VoIP安全很重要
||2004-06-23
p>
p>
用IP技术传送语音,其安全问题也相对复杂
既要关心时下正在困扰IP网络的病毒和黑客攻击
同时传统电话通信中的盗打和窃听问题依然存在
红红火火的VoIP发展浪潮之中,用户和厂商考虑最多的是如何改善话音质量以及如何同现有数据网络的融合,很少考虑到VoIP的安全。有人不以为然地认为,“不就是在网络上打电话吗,安全问题有那么重要吗”。推敲一下,这个论点是站不住脚的。
防病毒与防攻击
既然VoIP设备是一种网络设备,那么这个设备的操作系统的安全情况将直接影响到整个VoIP系统的安全。由于VoIP使用通用的操作系统,并与普通的计算机一样,连接到局域网甚至是广域网上,IP PBX的安全性自然受到了更多的关注。并且,所有的IP PBX都使用IP堆栈,这使系统容易出现服务拒绝或被黑客侵袭的问题。很多IP PBX中还包括了在ISS(与 Windows NT Server集成的Web服务器)和Apache Web服务器平台上的基于网络的用户-管理员工具或图形工具,而这两种平台本身就因为安全漏洞和故障问题而经常要修修补补。
目前VoIP技术采用的协议是, H.323和SIP协议,尽管它们之间有若干区别,但都是开放的协议体系,起到话音建立和控制信令的重要作用。厂商提供的VoIP设备,无论是IP PBX还是VoIP关守等设备,实现这些协议的平台或者采用Windows 2000操作系统,或者采用Linux系统,这两种操作系统都是开放的操作系统,有着不同的漏洞和补丁需要完善,但是这些设备又不像一般的单个计算机或者服务器那样可以直接人为或者从Internet上下载新的补丁。VoIP的设备一般都放置在机房内独立运行,不需要人为干预。但是这些设备出厂的时候,如果没有打上最新的补丁,就需要网络管理维护部门不断跟踪最新的安全信息或者和设备厂商保持联系,通过更新软件的方式为这些骨干设备升级操作系统,避免遭到黑客的袭击。因为在网络上的黑客看来,VoIP设备对于它来说也就是一台运行Windows或Linux的计算机,如果没有安全补丁,那么一些在网络流行的最新漏洞攻击工具就可以让VoIP立即成了哑巴。
Cicso的高级技术分析专家透露,由于没有及时防范最新病毒,他们的一个演示系统的Call Manager去年感染了尼姆达病毒。这台Cisco IP PBX运行在目的驱动的基于Intel和Windows的服务器,当时只用于内部IT部门的测试。这次事故尽管没有给公司运营带来影响,但却给公司敲响了警钟。从此以后,Cisco不但定期对这个系统进行维护,而且不断对其进行更新和监控。这个系统已加入运营,至今仍在正常工作。
另外的一个安全问题就是要设置好防火墙,预防拒绝服务攻击(DoS)。攻击者向服务器发送相当多数量的带有虚假地址的服务请求,但因为所包含的回复地址是虚假的,服务器将等不到回传的消息,直至所有的资源被耗尽。VoIP技术已经有很多知名的端口,像1719、1720、5060等。还有一些端口是产品本身需要用于远端管理或是私有信息传递的用途,总之是要比普通的某个简单的数据应用多。有些管理员在设置防火墙的时候,为了图简便,把所有的端口都打开了,以防无意中封掉有用的端口影响VoIP通信。这样就把整个设备暴露在网络上,不用的那些端口很容易遭到拒绝服务攻击。
防盗打
防止IP电话被盗打是VoIP时代的一个新问题,在以前的传统电话中,需要预防搭线这样的盗打方式。虽然IP话机没办法通过搭线的方式来打电话,但通过窃取使用者IP电话的登录密码同样能够获得话机的权限。通常在IP话机首次登录到系统时,会要求提示输入各人的分机号码和密码;当密码流失之后,任何人都可以用自己的软电话登录成为别人的分机号码。要避免IP电话被盗打,就需要保护好自己的用户名和密码。这个要求是和用户保护好自己其他的账户是一样的,在客户端需要防止木马以及其他一些盗号病毒的入侵。对于企业来说,最后是能把账号(也就是虚拟电话号码)和IP地址甚至MAC地址作一个绑定,使得即使账号被窃,也不能在其它地方拨出电话。
如今大多数VoIP厂商采用的SIP协议,在呼叫设置过程中可传输两种重要的信息,即被叫方电话号码和验证信息(如SIP用户名和密码)。多数VoIP厂商都假设SIP设备位于某种NAT路由器之后,并对其进行相应的优化配置,这就大大减少了终端用户需要进行的配置。VoIP厂商通常拥有许多不同的呼叫网关,它们可能位于不同位置,这是为了确保最大可用性和呼叫质量。利用VoIP进行呼叫时,呼叫设置信息可畅通无阻地进行传输,这使它具有了方便的可读性。但这同时意味着数据嗅探器(一种可记录网络上传输信息的软件)可以收集到许多关于呼叫设置的信息。近期Broadvox的用户就发现,其包含敏感配置文件的整个目录对任何Web浏览器都是开放的。
