VoIP的安全性漏洞和防護

隨著資料網路頻寬的不斷擴展，百兆甚至千兆到桌面已經成為可能。 頻寬的提升也為在資料網路上傳輸話音提供了有力的前提條件。 同時，VoIP技術也日趨成熟，類似話音壓縮、Qos品質保障之類的話題被大家廣泛的討論並達成共識。 可以說VoIP技術已經從原來的實驗性質真正的專向為成熟的商業應用。 隨著資料網路頻寬的不斷擴展，百兆甚至千兆到桌面已經成為可能。 頻寬的提升也為在資料網路上傳輸話音提供了有力的前提條件。 同時，VoIP技術也日趨成熟，類似話音壓縮、Qos品質保障之類的話題被大家廣泛的討論並達成共識。 可以說VoIP技術已經從原來的實驗性質真正的專向為成熟的商業應用。 儘管VoIP在中國最早的應用還是在運營商中做電路交換的補充，但現在已經有很多企業使用者已經開始關注起VoIP這一應用。 對於新興的小型辦公企業，利用新建的資料網路的充裕頻寬來承載語音，要比再建一套獨立的話音系統方便許多，功能上也具備了諸如移動辦公等傳統話音交換器所不具備的功能。 對於行業使用者，因為有連接各個分支節點的資料網路，利用IP中繼進行總部和分支節點間的互聯可以省去租用長途電路中繼的高昂費用。 因此，VoIP技術在企業級使用者群體中將會有廣闊的應用。 但是，在實施專案或者在使用過程中，使用者和設備供應廠家更多的會將精力放在如何改善話音品質和同現有資料網路的融合上面，很少考慮到VoIP所存在的安全隱患。 如同我們將重要的應用伺服器都置於防火牆的保護之內一樣；其實，在VoIP的情況下，話音也是和資料應用一樣，也成為了一個個的「Packet」，同樣也將承受各種病毒和駭客攻擊的困擾。 難怪有人調侃說：「這是有史以來的第一次，電腦病毒能夠讓你的電話不能正常工作。 」究竟有那幾種因素會影響到VoIP呢？ 首先是產品本身的問題。 目前VoIP技術最常用的話音建立和控制信令是H.323和SIP協定。 儘管它們之間有若干區別，但總體上都是一套開放的協定體系。 設備廠家都會有獨立的元件來承載包括IP終端登陸註冊、關守和信令接續。 這些產品有的採用Windows NT的作業系統，也有的是基於Linux或VxWorks。 越是開放的作業系統，也就越容易受到病毒和惡意攻擊的影響。 尤其是某些設備需要提供基於Web的管理介面的時候，都會有機會採用Microsoft IIS或Apache來提供服務，而這些應用都是在產品出廠的時候已經安裝在設備當中，無法保證是最新版本或是承諾已經彌補了某些安全性漏洞。 其次是基於開放埠的DoS(拒絕服務)攻擊。 從網路攻擊的方法和產生的破壞效果來看，DoS算是一種既簡單又有效的攻擊方式。 攻擊者向伺服器發送相當多數量的帶有虛假位址的服務請求，但因為所包含的回復位址是虛假的，伺服器將等不到回傳的消息，直至所有的資源被耗盡。 VoIP技術已經有很多知名的埠，像1719、1720、5060等。 還有一些埠是產品本身需要用於遠端管理或是私有資訊傳遞的用途，總之是要比普通的某個簡單的資料應用多。 只要是攻擊者的PC和這些應用埠在同一網段，就可以通過簡單的掃描工具，如X-Way之類的共用軟體來獲得更詳細的資訊。 最近報導的一個安全性漏洞是由NISCC(UK National Infrastructure Security Co-ordi-nation Center)提出，測試結果表明：「 市場上很多採用H.323協定的VoIP系統在H.245建立過程中都存在漏洞，容易在1720埠上受到DoS的攻擊，導致從而系統的不穩定甚至癱瘓」。 再次就是服務竊取，這個問題在類比話機的情況下同樣存在。 如同我們在一根普通類比話機線上又並接了多個電話一樣，將會出現電話盜打的問題。 儘管IP話機沒辦法通過並線的方式來打電話，但通過竊取消費者IP電話的登陸密碼同樣能夠獲得話機的許可權。 通常在IP話機首次登陸到系統時，會要求提示輸入各人的分機號碼和密碼；很多採用了VoIP的企業為了方便員工遠端/移動辦公，都會在分配一個桌面電話的同時，再分配一個虛擬的IP電話，並授予密碼和撥號許可權。 這樣，即使員工出差或是在家辦公情況下，都可以利用VPN方式接入到公司的局域網中，然後運行電腦中的IP軟體電話接聽或撥打市話，如同在公司裡辦公一樣。 當密碼流失之後，任何人都可以用自己的軟電話登陸成為別人的分機號碼；如果獲得的許可權是可以自由撥打國內甚至國際長途號碼，將會給企業帶來巨大的損失且很難追查。 最後是媒體流的偵聽問題。 類比話機存在並線竊聽的問題，當企業使用者使用了數位話機之後，由於都是廠家私有的協定，很難通過簡單的手段來偵聽。 但VoIP環境下，這個問題又被提了出來。 