首頁(yè) > 叫和哥 2008/06/06
黑客通過(guò)VoIP滲透來(lái)竊取、私用企業(yè)的VoIP電話,造成了VoIP的不安全性。開(kāi)放性的架構(gòu)所帶來(lái)的靈活性讓VoIP能夠滲透到企業(yè)的整個(gè)管理流程中去,提高通信效能,提高生產(chǎn)效率,這是IP技術(shù)的核心優(yōu)勢(shì)所在。所有影響數(shù)據(jù)網(wǎng)絡(luò)的攻擊都可能會(huì)影響到VoIP網(wǎng)絡(luò),如病毒、垃圾郵件、非法侵入、DoS、劫持電話、偷聽(tīng)、數(shù)據(jù)嗅探等。前段時(shí)間,圣地亞哥黑客會(huì)議局的兩個(gè)安全專(zhuān)家通過(guò)Cisco VoIPdia進(jìn)入了他們所在酒店的內(nèi)部公共網(wǎng)絡(luò)系統(tǒng)。兩名黑客說(shuō),他們通過(guò)Wired.com網(wǎng)站的一篇博客進(jìn)入到了這家酒店的財(cái)務(wù)系統(tǒng)和內(nèi)部公共網(wǎng)絡(luò)系統(tǒng),并且獲取下了酒店內(nèi)部的通話記錄。這兩名黑客使用了由一種名叫VoIP Hopper提供的滲透測(cè)試模式,VoIP Hopper將模擬Cisco數(shù)據(jù)包,每三分鐘發(fā)送一次信息,然后轉(zhuǎn)換成為新的以太網(wǎng)界面,通過(guò)博客地址,用計(jì)算機(jī)代替酒店的電話系統(tǒng)切入到網(wǎng)絡(luò)中去,以此來(lái)運(yùn)轉(zhuǎn)VoIP。可見(jiàn)VoIP是件危險(xiǎn)的事情,從某種角度講對(duì)網(wǎng)絡(luò)產(chǎn)生了一定的安全威脅。
VoIP滲透現(xiàn)狀
VoIP在IP網(wǎng)絡(luò)上運(yùn)行。意味著,它與WEB和電子郵件等其它IP應(yīng)用一樣,有著同樣的威脅和漏洞等安全問(wèn)題。這些威脅和漏洞包括所有IP網(wǎng)絡(luò)層面的威脅。每天很疲憊地應(yīng)對(duì)這些威脅;以及人們使用標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全技術(shù)和良好的網(wǎng)絡(luò)設(shè)計(jì)來(lái)應(yīng)對(duì)未知威脅。網(wǎng)絡(luò)的安全性根本技術(shù)問(wèn)題(技術(shù)問(wèn)題遲早會(huì)通過(guò)技術(shù)解決),但我們并沒(méi)有因?yàn)榻?jīng)常存在黑客、病毒的侵襲而不發(fā)展網(wǎng)絡(luò),同理,我們也不能因?yàn)橛辛税踩詥?wèn)題而不發(fā)展網(wǎng)絡(luò)電話,否則就是本末倒置、因噎廢食的愚蠢做法;最后,對(duì)網(wǎng)絡(luò)電話安全問(wèn)題考慮得比較多的是大型企業(yè),因?yàn)檫@些企業(yè)擔(dān)心機(jī)密外泄而拒絕使用網(wǎng)絡(luò)電話。
與VoIP相關(guān)的網(wǎng)絡(luò)技術(shù)協(xié)議很多,常見(jiàn)的有控制實(shí)時(shí)數(shù)據(jù)流應(yīng)用在IP網(wǎng)絡(luò)傳輸?shù)膶?shí)時(shí)傳輸協(xié)議和實(shí)時(shí)傳輸控制協(xié)議;有保證網(wǎng)絡(luò)QoS質(zhì)量服務(wù)的資源預(yù)留協(xié)議和IP different Service等,還有傳統(tǒng)語(yǔ)音數(shù)字化編碼的一系列協(xié)議如G.711、G.728、G.723、G.729等等。但目前VoIP技術(shù)最常用的話音建立和控制信令是H.323和會(huì)話初始協(xié)議(STP)。SIP協(xié)議是IETF定義多媒體數(shù)據(jù)和控制體系結(jié)構(gòu)中的重要組成部分。同時(shí),由于SIP只負(fù)責(zé)提供會(huì)話連接和會(huì)話管理,而與應(yīng)用無(wú)關(guān),因此SIP可以被用于多個(gè)領(lǐng)域。即使是協(xié)議本身也有潛在的安全問(wèn)題:H.323和SIP總體上都是一套開(kāi)放的協(xié)議體系。
