首頁(yè)>>廠商>>交換機(jī)/ACD系統(tǒng)平臺(tái)廠商>>北電網(wǎng)絡(luò)

VoIP的安全漏洞和防護(hù)(上)

李吳建 2004/06/25

  編者按:隨著數(shù)據(jù)網(wǎng)絡(luò)帶寬的不斷擴(kuò)展以及VoIP技術(shù)的日趨成熟,VoIP已從試驗(yàn)階段轉(zhuǎn)入成熟的商用階段。由此,在原有安全、封閉的PSTN網(wǎng)中未曾遇見(jiàn)的一系列安全問(wèn)題在VoIP的應(yīng)用中逐漸顯現(xiàn),成為影響VoIP走向規(guī)模應(yīng)用的關(guān)鍵因素之一。

  當(dāng)前,已經(jīng)有越來(lái)越多的企業(yè)用戶開(kāi)始關(guān)注VoIP這一應(yīng)用。但是在實(shí)施或使用過(guò)程中,用戶和設(shè)備供應(yīng)廠家更為關(guān)注的是如何改善話音質(zhì)量和同現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)的融合,很少考慮到VoIP存在的安全隱患。如同我們將重要的應(yīng)用服務(wù)器都置于防火墻的保護(hù)之內(nèi)一樣,在VoIP的情況下,話音也和數(shù)據(jù)應(yīng)用一樣,成了一個(gè)個(gè)的“Packet”,同樣也將承受各種病毒和黑客攻擊的困擾。

究竟有哪幾種因素會(huì)影響到VoIP呢?

  首先是產(chǎn)品本身的問(wèn)題。目前VoIP技術(shù)最常用的話音建立和控制信令是H.323和SIP協(xié)議。盡管它們之間有若干區(qū)別,但總體上都是一套開(kāi)放的協(xié)議體系。設(shè)備廠家都有獨(dú)立的組件來(lái)承載包括IP終端登錄注冊(cè)、關(guān)守和信令接續(xù)。這些產(chǎn)品有的采用WindowsNT操作系統(tǒng),也有基于Linux或VxWorks的。越是開(kāi)放的操作系統(tǒng),越容易受到病毒和惡意攻擊的影響。尤其是在某些設(shè)備需要提供基于Web的管理界面的時(shí)候,都會(huì)有機(jī)會(huì)采用MicrosoftIIS或Apache來(lái)提供服務(wù),而這些應(yīng)用都是在產(chǎn)品出廠時(shí)就已經(jīng)安裝在設(shè)備當(dāng)中的,無(wú)法保證是最新版本或是承諾已經(jīng)彌補(bǔ)了某些安全漏洞。

  其次是基于開(kāi)放端口的DoS(拒絕服務(wù))攻擊。從網(wǎng)絡(luò)攻擊的方法和產(chǎn)生的破壞效果來(lái)看,DoS算是一種既簡(jiǎn)單又有效的攻擊方式。攻擊者向服務(wù)器發(fā)送相當(dāng)多數(shù)量的帶有虛假地址的服務(wù)請(qǐng)求,但因?yàn)樗幕貜?fù)地址是虛假的,服務(wù)器將等不到回傳的消息,直至所有的資源被耗盡。VoIP技術(shù)已經(jīng)有很多知名的端口,像1719、1720、5060等。還有一些端口是產(chǎn)品本身需要用于遠(yuǎn)端管理或是私有信息傳遞的用途,總之要比普通的某個(gè)簡(jiǎn)單的數(shù)據(jù)應(yīng)用多。只要是攻擊者的PC和這些應(yīng)用端口在同一網(wǎng)段,就可以通過(guò)簡(jiǎn)單的掃描工具,如X-Way之類的共享軟件來(lái)獲得更詳細(xì)的信息。最近報(bào)道的一個(gè)安全漏洞是由NISCC(UKNationalInfrastructureSecurityCo-ordinationCenter)提出的,測(cè)試結(jié)果表明:市場(chǎng)上很多采用H.323協(xié)議的VoIP系統(tǒng)在H.245建立過(guò)程中都存在漏洞,容易在1720端口上受到DoS的攻擊,從而導(dǎo)致系統(tǒng)的不穩(wěn)定甚至癱瘓。

