VoIP協定安全——無法忽略之痛

目前，VoIP面臨的安全議題主要有四：阻斷式服務(DoS)攻擊、非法存取、話費詐欺或竊聽等威脅。 而VoIP的協定安全卻是無法忽略之痛。 資訊安全專家會這樣警告你，如果對VoIP部署不當，互聯網電話會受到駭客和惡意程式碼的攻擊。 VoIP可能破壞網路的安全措施，對於商業網路而言，VoIP的威脅尤其大，因為企業會急於部署這一技術而忽視了安全。 仔細分析可以看到，VoIP首先要面對的安全問題是最底層的危害。 其自身的軟硬體設施。 因為目前大部分VoIP設備基於標準作業系統，傳輸協議也屬於開放技術，所以有相當高的可能受到攻擊者的襲擊。 而且在大部分情況下，VoIP設施需要提供遠端系統管理能力，其所依賴的服務和軟體也同樣可能存在安全性漏洞。 具體看一看VoIP的傳輸協議。 與VoIP相關的網路技術協定很多，常見的有控制即時資料流應用在IP網路傳輸的RTP(即時傳輸協議)和RTCP(即時傳輸控制協定)；有保證網路QoS品質服務的RSVP(資源保留通訊協定)和IP different Service等 ，還有傳統語音數位化編碼的一系列協定如G.711、G.728、G.723、G.729等等。 但目前VoIP技術最常用的話音建立和控制信令是H.323和SIP(會話初始協定)。 其中，SIP協定是IETF定義多媒體資料和控制體系結構中的重要組成部分。 同時，由於SIP只負責提供會話連接和會話管理，而與應用無關，因此SIP可以被用於多個領域。 如今，市場上已隨處可見SIP IP 電話、群組視訊會議系統、專為服務提供者提供的音訊會議媒體伺服器，以及可同時相容H.323和SIP的音視訊會議多點控制單元。 目前，SIP正給會議市場帶來最廣泛的互聯互通。 然而，即使是協定本身也有潛在的安全問題： H.323和SIP總體上都是一套開放的協定體系。 在一系列的通話過程方面，各設備廠家都有獨立的元件來承載。 這些產品有的採用Windows NT作業系統，也有基於Linux的。 而越是開放的作業系統，其產品應用過程就越容易受到病毒和惡意攻擊的影響。 而這些應用都是在產品出廠時就已經安裝在設備當中的，無法保證是最新版本或是承諾已經彌補了某些安全性漏洞。 同時，最為一種新興發展技術的傳輸協議，SIP並不完善，它採用類似于FTP、電子郵件或者HTTP伺服器的形式來發起使用者之間的連接。 利用這種連接技術，駭客們同樣會對VOIP進行攻擊。 兩年前，國家計算機網路應急技術處理協調中心(CERT)曾報告了SIP協定棧中的一個缺陷。 利用該缺陷，攻擊者將有機會獲得非法存取權限，發起DoS攻擊，造成系統不穩等問題。 顯然，這個缺陷與SIP設備互相發送的、用來初始化VoIP呼叫、文本聊天或視頻等話路的「邀請」信有關。 從原理上說，利用漏洞可以發起各種類型的攻擊。 比如一旦閘道被駭客攻破，IP電話不用經過認證就可隨意撥打，未經保護的語音通話有可能遭到攔截和竊聽，而且可以被隨時截斷。 駭客利用重定向攻擊可以把語音信箱位址替換成自己指定的特定IP位址，為自己打開秘密通道和後門。 而最典型的是，駭客們可以騙過SIP和IP位址的限制而竊取到整個談話過程。 因此，並不完善的協定會導致嚴重的後果：如果有人通過SIP漏洞冒充你的代理人與你通話，他就可以輕易的獲取你的各種資料(其中當然包括銀行卡號和密碼)，那麼，當電話掛斷時，你辛辛苦苦賺來的積蓄將被洗劫一空。 另外，一個駭客也可以很容易地在您的SIP伺服器中提交超量的假服務請求，這樣伺服器即不能接也不能聽電話，造成服務拒絕現象。 協定上的問題遠遠不止這些。 在網路上截取SIP的協定，很容易獲得RTP的埠和路由，然後通過特定模式很輕鬆地就可以實現竊聽。 通過網卡的混雜模式，駭客們可以很容易就可以實現截獲局域網中所有POP3的協定。 包括口令，都是很輕鬆的就能截取。 另外，VoIP的實現依賴于TCP/IP協定棧的運行，所以TCP/IP協定面臨的所有安全問題我們都無法回避。 一些常見而麻煩的病毒問題也註定要對VoIP應用環境造成困擾。 因此，對於VoIP設備自身，應該比普通的電腦設備更加注重常見資訊安全原則的實現，例如只提供必要的服務，關閉和遮罩無用的埠；停止使用不必要的協定。 沒有必要啟用不必要和未用過的協定和服務，以免為駭客提供更多的機會。 忽視這些原則將造成非常嚴重的安全危害。 原因顯而易見：如果VoIP的基礎設施不能得到有效保護，它就能夠被輕易地攻擊，存儲的談話內容就會被竊聽。 與傳統的電話設備相比，用於傳輸VoIP的網路━━路由器、伺服器，甚至是交換器，都更容易受到攻擊。 而傳統電話使用的PBX，它是穩定和安全的。 傳統電話的壟斷時代即將過去，屬於VoIP的時代正在來臨。 這都迫使VoIP服務提供者們重新審視他們的技術重心。 值得欣慰的是，目前的一些傳輸協議日趨完善，而且各公司已經開始意識到協定安全的重要性了。 （責任編輯：zhaohb） 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：VoIP協定安全——無法忽略之痛 返回網路安全首頁