoIP環(huán)境（校園或大樓），不會(huì )通過(guò)遠程分布式場(chǎng)所之間的WAN傳輸VoIP信息流。

　　3. 安全設置不能限制IP電話(huà)和第二層/第三層數據連網(wǎng)功能，包括從PSTN進(jìn)出的普通IP電話(huà)呼叫。

　　4. 配置完成后，廠(chǎng)商不能主動(dòng)操縱或重新配置其網(wǎng)絡(luò )。但是它們可以繼續被動(dòng)地監視安全警報/報警日志。

　　5. 所有攻擊都將從以下這些特定攻擊點(diǎn)發(fā)出：

　　a. 通過(guò)辦公室隔間中的數據LAN端口，攻擊者可以合法進(jìn)入這些端口（例如有效MAC地址）。

　　b. 通過(guò)辦公室隔間IP電話(huà)，攻擊者有這些IP電話(huà)的使用權，包括電話(huà)機后面用于臺式機或膝上型機的“數據交換機端口”，其典型的代表是“內部人攻擊”方案。

　　6. 所有攻擊都將使用或基于可在Internet上公開(kāi)獲得的工具或攻擊手段。不能使用新程序或其他獨特或定制的攻擊手段。

　　7. 攻擊者不能獲得、分解并仔細研究廠(chǎng)商的IP電話(huà)系統硬件。

整體評價(jià)

　　本次測試結果反映了保證網(wǎng)絡(luò )安全的一個(gè)原則：有效的安全性必須涉及網(wǎng)絡(luò )的所有層。思科在第二層和第三層（Catalyst交換機）、第四層和第五層（防火墻和IPS）、第六層（RTP話(huà)音流加密，不過(guò)仍然僅限于某些電話(huà)）以及第七層（用基于服務(wù)器的軟件，如CSA）采用了有效的措施。

　　Avaya的第一次配置只有有限的第二層防御措施，除了第六層，在第三層及其上的防御措施很少。值得贊揚的是，Avaya的所有電話(huà)上確實(shí)都有很好的RTP加密（第六層）支持。Avaya增強的最高安全性配置更有效地保證了第三層、第四層和第六層的安全，但仍然有一些漏洞。

　　VoIP安全問(wèn)題是由IP電話(huà)的普及和增長(cháng)催生的，這是一個(gè)至關(guān)重要的問(wèn)題。我們也希望其他IP電話(huà)系統廠(chǎng)商參加到保證VoIP安全的戰斗中來(lái)。

計算機世界網(wǎng)(www.ccw.com.cn)
分類(lèi)信息: 文摘
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩松阳县| 哈尔滨市| 渝中区| 鸡泽县| 聂拉木县| 淮滨县| 雷山县| 隆尧县| 梅州市| 乌恰县| 双鸭山市| 嘉定区| 峡江县| 和平县| 星子县| 永修县| 丰镇市| 阿拉善左旗| 石景山区| 伊金霍洛旗| 孝感市| 晋江市| 海兴县| 四子王旗| 岑巩县| 九江市| 眉山市| 永和县| 新田县| 枣强县| 安溪县| 宜都市| 罗甸县| 扎囊县| 兴隆县| 芦溪县| 获嘉县| 获嘉县| 新余市| 平湖市| 齐齐哈尔市| http://444 http://444 http://444 http://444 http://444 http://444