您好,请 登录|
新闻中心 >行业资讯 >VoIP安全漏洞分析及防护方法
VoIP安全漏洞分析及防护方法
新闻来源:www.66call.com  关键词:  发布时间:2008-11-25

  随着数据网络宽宽的不断扩展,百兆甚至千兆到桌面已经成为可能。带宽的提升也为在数据网络上传输话音提供了有力的前提条件。同时,VoIP技术也日趋成熟,类似话音压缩、Qos质量保障之类的话题被大家广泛的讨论并达成共识。可以说VoIP技术已经从原来的实验性质真正的专向为成熟的商业应用。
  尽管VoIP在中国最早的应用还是在运营商中做电路交换的补充,但现在已经有很多企业用户已经开始关注起VoIP这一应用。对于新兴的小型办公企业,利用新建的数据网络的充裕带宽来承载语音,要比再建一套独立的话音系统方便许多,功能上也具备了诸如移动办公等传统话音交换机所不具备的功能。对于行业用户,因为有连接各个分支节点的数据网络,利用IP中继进行总部和分支节点间的互联可以省去租用长途电路中继的高昂费用。因此,VoIP技术在企业级用户群体中将会有广阔的应用。
  但是,在实施项目或者在使用过程中,用户和设备供应厂家更多的会将精力放在如何改善话音质量和同现有数据网络的融合上面,很少考虑到VoIP所存在的安全隐患。如同我们将重要的应用服务器都置于防火墙的保护之内一样;其实,在VoIP的情况下,话音也是和数据应用一样,也成为了一个个的“Packet”,同样也将承受各种病毒和黑客攻击的困扰。难怪有人调侃说:“这是有史以来的第一次,电脑病毒能够让你的电话不能正常工作。”
  究竟有那几种因素会影响到VoIP呢?首先是产品本身的问题。目前VoIP技术最常用的话音建立和控制信令是H.323和SIP协议。尽管它们之间有若干区别,但总体上都是一套开放的协议体系。设备厂家都会有独立的组件来承载包括IP终端登陆注册、关守和信令接续。这些产品有的采用Windows NT的操作系统,也有的是基于Linux或VxWorks。越是开放的操作系统,也就越容易受到病毒和恶意攻击的影响。尤其是某些设备需要提供基于Web 的管理界面的时候,都会有机会采用Microsoft IIS或Apache来提供服务,而这些应用都是在产品出厂的时候已经安装在设备当中,无法保证是最新版本或是承诺已经弥补了某些安全漏洞。
  其次是基于开放端口的DoS(拒绝服务)攻击。从网络攻击的方法和产生的破坏效果来看,DoS算是一种既简单又有效的攻击方式。攻击者向服务器发送相当多数量的带有虚假地址的服务请求,但因为所包含的回复地址是虚假的,服务器将等不到回传的消息,直至所有的资源被耗尽。VoIP技术已经有很多知名的端口,像1719、1720、5060等。还有一些端口是产品本身需要用于远端管理或是私有信息传递的用途,总之是要比普通的某个简单的数据应用多。只要是攻击者的PC和这些应用端口在同一网段,就可以通过简单的扫描工具,如X-Way之类的共享软件来获得更详细的信息。
  最近报道的一个安全漏洞是由NISCC(UK National Infrastructure Security Co-ordi-nation Center)提出,测试结果表明:“市场上很多采用H.323协议的VoIP系统在H.245建立过程中都存在漏洞,容易在1720端口上受到DoS的攻击,导致从而系统的不稳定甚至瘫痪”。
  再次就是服务窃取,这个问题在模拟话机的情况下同样存在。如同我们在一根普通模拟话机线上又并接了多个电话一样,将会出现电话盗打的问题。尽管IP话机没办法通过并线的方式来打电话,但通过窃取使用者IP电话的登陆密码同样能够获得话机的权限。通常在IP话机首次登陆到系统时,会要求提示输入各人的分机号码和密码;很多采用了VoIP的企业为了方便员工远程/移动办公,都会在分配一个桌面电话的同时,再分配一个虚拟的IP电话,并授予密码和拨号权限。
  这样,即使员工出差或是在家办公情况下,都可以利用VPN方式接入到公司的局域网中,然后运行电脑中的IP软件电话接听或拨打市话,如同在公司里办公一样。当密码流失之后,任何人都可以用自己的软电话登陆成为别人的分机号码;如果获得的权限是可以自由拨打国内甚至国际长途号码,将会给企业带来巨大的损失且很难追查。
