網(wǎng)管心得:VoIP滲透現(xiàn)狀以及威脅消除三部曲
叫和哥 2008/06/06
黑客通過VoIP滲透來竊取�、私用企業(yè)的VoIP電話����,造成了VoIP的不安全性。開放性的架構(gòu)所帶來的靈活性讓VoIP能夠滲透到企業(yè)的整個管理流程中去,提高通信效能,提高生產(chǎn)效率,這是IP技術(shù)的核心優(yōu)勢所在���。所有影響數(shù)據(jù)網(wǎng)絡(luò)的攻擊都可能會影響到VoIP網(wǎng)絡(luò),如病毒��、垃圾郵件�、非法侵入����、DoS、劫持電話��、偷聽���、數(shù)據(jù)嗅探等����。
前段時間,圣地亞哥黑客會議局的兩個安全專家通過Cisco VoIPdia進入了他們所在酒店的內(nèi)部公共網(wǎng)絡(luò)系統(tǒng)�����。兩名黑客說�����,他們通過Wired.com網(wǎng)站的一篇博客進入到了這家酒店的財務(wù)系統(tǒng)和內(nèi)部公共網(wǎng)絡(luò)系統(tǒng)���,并且獲取下了酒店內(nèi)部的通話記錄���。這兩名黑客使用了由一種名叫VoIP Hopper提供的滲透測試模式��,VoIP Hopper將模擬Cisco數(shù)據(jù)包�����,每三分鐘發(fā)送一次信息��,然后轉(zhuǎn)換成為新的以太網(wǎng)界面�,通過博客地址,用計算機代替酒店的電話系統(tǒng)切入到網(wǎng)絡(luò)中去����,以此來運轉(zhuǎn)VoIP������?梢奦oIP是件危險的事情�,從某種角度講對網(wǎng)絡(luò)產(chǎn)生了一定的安全威脅。
VoIP滲透現(xiàn)狀
VoIP在IP網(wǎng)絡(luò)上運行�����。意味著����,它與WEB和電子郵件等其它IP應(yīng)用一樣,有著同樣的威脅和漏洞等安全問題�����。這些威脅和漏洞包括所有IP網(wǎng)絡(luò)層面的威脅����。每天很疲憊地應(yīng)對這些威脅;以及人們使用標準的網(wǎng)絡(luò)安全技術(shù)和良好的網(wǎng)絡(luò)設(shè)計來應(yīng)對未知威脅。網(wǎng)絡(luò)的安全性根本技術(shù)問題(技術(shù)問題遲早會通過技術(shù)解決)��,但我們并沒有因為經(jīng)常存在黑客、病毒的侵襲而不發(fā)展網(wǎng)絡(luò)���,同理�����,我們也不能因為有了安全性問題而不發(fā)展網(wǎng)絡(luò)電話�����,否則就是本末倒置����、因噎廢食的愚蠢做法;最后��,對網(wǎng)絡(luò)電話安全問題考慮得比較多的是大型企業(yè)�����,因為這些企業(yè)擔心機密外泄而拒絕使用網(wǎng)絡(luò)電話�。
與VoIP相關(guān)的網(wǎng)絡(luò)技術(shù)協(xié)議很多�,常見的有控制實時數(shù)據(jù)流應(yīng)用在IP網(wǎng)絡(luò)傳輸?shù)膶崟r傳輸協(xié)議和實時傳輸控制協(xié)議;有保證網(wǎng)絡(luò)QoS質(zhì)量服務(wù)的資源預(yù)留協(xié)議和IP different Service等,還有傳統(tǒng)語音數(shù)字化編碼的一系列協(xié)議如G.711���、G.728�、G.723、G.729等等����。但目前VoIP技術(shù)最常用的話音建立和控制信令是H.323和會話初始協(xié)議(STP)。SIP協(xié)議是IETF定義多媒體數(shù)據(jù)和控制體系結(jié)構(gòu)中的重要組成部分�����。同時�,由于SIP只負責提供會話連接和會話管理,而與應(yīng)用無關(guān)���,因此SIP可以被用于多個領(lǐng)域��。即使是協(xié)議本身也有潛在的安全問題:H.323和SIP總體上都是一套開放的協(xié)議體系�。
