[情報] VoIP部署不當 企業威脅大
VoIP部署不當 企業威脅大
2005-7-14
目前,VoIP面臨的安全議題主要有四:阻斷式服務(DoS)攻擊、非法存取、
話費詐欺或竊聽等威脅。而VoIP的協議安全卻是無法忽略之痛。
資訊安全專家會這樣警告你,如果對VoIP部署不當,互聯網電話會受到駭客
和惡意代碼的攻擊。VoIP可能破壞網路的安全措施,對於企業網路而言,VoIP的
威脅尤其大,因為企業會急於部署這一技術而忽視了安全。
仔細分析可以看到,VoIP首先要面對的安全問題是最底層的危害??其自身的
軟硬體設施。因為目前大部分VoIP設備基於標準作業系統,傳輸協議也屬於開放
技術,所以有相當高的可能受到攻擊者的襲擊。而且在大部分情況下,VoIP設施
需要提供遠程管理能力,其所依賴的服務和軟體也同樣可能存在安全漏洞。
具體看一看VoIP的傳輸協議。與VoIP相關的網路技術協議很多,常見的有控
制實時數據流應用在IP網路傳輸的RTP(實時傳輸協議)和RTCP(實時傳輸控制協議
);有保證網路QoS品質服務的RSVP(資源預留協議)和IP different
Service等,還有傳統語音數字化編碼的一系列協議如G.711、
G.728、G.723、G.729等等。但目前VoIP技術最常用的話音建立和控制信令是H.3
23和SIP(會話初始協議)。
其中,SIP協議是IETF定義多媒體數據和控制體系結構中的重要組成部分。
同時,由於SIP只負責提供會話連接和會話管理,而與應用無關,因此SIP可以被
用於多個領域。如今,市場上已隨處可見SIP IP
電話、群組視頻會議系統、專為服務提供商提供的音頻會議媒體伺服器,以及可
同時相容H.323和SIP的音視頻會議多點控制單元。目前,SIP正給會議市場帶來
最廣泛的互聯互通。然而,即使是協議本身也有潛在的安全問題:
H.323和SIP總體上都是一套開放的協議體系。在一系列的通話過程方面,各
設備廠家都有獨立的組件來承載。這些產品有的採用Windows
NT作業系統,也有基於Linux的。而越是開放的作業系統,其產品應用過程就越
容易受到病毒和惡意攻擊的影響。而這些應用都是在產品出廠時就已經安裝在設
備當中的,無法保證是最新版本或是承諾已經彌補了某些安全漏洞。同時,最為
一種新興發展技術的傳輸協議,SIP並不完善,它採用類似於FTP、電子郵件或者
HTTP伺服器的形式來發起用戶之間的連接。利用這種連接技術,駭客們同樣會對
VOIP進行攻擊。
兩年前,國家電腦網路應急技術處理協調中心(CERT)曾報告了SIP協議棧中
的一個缺陷。利用該缺陷,攻擊者將有機會獲得非法訪問特權,發起DoS攻擊,
造成系統不穩等問題。顯然,這個缺陷與SIP設備互相發送的、用來初始化VoIP
呼叫、文本聊天或視頻等話路的"邀請"信有關。
從原理上說,利用漏洞可以發起各種類型的攻擊。比如一旦網關被駭客攻破
,IP電話不用經過認證就可隨意撥打,未經保護的語音通話有可能遭到攔截和竊
聽,而且可以被隨時截斷。駭客利用重定向攻擊可以把語音郵件地址替換成自己
指定的特定IP地址,為自己打開秘密通道和後門。而最典型的是,駭客們可以騙
過SIP和IP地址的限制而竊取到整個談話過程。
因此,並不完善的協議會導致嚴重的後果:如果有人通過SIP漏洞冒充你的
代理人與你通話,他就可以輕易的獲取你的各種資料(其中當然包括銀行卡號和
口令),那麼,當電話挂斷時,你辛辛苦苦賺來的積蓄將被洗劫一空。另外,一
個駭客也可以很容易地在您的SIP伺服器中提交超量的假服務請求,這樣伺服器
即不能接也不能聽電話,造成服務拒絕現象。
協議上的問題遠遠不止這些。在網路上截取SIP的協議,很容易獲得RTP的端
口和路由,然後通過特定模式很輕鬆地就可以實現竊聽。通過網卡的混雜模式,
駭客們可以很容易就可以實現截獲局域網中所有POP3的協議??包括口令,都是很
輕鬆的就能截取。
另外,VoIP的實現依賴於TCP/IP協議棧的運行,所以TCP/IP協議面臨的所有
安全問題我們都無法回避。一些常見而麻煩的病毒問題也註定要對VoIP應用環境
造成困擾。因此,對於VoIP設備自身,應該比普通的電腦設備更加注重常見資訊
安全原則的實現,例如只提供必要的服務,關閉和遮罩無用的端口;停止使用不
必要的協議??沒有必要啟用不必要和未用過的協議和服務,以免為駭客提供更多
的機會。
忽視這些原則將造成非常嚴重的安全危害。原因顯而易見:如果VoIP的基礎
設施不能得到有效保護,它就能夠被輕易地攻擊,存儲的談話內容就會被竊聽。
與傳統的電話設備相比,用於傳輸VoIP的網路??路由器、伺服器,甚至是交換機
,都更容易受到攻擊。而傳統電話使用的PBX,它是穩定和安全的。
傳統電話的壟斷時代即將過去,屬於VoIP的時代正在來臨。這都迫使VoIP服
務提供商們重新審視他們的技術重心。值得欣慰的是,目前的一些傳輸協議日趨
完善,而且各公司已經開始意識到協議安全的重要性了。
作者:唐雅薇 摘自:賽迪網-中國電腦報
瀏覽人次:27
http://61.129.112.60:82/gate/big5/www.c114.net/Zhuanti_simple/NGN/read_NGN.asp?action=f01&styptID=1&articleID=66
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.137.4.227
VoIP 近期熱門文章
PTT數位生活區 即時熱門文章