  最后是媒体流的侦听问题。模拟话机存在并线窃听的问题,当企业用户使用了数字话机之后,由于都是厂家私有的协议,很难通过简单的手段来侦听。但VoIP环境下,这个问题又被提了出来。一个典型的 VoIP呼叫需要信令和媒体流两个建立的步骤,RTP/RTCP是在基于包的网络上传输等时话音信息的协议。由于协议本身是开放的,即使是一小段的媒体流都可以被重放出来而不需要前后信息的关联。如果有人在数据网络上通过Sniffer的方式记录所有信息并通过软件加以重放,会引起员工对话音通信的信任危机。
  在这项技术研发伊始,开发者期望它作为传统长途电话的一种廉价的替代方式,因此并未太多在意安全问题;同时,VoIP技术也是跟随着整个网络市场的发展而发展,太多不同厂家和产品的同时存在导致一时无法提出一个统一的技术标准;VoIP的基础还是IP网络,开放的体系构架不可避免受到了来自网络的负面影响。最大限度地保障VoIP的安全主要的方法有以下几种:
  1.将用于话音和数据传输的网络进行隔离
  这里所说的隔离并不是指物理上的隔离,而是建议将所有的IP话机放到一个独立的VLAN当中,同时限制无关的PC终端进入该网段。通过很多评测者的反馈信息表明,划分VLAN是目前保护IP话音系统最为简单有效的方法,可以隔离病毒和简单的攻击。同时,配合数据网络的QoS设定,还将有助于提高话音质量。
  2.将VoIP作为一种应用程序来看待
  这也意味着我们需要采用一些适用于保护重要的应用服务器之类的手段,来保护VoIP设备中一些重要的端口和应用,例如采用北电网络Aleton交换防火墙就可以有效地抵御DoS的攻击。同样的办法也适用于VoIP系统,当两个IP终端进行通话时,一旦信令通过中心点的信令服务进程建立之后,媒体流只存在于两个终端之间;只有当IP终端上发起的呼叫需要透过网关进入PSTN公网时,才会占用媒体网关内的DSP处理器资源。所以,我们需要对信令和媒体流两类对外的地址和端口进行保护。
  同时,尽可能少的保留所需要的端口,例如基于Web方式的管理地址,并且尽可能多的关闭不需要的服务进程。需要提醒的是H.323/SIP在穿越NAT和防火墙的时候会遇到障碍,这是由于协议本身的原因造成的,但通过启用“应用层网关”(Application Layer Ga-teway简称ALG)之后,就可以解决这个问题;随着呼叫量的增长,可以采用外置媒体流代理服务器(RTP Media Portal)的办法来支持更大规模的VoIP系统。
  3.选择合适的产品和解决方案
  目前不同厂家的产品体系构架不尽相同,操作平台也各有偏爱。我们无法断言哪种操作系统最为安全可靠,但厂家需要有相应的技术保障来让用户相信各自的产品有能力抵御日益繁多的病毒侵袭。同时,很多厂家的产品也采用了管理网段和用户的IP话音网段在物理上隔离的机制,尽可能少的将端口暴露在外网上。北电网络推出的Succession 1000/1000M就采用了这些设计思路,将管理网段和用户网段彻底在物理上隔离,并采用VxWorks操作系统,尽可能多的屏蔽外界对系统的影响。此外,VoIP的安全问题和数据网络的安全本质上是紧密相关的,需要厂家提供的不仅仅是一套设备,更多的是如何帮助用户在现有的网络上提高安全和可靠性的思路和一些技巧。
  4.话音数据流的加密
  目前H.323协议簇中有一成员-H.235(又称为H.Secure)是负责身份验证、数据完整性和媒体流加密的。更实际的情况是厂家会选用各自私有的协议来保证VoIP的安全性。但即使没有H.235或其他的手段,想要偷听一个IP电话呼叫仍要比偷听一个普通电话要困难的多,因为你需要编解码器算法和相应的软件。即使你获得了软件并且成功连接到公司的IP话音网段,仍然有可能一无所获。因为目前很多企业内部的数据网络都采用以太网交换机的10/100M端口到桌面而不是HUB,因而无法通过Sniffer的方式窃取信息。
  5.合理制定员工拨号权限
  很多厂家已经将传统交换机的丰富功能移植到了VoIP系统,这些功能将有效地抑制窃取登陆密码进行盗打的现象。给IP电话设定能否拨打长途或特定号码的权限,或者是通过授权码的方式要求拨打长途号码前必须输入正确的若干位密码等方式,可以简单的解决上述问题。
  IP网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用,VoIP所面临的一些安全隐患,实际是IP网络上存在的若干问题的延续。只有很好地解决了网络的安全问题,同时配合产品本身的一些安全认证机制,基于VoIP的应用才能够在企业中持久稳定的发挥作用,并成为解决企业话音通信需求的有效方法。

\r\n

(转自互联网)