網(wǎng)管心得:VoIP滲透現狀以及威脅消除三部曲
叫和哥 2008/06/06
黑客通過(guò)VoIP滲透來(lái)竊取、私用企業(yè)的VoIP電話(huà),造成了VoIP的不安全性。開(kāi)放性的架構所帶來(lái)的靈活性讓VoIP能夠滲透到企業(yè)的整個(gè)管理流程中去,提高通信效能,提高生產(chǎn)效率,這是IP技術(shù)的核心優(yōu)勢所在。所有影響數據網(wǎng)絡(luò )的攻擊都可能會(huì )影響到VoIP網(wǎng)絡(luò ),如病毒、垃圾郵件、非法侵入、DoS、劫持電話(huà)、偷聽(tīng)、數據嗅探等。
前段時(shí)間,圣地亞哥黑客會(huì )議局的兩個(gè)安全專(zhuān)家通過(guò)Cisco VoIPdia進(jìn)入了他們所在酒店的內部公共網(wǎng)絡(luò )系統。兩名黑客說(shuō),他們通過(guò)Wired.com網(wǎng)站的一篇博客進(jìn)入到了這家酒店的財務(wù)系統和內部公共網(wǎng)絡(luò )系統,并且獲取下了酒店內部的通話(huà)記錄。這兩名黑客使用了由一種名叫VoIP Hopper提供的滲透測試模式,VoIP Hopper將模擬Cisco數據包,每三分鐘發(fā)送一次信息,然后轉換成為新的以太網(wǎng)界面,通過(guò)博客地址,用計算機代替酒店的電話(huà)系統切入到網(wǎng)絡(luò )中去,以此來(lái)運轉VoIP。可見(jiàn)VoIP是件危險的事情,從某種角度講對網(wǎng)絡(luò )產(chǎn)生了一定的安全威脅。
VoIP滲透現狀
VoIP在IP網(wǎng)絡(luò )上運行。意味著(zhù),它與WEB和電子郵件等其它IP應用一樣,有著(zhù)同樣的威脅和漏洞等安全問(wèn)題。這些威脅和漏洞包括所有IP網(wǎng)絡(luò )層面的威脅。每天很疲憊地應對這些威脅;以及人們使用標準的網(wǎng)絡(luò )安全技術(shù)和良好的網(wǎng)絡(luò )設計來(lái)應對未知威脅。網(wǎng)絡(luò )的安全性根本技術(shù)問(wèn)題(技術(shù)問(wèn)題遲早會(huì )通過(guò)技術(shù)解決),但我們并沒(méi)有因為經(jīng)常存在黑客、病毒的侵襲而不發(fā)展網(wǎng)絡(luò ),同理,我們也不能因為有了安全性問(wèn)題而不發(fā)展網(wǎng)絡(luò )電話(huà),否則就是本末倒置、因噎廢食的愚蠢做法;最后,對網(wǎng)絡(luò )電話(huà)安全問(wèn)題考慮得比較多的是大型企業(yè),因為這些企業(yè)擔心機密外泄而拒絕使用網(wǎng)絡(luò )電話(huà)。
與VoIP相關(guān)的網(wǎng)絡(luò )技術(shù)協(xié)議很多,常見(jiàn)的有控制實(shí)時(shí)數據流應用在IP網(wǎng)絡(luò )傳輸的實(shí)時(shí)傳輸協(xié)議和實(shí)時(shí)傳輸控制協(xié)議;有保證網(wǎng)絡(luò )QoS質(zhì)量服務(wù)的資源預留協(xié)議和IP different Service等,還有傳統語(yǔ)音數字化編碼的一系列協(xié)議如G.711、G.728、G.723、G.729等等。但目前VoIP技術(shù)最常用的話(huà)音建立和控制信令是H.323和會(huì )話(huà)初始協(xié)議(STP)。SIP協(xié)議是IETF定義多媒體數據和控制體系結構中的重要組成部分。同時(shí),由于SIP只負責提供會(huì )話(huà)連接和會(huì )話(huà)管理,而與應用無(wú)關(guān),因此SIP可以被用于多個(gè)領(lǐng)域。即使是協(xié)議本身也有潛在的安全問(wèn)題:H.323和SIP總體上都是一套開(kāi)放的協(xié)議體系。
在一系列的通話(huà)過(guò)程方面,各設備廠(chǎng)家都有獨立的組件來(lái)承載。越是開(kāi)放的操作系統,其產(chǎn)品應用過(guò)程就越容易受到病毒和惡意攻擊的影響。而這些應用都是在產(chǎn)品出廠(chǎng)時(shí)就已經(jīng)安裝在設備當中的,無(wú)法保證是最新版本或是承諾已經(jīng)彌補了某些安全漏洞。同時(shí),最為一種新興發(fā)展技術(shù)的傳輸協(xié)議,SIP并不完善,它采用類(lèi)似于FTP、電子郵件或者HTTP服務(wù)器的形式來(lái)發(fā)起用戶(hù)之間的連接。利用這種連接技術(shù),黑客們同樣會(huì )對VOIP進(jìn)行攻擊。如果網(wǎng)關(guān)被黑客攻破,IP電話(huà)不用經(jīng)過(guò)認證就可隨意撥打,未經(jīng)保護的語(yǔ)音通話(huà)有可能遭到攔截和竊聽(tīng),而且可以被隨時(shí)截斷。黑客利用重定向攻擊可以把語(yǔ)音郵件地址替換成自己指定的特定IP地址,為自己打開(kāi)秘密通道和后門(mén)。黑客們可以騙過(guò)SIP和IP地址的限制而竊取到整個(gè)談話(huà)過(guò)程。