在一系列的通話過(guò)程方面,各設(shè)備廠家都有獨(dú)立的組件來(lái)承載。越是開(kāi)放的操作系統(tǒng),其產(chǎn)品應(yīng)用過(guò)程就越容易受到病毒和惡意攻擊的影響。而這些應(yīng)用都是在產(chǎn)品出廠時(shí)就已經(jīng)安裝在設(shè)備當(dāng)中的,無(wú)法保證是最新版本或是承諾已經(jīng)彌補(bǔ)了某些安全漏洞。同時(shí),最為一種新興發(fā)展技術(shù)的傳輸協(xié)議,SIP并不完善,它采用類(lèi)似于FTP、電子郵件或者HTTP服務(wù)器的形式來(lái)發(fā)起用戶(hù)之間的連接。利用這種連接技術(shù),黑客們同樣會(huì)對(duì)VOIP進(jìn)行攻擊。如果網(wǎng)關(guān)被黑客攻破,IP電話不用經(jīng)過(guò)認(rèn)證就可隨意撥打,未經(jīng)保護(hù)的語(yǔ)音通話有可能遭到攔截和竊聽(tīng),而且可以被隨時(shí)截?cái)唷:诳屠弥囟ㄏ蚬艨梢园颜Z(yǔ)音郵件地址替換成自己指定的特定IP地址,為自己打開(kāi)秘密通道和后門(mén)。黑客們可以騙過(guò)SIP和IP地址的限制而竊取到整個(gè)談話過(guò)程。
如果VoIP的基礎(chǔ)設(shè)施不能得到有效保護(hù),它就能夠被輕易地攻擊,存儲(chǔ)的談話內(nèi)容就會(huì)被竊聽(tīng)。與傳統(tǒng)的電話設(shè)備相比,用于傳輸VoIP的網(wǎng)絡(luò)━━路由器、服務(wù)器,甚至是交換機(jī),都更容易受到攻擊。而傳統(tǒng)電話使用的PBX,它是穩(wěn)定和安全的。應(yīng)該從以下三個(gè)方面著手:
第一部曲:限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋(gè)VLAN上,確保網(wǎng)關(guān)的安全
對(duì)語(yǔ)音和數(shù)據(jù)分別劃分VLAN,這樣有助于按照優(yōu)先次序來(lái)處理語(yǔ)音和數(shù)據(jù)。劃分VLAN也有助于防御費(fèi)用欺詐、DoS攻擊、竊聽(tīng)、劫持通信等。VLAN的劃分使用戶(hù)的計(jì)算機(jī)形成了一個(gè)有效的封閉的圈子,它不允許任何其它計(jì)算機(jī)訪問(wèn)其設(shè)備,從而也就避免了電腦的攻擊,VoIP網(wǎng)絡(luò)也就相當(dāng)安全;即使受到攻擊,也會(huì)將損失降到最低。要配置網(wǎng)關(guān),使那些只有經(jīng)過(guò)允許的用戶(hù)才可以打出或接收VoIP電話,列示那些經(jīng)過(guò)鑒別和核準(zhǔn)的用戶(hù),這可以確保其它人不能占線打免費(fèi)電話。通過(guò)SPI防火墻、應(yīng)用層網(wǎng)關(guān)、網(wǎng)絡(luò)地址轉(zhuǎn)換工具、SIP對(duì)VoIP軟客戶(hù)端的支持等的組合,來(lái)保護(hù)網(wǎng)關(guān)和位于其后的局域網(wǎng)。
第二部曲:及時(shí)更新VoIP安全漏洞,增加訪問(wèn)控制列表
VoIP網(wǎng)絡(luò)的安全性,既依賴(lài)于底層的操作系統(tǒng)又依賴(lài)于運(yùn)行其上的應(yīng)用軟件。保持操作系統(tǒng)及VoIP應(yīng)用軟件補(bǔ)丁及時(shí)更新對(duì)于防御惡意程序或傳染性程序代碼是非常重要的。對(duì)于目前存在的VoIP安全漏洞及時(shí)更新,通過(guò)端口管理,進(jìn)行適當(dāng)增加訪問(wèn)控制列表。
第三部曲:根據(jù)某種標(biāo)準(zhǔn)限制訪問(wèn),避免遠(yuǎn)程管理,保障VoIP平臺(tái)的安全
通過(guò)準(zhǔn)備一個(gè)被允許呼叫的目的地列表,來(lái)防止網(wǎng)絡(luò)被濫用于長(zhǎng)途電話、“釣魚(yú)”欺詐和非法電話。網(wǎng)絡(luò)管理員可以建立嚴(yán)格的準(zhǔn)入標(biāo)準(zhǔn),防止用戶(hù)訪問(wèn)具有潛在危險(xiǎn)的設(shè)備,當(dāng)這些設(shè)備被發(fā)現(xiàn)感染了病毒或蠕蟲(chóng)時(shí),或沒(méi)有打上最新的補(bǔ)丁,或沒(méi)有安裝適當(dāng)?shù)姆阑饓Γ际瓜到y(tǒng)潛藏著危險(xiǎn)。這些設(shè)備可以被定向到完全不同的網(wǎng)絡(luò),并將危險(xiǎn)傳入到要害網(wǎng)絡(luò)。如果可能,最好避免使用遠(yuǎn)程管理和審計(jì),但若是需要的話,使用SSH或IPsec來(lái)保證安全中國(guó)體育彩票股票股票腫瘤粉碎機(jī)四川地震汶川地震奧運(yùn) 。隧道和傳輸加密是兩種不同的加密模式,都支持IP層的數(shù)據(jù)包交換。使用IPsec傳輸加密只對(duì)數(shù)據(jù)進(jìn)行加密,并隱藏源IP地址和目標(biāo)IP地址。禁用那些非必要的服務(wù),并使用基于主機(jī)的檢測(cè)方法。 保障VoIP網(wǎng)絡(luò)的安全是一項(xiàng)艱巨的任務(wù),特別是考慮到缺少適當(dāng)?shù)臉?biāo)準(zhǔn)和程序的情況下。一個(gè)網(wǎng)絡(luò)安全性依賴(lài)于硬件和軟件的正確選擇。
