VoIP安全漏洞分析及防護方法
2008/10/28
隨著(zhù)數據網(wǎng)絡(luò )寬寬的不斷擴展,百兆甚至千兆到桌面已經(jīng)成為可能。帶寬的提升也為在數據網(wǎng)絡(luò )上傳輸話(huà)音提供了有力的前提條件。同時(shí),VoIP技術(shù)也日趨成熟,類(lèi)似話(huà)音壓縮、Qos質(zhì)量保障之類(lèi)的話(huà)題被大家廣泛的討論并達成共識。可以說(shuō)VoIP技術(shù)已經(jīng)從原來(lái)的實(shí)驗性質(zhì)真正的專(zhuān)向為成熟的商業(yè)應用。
盡管VoIP在中國最早的應用還是在運營(yíng)商中做電路交換的補充,但現在已經(jīng)有很多企業(yè)用戶(hù)已經(jīng)開(kāi)始關(guān)注起VoIP這一應用。對于新興的小型辦公企業(yè),利用新建的數據網(wǎng)絡(luò )的充裕帶寬來(lái)承載語(yǔ)音,要比再建一套獨立的話(huà)音系統方便許多,功能上也具備了諸如移動(dòng)辦公等傳統話(huà)音交換機所不具備的功能。對于行業(yè)用戶(hù),因為有連接各個(gè)分支節點(diǎn)的數據網(wǎng)絡(luò ),利用IP中繼進(jìn)行總部和分支節點(diǎn)間的互聯(lián)可以省去租用長(cháng)途電路中繼的高昂費用。因此,VoIP技術(shù)在企業(yè)級用戶(hù)群體中將會(huì )有廣闊的應用。
但是,在實(shí)施項目或者在使用過(guò)程中,用戶(hù)和設備供應廠(chǎng)家更多的會(huì )將精力放在如何改善話(huà)音質(zhì)量和同現有數據網(wǎng)絡(luò )的融合上面,很少考慮到VoIP所存在的安全隱患。如同我們將重要的應用服務(wù)器都置于防火墻的保護之內一樣;其實(shí),在VoIP的情況下,話(huà)音也是和數據應用一樣,也成為了一個(gè)個(gè)的“Packet”,同樣也將承受各種病毒和黑客攻擊的困擾。難怪有人調侃說(shuō):“這是有史以來(lái)的第一次,電腦病毒能夠讓你的電話(huà)不能正常工作。”
究竟有那幾種因素會(huì )影響到VoIP呢?首先是產(chǎn)品本身的問(wèn)題。目前VoIP技術(shù)最常用的話(huà)音建立和控制信令是H.323和SIP協(xié)議。盡管它們之間有若干區別,但總體上都是一套開(kāi)放的協(xié)議體系。設備廠(chǎng)家都會(huì )有獨立的組件來(lái)承載包括IP終端登陸注冊、關(guān)守和信令接續。這些產(chǎn)品有的采用Windows NT的操作系統,也有的是基于Linux或VxWorks。越是開(kāi)放的操作系統,也就越容易受到病毒和惡意攻擊的影響。尤其是某些設備需要提供基于Web 的管理界面的時(shí)候,都會(huì )有機會(huì )采用Microsoft IIS或Apache來(lái)提供服務(wù),而這些應用都是在產(chǎn)品出廠(chǎng)的時(shí)候已經(jīng)安裝在設備當中,無(wú)法保證是最新版本或是承諾已經(jīng)彌補了某些安全漏洞。
其次是基于開(kāi)放端口的DoS(拒絕服務(wù))攻擊。從網(wǎng)絡(luò )攻擊的方法和產(chǎn)生的破壞效果來(lái)看,DoS算是一種既簡(jiǎn)單又有效的攻擊方式。攻擊者向服務(wù)器發(fā)送相當多數量的帶有虛假地址的服務(wù)請求,但因為所包含的回復地址是虛假的,服務(wù)器將等不到回傳的消息,直至所有的資源被耗盡。VoIP技術(shù)已經(jīng)有很多知名的端口,像1719、1720、5060等。還有一些端口是產(chǎn)品本身需要用于遠端管理或是私有信息傳遞的用途,總之是要比普通的某個(gè)簡(jiǎn)單的數據應用多。只要是攻擊者的PC和這些應用端口在同一網(wǎng)段,就可以通過(guò)簡(jiǎn)單的掃描工具,如X-Way之類(lèi)的共享軟件來(lái)獲得更詳細的信息。
最近報道的一個(gè)安全漏洞是由NISCC(UK National Infrastructure Security Co-ordi-nation Center)提出,測試結果表明:“市場(chǎng)上很多采用H.323協(xié)議的VoIP系統在H.245建立過(guò)程中都存在漏洞,容易在1720端口上受到DoS的攻擊,導致從而系統的不穩定甚至癱瘓”。
再次就是服務(wù)竊取,這個(gè)問(wèn)題在模擬話(huà)機的情況下同樣存在。如同我們在一根普通模擬話(huà)機線(xiàn)上又并接了多個(gè)電話(huà)一樣,將會(huì )出現電話(huà)盜打的問(wèn)題。盡管IP話(huà)機沒(méi)辦法通過(guò)并線(xiàn)的方式來(lái)打電話(huà),但通過(guò)竊取使用者IP電話(huà)的登陸密碼同樣能夠獲得話(huà)機的權限。通常在IP話(huà)機首次登陸到系統時(shí),會(huì )要求提示輸入各人的分機號碼和密碼;很多采用了VoIP的企業(yè)為了方便員工遠程/移動(dòng)辦公,都會(huì )在分配一個(gè)桌面電話(huà)的同時(shí),再分配一個(gè)虛擬的IP電話(huà),并授予密碼和撥號權限。
這樣,即使員工出差或是在家辦公情況下,都可以利用VPN方式接入到公司的局域網(wǎng)中,然后運行電腦中的IP軟件電話(huà)接聽(tīng)或撥打市話(huà),如同在公司里辦公一樣。當密碼流失之后,任何人都可以用自己的軟電話(huà)登陸成為別人的分機號碼;如果獲得的權限是可以自由撥打國內甚至國際長(cháng)途號碼,將會(huì )給企業(yè)帶來(lái)巨大的損失且很難追查。
最后是媒體流的偵聽(tīng)問(wèn)題。模擬話(huà)機存在并線(xiàn)竊聽(tīng)的問(wèn)題,當企業(yè)用戶(hù)使用了數字話(huà)機之后,由于都是廠(chǎng)家私有的協(xié)議,很難通過(guò)簡(jiǎn)單的手段來(lái)偵聽(tīng)。但VoIP環(huán)境下,這個(gè)問(wèn)題又被提了出來(lái)。一個(gè)典型的 VoIP呼叫需要信令和媒體流兩個(gè)建立的步驟,RTP/RTCP是在基于包的網(wǎng)絡(luò )上傳輸等時(shí)話(huà)音信息的協(xié)議。由于協(xié)議本身是開(kāi)放的,即使是一小段的媒體流都可以被重放出來(lái)而不需要前后信息的關(guān)聯(lián)。如果有人在數據網(wǎng)絡(luò )上通過(guò)Sniffer的方式記錄所有信息并通過(guò)軟件加以重放,會(huì )引起員工對話(huà)音通信的信任危機。
在這項技術(shù)研發(fā)伊始,開(kāi)發(fā)者期望它作為傳統長(cháng)途電話(huà)的一種廉價(jià)的替代方式,因此并未太多在意安全問(wèn)題;同時(shí),VoIP技術(shù)也是跟隨著(zhù)整個(gè)網(wǎng)絡(luò )市場(chǎng)的發(fā)展而發(fā)展,太多不同廠(chǎng)家和產(chǎn)品的同時(shí)存在導致一時(shí)無(wú)法提出一個(gè)統一的技術(shù)標準;VoIP的基礎還是IP網(wǎng)絡(luò ),開(kāi)放的體系構架不可避免受到了來(lái)自網(wǎng)絡(luò )的負面影響。最大限度地保障VoIP的安全主要的方法有以下幾種:
1.將用于話(huà)音和數據傳輸的網(wǎng)絡(luò )進(jìn)行隔離
這里所說(shuō)的隔離并不是指物理上的隔離,而是建議將所有的IP話(huà)機放到一個(gè)獨立的VLAN當中,同時(shí)限制無(wú)關(guān)的PC終端進(jìn)入該網(wǎng)段。通過(guò)很多評測者的反饋信息表明,劃分VLAN是目前保護IP話(huà)音系統最為簡(jiǎn)單有效的方法,可以隔離病毒和簡(jiǎn)單的攻擊。同時(shí),配合數據網(wǎng)絡(luò )的QoS設定,還將有助于提高話(huà)音質(zhì)量。
2.將VoIP作為一種應用程序來(lái)看待
這也意味著(zhù)我們需要采用一些適用于保護重要的應用服務(wù)器之類(lèi)的手段,來(lái)保護VoIP設備中一些重要的端口和應用,例如采用北電網(wǎng)絡(luò )Aleton交換防火墻就可以有效地抵御DoS的攻擊。同樣的辦法也適用于VoIP系統,當兩個(gè)IP終端進(jìn)行通話(huà)時(shí),一旦信令通過(guò)中心點(diǎn)的信令服務(wù)進(jìn)程建立之后,媒體流只存在于兩個(gè)終端之間;只有當IP終端上發(fā)起的呼叫需要透過(guò)網(wǎng)關(guān)進(jìn)入PSTN公網(wǎng)時(shí),才會(huì )占用媒體網(wǎng)關(guān)內的DSP處理器資源。所以,我們需要對信令和媒體流兩類(lèi)對外的地址和端口進(jìn)行保護。