在一系列的通話過程方面����,各設(shè)備廠家都有獨立的組件來承載。越是開放的操作系統(tǒng)���,其產(chǎn)品應(yīng)用過程就越容易受到病毒和惡意攻擊的影響����。而這些應(yīng)用都是在產(chǎn)品出廠時就已經(jīng)安裝在設(shè)備當中的,無法保證是最新版本或是承諾已經(jīng)彌補了某些安全漏洞�����。同時��,最為一種新興發(fā)展技術(shù)的傳輸協(xié)議����,SIP并不完善,它采用類似于FTP�、電子郵件或者HTTP服務(wù)器的形式來發(fā)起用戶之間的連接。利用這種連接技術(shù)���,黑客們同樣會對VOIP進行攻擊����。如果網(wǎng)關(guān)被黑客攻破��,IP電話不用經(jīng)過認證就可隨意撥打����,未經(jīng)保護的語音通話有可能遭到攔截和竊聽,而且可以被隨時截斷�。黑客利用重定向攻擊可以把語音郵件地址替換成自己指定的特定IP地址,為自己打開秘密通道和后門��。黑客們可以騙過SIP和IP地址的限制而竊取到整個談話過程�����。
如果VoIP的基礎(chǔ)設(shè)施不能得到有效保護����,它就能夠被輕易地攻擊,存儲的談話內(nèi)容就會被竊聽���。與傳統(tǒng)的電話設(shè)備相比�,用于傳輸VoIP的網(wǎng)絡(luò)━━路由器�、服務(wù)器,甚至是交換機��,都更容易受到攻擊�����。而傳統(tǒng)電話使用的PBX,它是穩(wěn)定和安全的����。應(yīng)該從以下三個方面著手:
第一部曲:限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋VLAN上,確保網(wǎng)關(guān)的安全
對語音和數(shù)據(jù)分別劃分VLAN����,這樣有助于按照優(yōu)先次序來處理語音和數(shù)據(jù)。劃分VLAN也有助于防御費用欺詐�����、DoS攻擊��、竊聽���、劫持通信等�。VLAN的劃分使用戶的計算機形成了一個有效的封閉的圈子��,它不允許任何其它計算機訪問其設(shè)備�,從而也就避免了電腦的攻擊,VoIP網(wǎng)絡(luò)也就相當安全;即使受到攻擊��,也會將損失降到最低����。要配置網(wǎng)關(guān),使那些只有經(jīng)過允許的用戶才可以打出或接收VoIP電話����,列示那些經(jīng)過鑒別和核準的用戶,這可以確保其它人不能占線打免費電話�����。通過SPI防火墻����、應(yīng)用層網(wǎng)關(guān)、網(wǎng)絡(luò)地址轉(zhuǎn)換工具��、SIP對VoIP軟客戶端的支持等的組合���,來保護網(wǎng)關(guān)和位于其后的局域網(wǎng)����。
第二部曲:及時更新VoIP安全漏洞���,增加訪問控制列表
VoIP網(wǎng)絡(luò)的安全性�����,既依賴于底層的操作系統(tǒng)又依賴于運行其上的應(yīng)用軟件����。保持操作系統(tǒng)及VoIP應(yīng)用軟件補丁及時更新對于防御惡意程序或傳染性程序代碼是非常重要的。對于目前存在的VoIP安全漏洞及時更新�����,通過端口管理�����,進行適當增加訪問控制列表�。
第三部曲:根據(jù)某種標準限制訪問,避免遠程管理�����,保障VoIP平臺的安全
通過準備一個被允許呼叫的目的地列表����,來防止網(wǎng)絡(luò)被濫用于長途電話、“釣魚”欺詐和非法電話�����。網(wǎng)絡(luò)管理員可以建立嚴格的準入標準,防止用戶訪問具有潛在危險的設(shè)備�����,當這些設(shè)備被發(fā)現(xiàn)感染了病毒或蠕蟲時����,或沒有打上最新的補丁����,或沒有安裝適當?shù)姆阑饓Γ际瓜到y(tǒng)潛藏著危險���。這些設(shè)備可以被定向到完全不同的網(wǎng)絡(luò)����,并將危險傳入到要害網(wǎng)絡(luò)���。如果可能���,最好避免使用遠程管理和審計���,但若是需要的話,使用SSH或IPsec來保證安全中國體育彩票股票股票腫瘤粉碎機四川地震汶川地震奧運 �。隧道和傳輸加密是兩種不同的加密模式,都支持IP層的數(shù)據(jù)包交換���。使用IPsec傳輸加密只對數(shù)據(jù)進行加密��,并隱藏源IP地址和目標IP地址����。禁用那些非必要的服務(wù)�,并使用基于主機的檢測方法。 保障VoIP網(wǎng)絡(luò)的安全是一項艱巨的任務(wù)���,特別是考慮到缺少適當?shù)臉藴屎统绦虻那闆r下�����。一個網(wǎng)絡(luò)安全性依賴于硬件和軟件的正確選擇�����。
賽迪網(wǎng)中國信息化(industry.ccidnet.com)
相關(guān)鏈接: