讓基于SIP協(xié)議VoIP網(wǎng)絡(luò )更加安全
2008/05/09
我們曾經(jīng)討論過(guò)如何保護一個(gè)VoIP網(wǎng)絡(luò )免受黑客攻擊和偵聽(tīng)——這需要一個(gè)多層安全策略。而這么一個(gè)策略的重要部件,則是對提供呼叫信號的協(xié)議進(jìn)行保護。
SIP協(xié)議已經(jīng)作為一個(gè)非常流行的呼叫信號協(xié)議而日益得到普及,選擇它的理由也很多,比如相對于傳統的H.323協(xié)議,它更具簡(jiǎn)單性,以及設計上的輕巧性。因此,對一家選擇了 基于SIP協(xié)議部署VoIP的公司來(lái)說(shuō),好好考慮一下,應當如何以一種安全的方式來(lái)實(shí)施SIP就顯得非常重要了。不過(guò),SIP協(xié)議的開(kāi)發(fā)者們當初在設計時(shí)并沒(méi)有考慮到安全方面的問(wèn)題,所以如果直接將SIP設備加入你的IP網(wǎng)絡(luò ),往往會(huì )帶來(lái)額外的安全問(wèn)題。下面就讓我們看一下,如何做才能 讓SIP通信更加安全。
了解風(fēng)險
由于某些安全機制的原因,SIP的呼叫信號信息及通話(huà)非常容易被人竊聽(tīng)和偵聽(tīng)(也就是說(shuō),數據被劫持),或者很容易受到中間人攻擊,呼叫篡改攻擊,語(yǔ)音重播攻擊,以及拒絕 服務(wù)等攻擊。
下面是這些攻擊所能造成的安全風(fēng)險:
- 攻擊者可能獲取對VoIP的訪(fǎng)問(wèn)權限,并使用該權限隨意撥打電話(huà)。
- 攻擊者可能聽(tīng)取VoIP網(wǎng)絡(luò )上的私人談話(huà)內容,并從中獲取可用于身份詐騙或達到其他不法目的相關(guān)信息。
- 攻擊者可能模仿某人的聲音,并假造其語(yǔ)音留言以欺騙他人。
- 攻擊者可能會(huì )導致IP電話(huà)或整個(gè)VoIP網(wǎng)絡(luò )陷入癱瘓狀態(tài)。
幸運的是,我們還有些安全機制可用于保護SIP網(wǎng)絡(luò )免受上述這些風(fēng)險的威脅。
使用TLS保護SIP網(wǎng)絡(luò )
一般情況下,SIP數據包通過(guò)TCP或UDP連接,以純文本的方式進(jìn)行傳輸,所以非常容易受到黑客的偽造和攻擊。為此,RFC 3261定義了SIPS(安全SIP,Secure SIP),一種使用TLS (傳輸層安全,Transport Layer Security)的安全傳輸方法,而TLS則是SSL(安全端口層,Secure Sockets Layer)的新式改進(jìn)版本。
Netscape最初開(kāi)發(fā)SSL是用于基于網(wǎng)頁(yè)的安全傳輸。TLS提供了一個(gè)加密信道,以便你用于傳輸SIP信息。不過(guò),要想使用SIPS,你的VoIP設備必須首先支持該協(xié)議才可以。
SIPS要求來(lái)自SIP用戶(hù)以及代理的認證信息,該認證使用MD5校驗機制。該RFC標準同時(shí)還定義了一個(gè)SIP統一資源標識符URI(Uniform Resource Identifier),可用于從一個(gè)端點(diǎn) 到另一個(gè)端點(diǎn)提供安全連接。
根據公鑰加密技術(shù),TLS依賴(lài)于數字證書(shū)進(jìn)行加密。這里是它的工作模式:
- SIP客戶(hù)端連上SIP代理。
- SIP客戶(hù)端向代理請求一個(gè)TLS會(huì )話(huà)。
- 代理返回一個(gè)有效的公共證書(shū)。
- 客戶(hù)端驗證該證書(shū)。
- 客戶(hù)端和代理交換會(huì )話(huà)密鑰
- 以后會(huì )話(huà)中的所有數據均使用該會(huì )話(huà)密鑰進(jìn)行加密和解密。
SIPS需要端到端(也就是說(shuō),電話(huà)到電話(huà))的TLS保護。而在對話(huà)機基礎上使用TLS也是可以的。另外,你也可以配置那些可使用SIPS的設備僅接收TLS加密過(guò)的呼叫。
你的防火墻支持SIP軟件么?
對一個(gè)連到互聯(lián)網(wǎng)(或其他任何不能讓人放心的網(wǎng)絡(luò ))上的企業(yè)來(lái)說(shuō),防火墻是安全策略中絕對必要的部分。不過(guò),像其他VoIP協(xié)議一樣,SIP也常會(huì )在穿越防火墻或NAT(網(wǎng)絡(luò )地 址解析,Network Address Translation的簡(jiǎn)稱(chēng))設備時(shí)發(fā)生問(wèn)題。
企業(yè)常常會(huì )配置防火墻僅接收那些由內部計算機所發(fā)起的外部通信連接。問(wèn)題是,SIP使用兩個(gè)不同的連接——每個(gè)連接都使用各自的端口——來(lái)建立VoIP電話(huà)呼叫。一個(gè)連接傳輸 呼叫信號信息,另一個(gè)則傳輸實(shí)際的語(yǔ)音通訊(也就是說(shuō),媒體信息)。
如果你是朝本地局域網(wǎng)外部撥打一個(gè)電話(huà),那么發(fā)送出去的初始信息就承載了呼叫信號。對你所呼叫的IP電話(huà)機而言,這就是一個(gè)“邀請”信息。
當你要呼叫的人應答電話(huà)時(shí),他的電話(huà)機會(huì )返回一個(gè)確認信號。該信號會(huì )通過(guò)控制呼叫信號的端口傳回來(lái)。由于是通話(huà)是由你發(fā)起的,所以這個(gè)信號可以正常穿越防火墻而返回。 但是,你的防火墻卻很可能攔截同時(shí)進(jìn)入的語(yǔ)音數據,因為它來(lái)自一個(gè)完全不同的端口,這樣防火墻就正好攔截了打入的電話(huà)。
有一種叫做“會(huì )話(huà)控制器”的設備,可以解決SIP穿越防火墻和NAT設備時(shí)所遇到的問(wèn)題。這是一個(gè)在公共網(wǎng)絡(luò )上的設備,直接為你的VoIP客戶(hù)端提供一個(gè)公共IP地址,并在一臺公 共服務(wù)器上注冊。
不過(guò),要保護你的VoIP網(wǎng)絡(luò ),你還需要一個(gè)支持SIP的防火墻。因為對普通的防火墻來(lái)說(shuō),SIP的數據太難以檢查了。SIP網(wǎng)絡(luò )使用一個(gè)實(shí)時(shí)傳輸協(xié)議(RTP),以及一個(gè)“實(shí)時(shí)傳輸 控制協(xié)議(RTCP)”,來(lái)從一臺IP電話(huà)向另一臺IP電話(huà)傳輸具體的媒體信息(會(huì )話(huà)語(yǔ)音數據)。
因此,一臺支持SIP協(xié)議的防火墻需要能發(fā)現SIP在建立會(huì )話(huà)媒體數據流時(shí)所動(dòng)態(tài)賦予的RTP/RTCP端口信息。這意味著(zhù)該防火墻必須解析SIP的交換過(guò)程,以發(fā)現哪個(gè)數據包中含有媒 體數據。而端口信息可以在許多不同的SIP數據包中出現。一臺支持SIP的防火墻必須能夠了解SIP的交換過(guò)程,并從中獲得相應的信息。
總結
對主要的VoIP協(xié)議來(lái)說(shuō),當初在設計它們時(shí),安全方面并不是設計主要考慮的一個(gè)問(wèn)題,SIP協(xié)議也不例外。這一點(diǎn)和早期的電腦操作系統非常類(lèi)似——以至于后來(lái)部署這些操作系 統時(shí)人們不得不再為它們添加必要的安全機制,因為它們根本沒(méi)有提供任何安全方面的內容。
因此,企業(yè)部署VoIP時(shí),也必須采取措施來(lái)對VoIP協(xié)議進(jìn)行保護。而讓SIP網(wǎng)絡(luò )可以變得更加安全的方法,除了可以使用配備TLS的SIPS(安全SIP)來(lái)對VoIP傳輸信道進(jìn)行加密以外 ,還可以使用會(huì )話(huà)控制工具,以及使用支持SIP軟件的防火墻。
ZDnet (www.zdnet.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
海林市|
辰溪县|
公安县|
友谊县|
泾阳县|
宁津县|
山东省|
崇阳县|
平南县|
巴南区|
三亚市|
许昌县|
临颍县|
新巴尔虎左旗|
香河县|
凌源市|
工布江达县|
尉犁县|
灵山县|
平定县|
青河县|
秭归县|
东乌|
惠州市|
南溪县|
香港
|
吉水县|
莫力|
常州市|
定西市|
铁岭市|
滨海县|
太谷县|
吐鲁番市|
托里县|
石林|
博客|
江安县|
丽水市|
广南县|
东阳市|
http://444
http://444
http://444
http://444
http://444
http://444