首頁(yè)>>>技術(shù)>>>VoIP

VoIP脆弱的一面

2007/11/26

  VoIP網(wǎng)絡(luò )有多脆弱,是否易受攻擊和網(wǎng)絡(luò )故障的影響?這些問(wèn)題廠(chǎng)商是不會(huì )在銷(xiāo)售的時(shí)候告訴你的,但卻會(huì )在應用中一個(gè)不少地呈現在你的面前。

  在實(shí)際的應用中,VoIP在帶給人們應用方便性和網(wǎng)絡(luò )配置靈活性的同時(shí),也具有其在安全和穩定性上表現出的脆弱的一面。美國的一些技術(shù)人員對此進(jìn)行了全面的研究,并列舉出了以下14個(gè)安全漏洞,這些安全漏洞被認為是VoIP應用可能面臨的最大威脅:
  1. 不充分的數據檢驗:由于缺乏數據檢驗,加之客戶(hù)端沒(méi)有區分各種加密認證機制,在VoIP實(shí)現中,這種現象使中間人攻擊有了可乘之機。


  2. 執行漏洞:標準數據庫一般被用作VoIP服務(wù)和注冊的中樞。VoIP現實(shí)必須以偏執狂般的態(tài)度過(guò)濾那些來(lái)自用戶(hù)所提供數據(如用戶(hù)名、口令)的SQL查詢(xún)和會(huì )話(huà)發(fā)起協(xié)議(SIP)URL等活動(dòng)內容。


  3. 串/矩陣/指針處理漏洞:具有預期之外結構和內容的畸形數據包可以存在于包括SIP、H.323、SDP、MGCP、RTP和SRTP在內的任何協(xié)議消息中。最典型的畸形消息包括緩沖區溢出攻擊和其他邊界值條件。其結果是攻擊者提供的輸入被寫(xiě)入,覆蓋其他內部?jì)却嬷兴涗浀膬热荩缱员砗椭羔槪瑥亩构粽呖梢酝耆刂拼嗳醯倪M(jìn)程。


  4. 缺少資源: 尤其在嵌入式設備中,VoIP可以使用的資源會(huì )非常少。低內存和處理能力會(huì )使攻擊者很容易關(guān)閉嵌入式設備中的服務(wù)。


  5. 低帶寬: 服務(wù)必須被構建為即使在每個(gè)呼叫者在同一時(shí)刻并發(fā)電話(huà)呼叫時(shí)仍可以承受負載規模。當某個(gè)VoIP服務(wù)的用戶(hù)數量較少時(shí),這并不是個(gè)大問(wèn)題,但是,當某個(gè)服務(wù)被有意用成千上萬(wàn)臺僵尸客戶(hù)機發(fā)出的呼叫所淹沒(méi),或出現導致合法用戶(hù)巨大負載的攻擊事件時(shí),其結果可能是關(guān)閉整個(gè)服務(wù)。


  6. 文件/資源處理漏洞:這類(lèi)漏洞是典型的實(shí)現錯誤,即:使用導致安全問(wèn)題的不安全的編程結構造成的編程錯誤。這類(lèi)漏洞包括不安全的訪(fǎng)問(wèn)文件。


  7. 口令管理:VoIP消費者擁有的唯一標識符是電話(huà)號碼或SIP URL以及服務(wù)的口令。口令被保存在客戶(hù)機和服務(wù)器中。如果口令以可逆的格式保存在服務(wù)器上,任何可以訪(fǎng)問(wèn)這臺服務(wù)器(或代理服務(wù)器或注冊服務(wù)器)都可以收集用戶(hù)名以及與之對應的口令。


  8. 權限和特權:資源必須從操作系統和平臺角度以及從網(wǎng)絡(luò )角度加以保護。運行在平臺上的VoIP服務(wù)必須考慮他們運行時(shí)使用的特權。VoIP服務(wù)不一定需要管理特權或“根”特權才能運行。


  9. 密碼和隨機性:在VoIP信令中,保密數據必須得到保護,以防止竊聽(tīng)攻擊。這一類(lèi)型中最常見(jiàn)的安全漏洞是,既使有加密機制可供使用,用戶(hù)也未能完全加密。


  10. 認證和證書(shū)錯誤:用戶(hù)和設備必須得到認證。設備中還存在其他需要用戶(hù)認證的服務(wù),如設備管理。SIP中的注冊劫持是一種注冊系統不認證用戶(hù)或設備,而使攻擊者可以嗅探注冊消息并把自己注冊為合法用戶(hù)的漏洞。


  11. 錯誤處理:SIP中的一個(gè)錯誤處理例證是如何處理不正確的注冊。一個(gè)具有無(wú)效電話(huà)碼的注冊服務(wù)器消息會(huì )導致錯誤代碼,而由有效的電話(huà)號碼導致的錯誤將使攻擊者可以縮小攻擊范圍來(lái)嘗試只對有效賬戶(hù)進(jìn)行暴力攻擊,或收集有效賬戶(hù)來(lái)發(fā)送Internet電話(huà)垃圾郵件(SPIT)。


  12. 同類(lèi)(Homogeneous)網(wǎng)絡(luò ):許多網(wǎng)絡(luò )基礎設施中存在的一個(gè)預料之外的漏洞是對有限數量的廠(chǎng)商品牌和設備種類(lèi)的廣泛依賴(lài)性。如果整個(gè)網(wǎng)絡(luò )依靠一種特定品牌的電話(huà)、代理服務(wù)器或防火墻,病毒或蠕蟲(chóng)發(fā)起的自動(dòng)攻擊會(huì )關(guān)閉整個(gè)網(wǎng)絡(luò )。


  13. 缺少后備(fallback)系統:當VoIP網(wǎng)絡(luò )最終癱瘓時(shí),必須有用戶(hù)可以依靠的備份系統。這要求小心地規劃基礎設施。


  14. 物理連接質(zhì)量和包沖突: 如果數據基礎設施中存在數據包丟失現象, 用戶(hù)可能還沒(méi)有做好使用VoIP的準備。網(wǎng)絡(luò )延時(shí)和抖動(dòng)應當減少到最低程度。
  當引入VoIP時(shí),通信中的所有瓶頸都將立即暴露出來(lái),即使這些瓶頸在使用傳統數據通信時(shí)并不明顯。

《網(wǎng)絡(luò )世界》周報


相關(guān)鏈接:
利用一套以簡(jiǎn)易為核心的通訊系統來(lái)推進(jìn)您的業(yè)務(wù) 2007-11-23
UC下一步是智能通信 2007-11-23
企業(yè)實(shí)施統一通信(UC)最佳五步驟 2007-11-21
TDM阻擋不住向VoIP與融合網(wǎng)絡(luò )轉移 2007-11-21
新興運營(yíng)商運營(yíng)指南之局端概念篇—IP PBX 2007-11-20

分類(lèi)信息:        
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 巴东县| 海兴县| 延寿县| 甘泉县| 云梦县| 齐齐哈尔市| 沧源| 油尖旺区| 巴青县| 东城区| 炉霍县| 长岭县| 金阳县| 贵南县| 天镇县| 晋江市| 沙洋县| 中西区| 盐源县| 宝兴县| 资兴市| 湄潭县| 曲阜市| 盐边县| 阳西县| 获嘉县| 无极县| 巨鹿县| 乌恰县| 东山县| 盐津县| 徐闻县| 托克逊县| 惠水县| 嘉善县| 忻州市| 武城县| 镇原县| 积石山| 双辽市| 海门市| http://444 http://444 http://444 http://444 http://444 http://444