如果VoIP的基礎設施不能得到有效保護,它就能夠被輕易地攻擊,存儲的談話(huà)內容就會(huì )被竊聽(tīng)。與傳統的電話(huà)設備相比,用于傳輸VoIP的網(wǎng)絡(luò )━━路由器、服務(wù)器,甚至是交換機,都更容易受到攻擊。而傳統電話(huà)使用的PBX,它是穩定和安全的。應該從以下三個(gè)方面著(zhù)手:
第一部曲:限制所有的VoIP數據只能傳輸到一個(gè)VLAN上,確保網(wǎng)關(guān)的安全
對語(yǔ)音和數據分別劃分VLAN,這樣有助于按照優(yōu)先次序來(lái)處理語(yǔ)音和數據。劃分VLAN也有助于防御費用欺詐、DoS攻擊、竊聽(tīng)、劫持通信等。VLAN的劃分使用戶(hù)的計算機形成了一個(gè)有效的封閉的圈子,它不允許任何其它計算機訪(fǎng)問(wèn)其設備,從而也就避免了電腦的攻擊,VoIP網(wǎng)絡(luò )也就相當安全;即使受到攻擊,也會(huì )將損失降到最低。要配置網(wǎng)關(guān),使那些只有經(jīng)過(guò)允許的用戶(hù)才可以打出或接收VoIP電話(huà),列示那些經(jīng)過(guò)鑒別和核準的用戶(hù),這可以確保其它人不能占線(xiàn)打免費電話(huà)。通過(guò)SPI防火墻、應用層網(wǎng)關(guān)、網(wǎng)絡(luò )地址轉換工具、SIP對VoIP軟客戶(hù)端的支持等的組合,來(lái)保護網(wǎng)關(guān)和位于其后的局域網(wǎng)。
第二部曲:及時(shí)更新VoIP安全漏洞,增加訪(fǎng)問(wèn)控制列表
VoIP網(wǎng)絡(luò )的安全性,既依賴(lài)于底層的操作系統又依賴(lài)于運行其上的應用軟件。保持操作系統及VoIP應用軟件補丁及時(shí)更新對于防御惡意程序或傳染性程序代碼是非常重要的。對于目前存在的VoIP安全漏洞及時(shí)更新,通過(guò)端口管理,進(jìn)行適當增加訪(fǎng)問(wèn)控制列表。
第三部曲:根據某種標準限制訪(fǎng)問(wèn),避免遠程管理,保障VoIP平臺的安全
通過(guò)準備一個(gè)被允許呼叫的目的地列表,來(lái)防止網(wǎng)絡(luò )被濫用于長(cháng)途電話(huà)、“釣魚(yú)”欺詐和非法電話(huà)。網(wǎng)絡(luò )管理員可以建立嚴格的準入標準,防止用戶(hù)訪(fǎng)問(wèn)具有潛在危險的設備,當這些設備被發(fā)現感染了病毒或蠕蟲(chóng)時(shí),或沒(méi)有打上最新的補丁,或沒(méi)有安裝適當的防火墻,都使系統潛藏著(zhù)危險。這些設備可以被定向到完全不同的網(wǎng)絡(luò ),并將危險傳入到要害網(wǎng)絡(luò )。如果可能,最好避免使用遠程管理和審計,但若是需要的話(huà),使用SSH或IPsec來(lái)保證安全中國體育彩票股票股票腫瘤粉碎機四川地震汶川地震奧運 。隧道和傳輸加密是兩種不同的加密模式,都支持IP層的數據包交換。使用IPsec傳輸加密只對數據進(jìn)行加密,并隱藏源IP地址和目標IP地址。禁用那些非必要的服務(wù),并使用基于主機的檢測方法。 保障VoIP網(wǎng)絡(luò )的安全是一項艱巨的任務(wù),特別是考慮到缺少適當的標準和程序的情況下。一個(gè)網(wǎng)絡(luò )安全性依賴(lài)于硬件和軟件的正確選擇。
賽迪網(wǎng)中國信息化(industry.ccidnet.com)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
昂仁县|
昆山市|
湟中县|
旌德县|
岚皋县|
宜黄县|
迭部县|
疏勒县|
屯门区|
江孜县|
江北区|
营山县|
明水县|
岑巩县|
凉城县|
灯塔市|
神池县|
曲阳县|
玉龙|
平武县|
耒阳市|
利津县|
尼勒克县|
镇康县|
江安县|
乌拉特前旗|
东山县|
乌鲁木齐市|
屯门区|
苏尼特右旗|
蓝田县|
五寨县|
平和县|
巴里|
高邑县|
西乌珠穆沁旗|
汉中市|
尖扎县|
长丰县|
英德市|
大同市|
http://444
http://444
http://444
http://444
http://444
http://444