管理IP电话系统跟管理传统电话系统有所不同,尽管面临困难,但企业只要对VoIP设备加强管理,像对待个人隐私、信用卡信息一样作为重要机密,那么安全应该不是个大问题。有了网络管理员工具,就可以很容易地配置VoIP设备和电话分机。他们定期的改变密码,也在一定程度上加强了安全性。另外,VoIP设备还有防火墙的保护,减少了非法访问和盗用的可能。而它自带的访问检查功能使其自动记录访问者、访问操作及访问者的IP地址,也大大提高了系统的安全性。
防窃听
如今多数厂商都不对语音数据进行加密,这是基于实用性的考虑,因为加密要占用CUP。终端用户的SIP设备和软交换机必须对信息进行几乎是实时的加密和解密,并且不能影响呼叫质量。这个问题可以解决(SIP通常提供端到端加密),但是需要对硬件和基础设施进行投资。要截获呼叫设置或SIP呼叫过程中的语音数据,必须位于呼叫通过的位置,即在电话服务厂商或者SIP一端。由于连接可能改变流量路由,因此截获SIP呼叫只有几个可实施点,即在SIP客户端、代理前端或者在两个终端所使用的ISP上。
VoIP电话的隐私也是一个颇引人关注的安全话题。由于VoIP数据在数据网络上传输,对数据的侦听就有可能得到语音通信的内容。由于协议本身是开放的,即使是一小段的媒体流都可以被重放出来而不需要前后信息的关联。如果有人在数据网络上通过Sniffer的方式记录所有信息并通过软件加以重放,将严重影响到通信隐私。解决的办法是,首先把网络的结构调整为全交换到桌面的方式,而放弃使用集线器HUB,这样针对共享网络的sniffer侦听就无能为力了。另外,从协议的选择上。设备厂家可以选择H.323协议簇中的H.235(又称为H.Secure)来负责身份验证、数据完整性和媒体流加密。
OS漏洞和病毒攻击
各个设备厂家都会有独立的语音服务器来提供语音网关或IP话机的注册和控制功能。这些语音服务器有的采用Windows NT/2000的操作系统,也有的是基于Linux或VxWorks平台。而越是开放的操作系统,也就越容易受到病毒和恶意攻击的影响,同时也越容易暴露出系统的漏洞。操作系统漏洞能使黑客获取更高的权限,并利用漏洞在服务器上装载并执行任何应用程序,
而且某些设备在产品出厂前运行了一些不必要的服务和应用,也会造成语音服务器存在潜在的安全漏洞,受到网络病毒和黑客的影响。(陈蔚)
端口扫描/拒绝服务攻击
IP 语音通信最常用的话音建立和控制信令是H.323和SIP协议,它们都是一套开放的协议体系。而目前互联网上存在大量的端口扫描工具,如X-Way之类的共享软件,任何一个潜在的内部黑客可以使用这些工具,获取IP 语音通信各个组成部分(语音服务器、语音网关、IP话机等)的详细的信息:IP地址、服务应用的TCP/UDP端口等。
DoS拒绝服务攻击是目前网络上的一种简单但很有效的破坏性攻击手段,将造成计算机或网络无法提供正常服务。对IP 语音通信系统各个组成部分的DoS攻击,将造成这些设备上操作系统资源被消耗殆尽。
话费欺诈
虽然IP话机没办法通过并线的方式来打电话,但通过IP网络管理的漏洞或者是通过Sniffer等软件窃取IP 语音通信系统管理的密码或IP话机的登录密码,同样会使非法用户获取相应的语音功能和权限。
很多采用了IP 语音通信的企业为了方便员工远程/移动办公,允许员工出差或是在家办公时,利用VPN方式接入到公司的局域网中,然后运行电脑中的IP软件电话输入相关密码以后登录IP语音系统,获得接听或拨打电话的权限。这样存在相应的安全问题就是,非法用户可以窃取了VPN密码和IP电话密码。
媒体流Sniffer
传统语音交换机上的模拟话机存在并线窃听的问题,而IP 语音通信平台同样存在通过对IP电话之间的RTP语音流窃取并重放的问题。一个典型的IP呼叫需要信令和媒体流两个建立的步骤,一旦IP语音设备之间通过控制信令建立起相应联系以后,将通过实时信息传输协议(RTP) 将语音打包后在IP网络上传输,由于协议本身的开放性,即使是一小段的RTP媒体流都可以被重放出来而不需要前后或者其它信息的关联。非法用户可以在数据网络上通过Sniffer的方式记录IP语音包并通过相应软件加以重放实施窃听。
赛迪网 中国信息化(industry.ccidnet.com)
责编:admin
转载请注明来源:VoIP安全很重要
噢!评论已关闭。