同時(shí),盡可能少的保留所需要的端口,例如基于Web方式的管理地址,并且盡可能多的關(guān)閉不需要的服務(wù)進(jìn)程。需要提醒的是H.323/SIP在穿越NAT和防火墻的時(shí)候會(huì )遇到障礙,這是由于協(xié)議本身的原因造成的,但通過(guò)啟用“應用層網(wǎng)關(guān)”(Application Layer Ga-teway簡(jiǎn)稱(chēng)ALG)之后,就可以解決這個(gè)問(wèn)題;隨著(zhù)呼叫量的增長(cháng),可以采用外置媒體流代理服務(wù)器(RTP Media Portal)的辦法來(lái)支持更大規模的VoIP系統。
3.選擇合適的產(chǎn)品和解決方案
目前不同廠(chǎng)家的產(chǎn)品體系構架不盡相同,操作平臺也各有偏愛(ài)。我們無(wú)法斷言哪種操作系統最為安全可靠,但廠(chǎng)家需要有相應的技術(shù)保障來(lái)讓用戶(hù)相信各自的產(chǎn)品有能力抵御日益繁多的病毒侵襲。同時(shí),很多廠(chǎng)家的產(chǎn)品也采用了管理網(wǎng)段和用戶(hù)的IP話(huà)音網(wǎng)段在物理上隔離的機制,盡可能少的將端口暴露在外網(wǎng)上。北電網(wǎng)絡(luò )推出的Succession 1000/1000M就采用了這些設計思路,將管理網(wǎng)段和用戶(hù)網(wǎng)段徹底在物理上隔離,并采用VxWorks操作系統,盡可能多的屏蔽外界對系統的影響。此外,VoIP的安全問(wèn)題和數據網(wǎng)絡(luò )的安全本質(zhì)上是緊密相關(guān)的,需要廠(chǎng)家提供的不僅僅是一套設備,更多的是如何幫助用戶(hù)在現有的網(wǎng)絡(luò )上提高安全和可靠性的思路和一些技巧。
4.話(huà)音數據流的加密
目前H.323協(xié)議簇中有一成員-H.235(又稱(chēng)為H.Secure)是負責身份驗證、數據完整性和媒體流加密的。更實(shí)際的情況是廠(chǎng)家會(huì )選用各自私有的協(xié)議來(lái)保證VoIP的安全性。但即使沒(méi)有H.235或其他的手段,想要偷聽(tīng)一個(gè)IP電話(huà)呼叫仍要比偷聽(tīng)一個(gè)普通電話(huà)要困難的多,因為你需要編解碼器算法和相應的軟件。即使你獲得了軟件并且成功連接到公司的IP話(huà)音網(wǎng)段,仍然有可能一無(wú)所獲。因為目前很多企業(yè)內部的數據網(wǎng)絡(luò )都采用以太網(wǎng)交換機的10/100M端口到桌面而不是HUB,因而無(wú)法通過(guò)Sniffer的方式竊取信息。
5.合理制定員工撥號權限
很多廠(chǎng)家已經(jīng)將傳統交換機的豐富功能移植到了VoIP系統,這些功能將有效地抑制竊取登陸密碼進(jìn)行盜打的現象。給IP電話(huà)設定能否撥打長(cháng)途或特定號碼的權限,或者是通過(guò)授權碼的方式要求撥打長(cháng)途號碼前必須輸入正確的若干位密碼等方式,可以簡(jiǎn)單的解決上述問(wèn)題。
IP網(wǎng)絡(luò )所存在的安全問(wèn)題一直以來(lái)受到大家的關(guān)注。而作為數據網(wǎng)絡(luò )上的一種新興的應用,VoIP所面臨的一些安全隱患,實(shí)際是IP網(wǎng)絡(luò )上存在的若干問(wèn)題的延續。只有很好地解決了網(wǎng)絡(luò )的安全問(wèn)題,同時(shí)配合產(chǎn)品本身的一些安全認證機制,基于VoIP的應用才能夠在企業(yè)中持久穩定的發(fā)揮作用,并成為解決企業(yè)話(huà)音通信需求的有效方法。
ChinaByte(e.chinabyte.com)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
斗六市|
宜川县|
东乌|
扶余县|
蒲江县|
大方县|
胶南市|
横山县|
岱山县|
连云港市|
孝昌县|
福州市|
蒲江县|
广汉市|
永新县|
读书|
微博|
金川县|
铜川市|
罗田县|
观塘区|
高淳县|
米易县|
南安市|
环江|
安多县|
无为县|
青岛市|
肥西县|
汽车|
威远县|
凭祥市|
兖州市|
醴陵市|
龙岩市|
阳信县|
永春县|
甘南县|
青阳县|
山西省|
德令哈市|
http://444
http://444
http://444
http://444
http://444
http://444