一個典型的VoIP呼叫需要信令和媒體流兩個建立的步驟，RTP/RTCP是在基於包的網路上傳輸等時話音資訊的協定。 由於協定本身是開放的，即使是一小段的媒體流都可以被重放出來而不需要前後資訊的關聯。 如果有人在資料網路上通過Sniffer的方式記錄所有資訊並通過軟體加以重放，會引起員工對話音通信的信任危機。 在這項技術研發伊始，開發者期望它作為傳統長途電話的一種廉價的替代方式，因此並未太多在意安全問題；同時，VoIP技術也是跟隨著整個網路市場的發展而發展，太多不同廠家和產品的同時存在導致一時無法提出一個統一的技術標準 ；VoIP的基礎還是IP網路，開放的體系構架不可避免受到了來自網路的負面影響。 最大限度地保障VoIP的安全主要的方法有以下幾種：1.將用於話音和資料傳輸的網路進行隔離這裡所說的隔離並不是指物理上的隔離，而是建議將所有的IP話機放到一個獨立的VLAN當中，同時限制無關的PC終端進入該網段。 通過很多評測者的回饋資訊表明，劃分VLAN是目前保護IP話音系統最為簡單有效的方法，可以隔離病毒和簡單的攻擊。 同時，配合資料網路的QoS設定，還將有助於提高話音品質。 2.將VoIP作為一種應用程式來看待這也意味著我們需要採用一些適用于保護重要的應用伺服器之類的手段，來保護VoIP設備中一些重要的埠和應用，例如採用北電網絡Aleton交換防火牆就可以有效地抵禦DoS的攻擊。 同樣的辦法也適用于VoIP系統，當兩個IP終端進行通話時，一旦信令通過中心點的信令服務進程建立之後，媒體流只存在於兩個終端之間；只有當IP終端上發起的呼叫需要透過閘道進入PSTN公網時， 才會佔用媒體閘道內的DSP處理器資源。 所以，我們需要對信令和媒體流兩類對外的位址和埠進行保護。 同時，盡可能少的保留所需要的埠，例如基於Web方式的管理位址，並且盡可能多的關閉不需要的服務進程。 需要提醒的是H.323/SIP在穿越NAT和防火牆的時候會遇到障礙，這是由於協定本身的原因造成的，但通過啟用「應用層閘道」(Application Layer Ga-teway簡稱ALG)之後，就可以解決這個問題 ；隨著呼叫量的增長，可以採用外置媒體流代理伺服器(RTP Media Portal)的辦法來支援更大規模的VoIP系統。 3.選擇合適的產品和解決方案目前不同廠家的產品體系構架不盡相同，操作平臺也各有偏愛。 我們無法斷言哪種作業系統最為安全可靠，但廠家需要有相應的技術保證來讓使用者相信各自的產品有能力抵禦日益繁多的病毒侵襲。 同時，很多廠家的產品也採用了管理網段和使用者的IP話音網段在物理上隔離的機制，盡可能少的將埠暴露在外網上。 北電網絡推出的Succession 1000/1000M就採用了這些設計思路，將管理網段和使用者網段徹底在物理上隔離，並採用VxWorks作業系統，盡可能多的遮罩外界對系統的影響。 此外，VoIP的安全問題和資料網路的安全本質上是緊密相關的，需要廠家提供的不僅僅是一套設備，更多的是如何説明使用者在現有的網路上提高安全和可靠性的思路和一些技巧。 4.話音資料流程的加密目前H.323協定簇中有一成員-H.235(又稱為H.Secure)是負責身份驗證、資料完整性和媒體流加密的。 更實際的情況是廠家會選用各自私有的協定來保證VoIP的安全性。 但即使沒有H.235或其他的手段，想要偷聽一個IP撥打電話仍要比偷聽一個普通電話要困難的多，因為你需要編解碼器演算法和相應的軟體。 即使你獲得了軟體並且成功連接到公司的IP話音網段，仍然有可能一無所獲。 因為目前很多企業內部的資料網路都採用乙太網交換器的10/100M埠到桌面而不是HUB，因而無法通過Sniffer的方式竊取資訊。 5.合理制定員工撥號許可權很多廠家已經將傳統交換器的豐富功能移植到了VoIP系統，這些功能將有效地抑制竊取登陸密碼進行盜打的現象。 給IP電話設定能否撥打長途或特定號碼的許可權，或者是通過授權碼的方式要求撥打長途號碼前必須輸入正確的若干位密碼等方式，可以簡單的解決上述問題。 IP網路所存在的安全問題一直以來受到大家的關注。 而作為資料網路上的一種新興的應用，VoIP所面臨的一些安全隱患，實際是IP網路上存在的若干問題的延續。 只有很好地解決了網路的安全問題，同時配合產品本身的一些安全認證機制，基於VoIP的應用才能夠在企業中持久穩定的發揮作用，並成為解決企業話音通信需求的有效方法。 （責任編輯：zhaohb） 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：VoIP的安全性漏洞和防護 返回網路安全首頁