  再次就是服務(wù)竊取,這個(gè)問(wèn)題在模擬話機(jī)的情況下同樣存在。如同我們?cè)谝桓胀M話機(jī)線上又并接了多個(gè)電話一樣,將會(huì)出現(xiàn)電話盜打的問(wèn)題。盡管IP話機(jī)沒(méi)辦法通過(guò)并線的方式來(lái)打電話,但通過(guò)竊取使用者IP電話的登錄密碼同樣能夠獲得話機(jī)的權(quán)限。通常在IP話機(jī)首次登錄到系統(tǒng)時(shí),會(huì)要求提示輸入各人的分機(jī)號(hào)碼和密碼;很多采用了VoIP的企業(yè)為了方便員工遠(yuǎn)程/移動(dòng)辦公,都會(huì)在分配一個(gè)桌面電話的同時(shí),再分配一個(gè)虛擬的IP電話,并授予密碼和撥號(hào)權(quán)限。這樣,即使員工出差或是在家辦公,都可以利用VPN方式接入到公司的局域網(wǎng)中,然后運(yùn)行電腦中的IP軟件電話接聽(tīng)或撥打市話,如同在公司里辦公一樣。當(dāng)密碼流失之后,任何人都可以用自己的軟電話登錄成為別人的分機(jī)號(hào)碼;如果獲得的權(quán)限是可以自由撥打國(guó)內(nèi)甚至國(guó)際長(zhǎng)途號(hào)碼,將會(huì)給企業(yè)帶來(lái)巨大的損失且很難追查。

  最后是媒體流的偵聽(tīng)問(wèn)題。模擬話機(jī)存在并線竊聽(tīng)的問(wèn)題,當(dāng)企業(yè)用戶使用了數(shù)字話機(jī)之后,由于都是廠家私有的協(xié)議,很難通過(guò)簡(jiǎn)單的手段來(lái)偵聽(tīng)。但VoIP環(huán)境下,這個(gè)問(wèn)題又被提了出來(lái)。一個(gè)典型的VoIP呼叫需要信令和媒體流兩個(gè)步驟,RTP/RTCP是在基于包的網(wǎng)絡(luò)上傳輸?shù)葧r(shí)話音信息的協(xié)議。由于協(xié)議本身是開(kāi)放的,即使是一小段的媒體流都可以被重放出來(lái)而不需要前后信息的關(guān)聯(lián)。如果有人在數(shù)據(jù)網(wǎng)絡(luò)上通過(guò)Sniffer的方式記錄所有信息并通過(guò)軟件加以重放,會(huì)引起員工對(duì)話音通信的信任危機(jī)。

  為什么VoIP技術(shù)會(huì)存在上述問(wèn)題呢?其實(shí)在這項(xiàng)技術(shù)研發(fā)伊始,開(kāi)發(fā)者只期望它作為傳統(tǒng)長(zhǎng)途電話的一種廉價(jià)的替代方式,因此并未太多在意安全問(wèn)題;同時(shí),VoIP技術(shù)也是跟隨著整個(gè)網(wǎng)絡(luò)市場(chǎng)的發(fā)展而發(fā)展的,不同廠家和產(chǎn)品的同時(shí)存在導(dǎo)致一時(shí)無(wú)法提出一個(gè)統(tǒng)一的技術(shù)標(biāo)準(zhǔn);VoIP的基礎(chǔ)還是IP網(wǎng)絡(luò),開(kāi)放的體系構(gòu)架不可避免地受到了來(lái)自網(wǎng)絡(luò)的負(fù)面影響。但是,我們?nèi)匀豢梢圆捎靡恍C(jī)制和合理的配置,最大限度地保障VoIP的安全。

中國(guó)信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)

相關(guān)鏈接:
北電城域以太網(wǎng)業(yè)務(wù)待買家 Ciena或中標(biāo) 2009-09-28
北電將拍賣電信部門軟件資產(chǎn) 2009-09-22
北電黃彥文:重組對(duì)客戶來(lái)說(shuō)是一個(gè)好消息 2009-09-21
北電向Avaya出售企業(yè)解決方案業(yè)務(wù)的協(xié)議獲美、加法院批準(zhǔn) 2009-09-17
北電全新統(tǒng)一通信 深挖中小企業(yè) 2009-09-15

分類信息:     文摘
青神县| 临海市| 新密市| 乌兰察布市| 长沙县| 泰宁县| 高雄市| 佛山市| 蒙城县| 兴海县| 固原市| 平湖市| 兖州市| 武定县| 太白县| 且末县| 白河县| 旺苍县| 淳化县| 德清县| 辽阳县| 博客| 黄浦区| 繁峙县| 青州市| 乡城县| 抚州市| 当阳市| 元江| 丁青县| 武汉市| 沈阳市| 保靖县| 绥阳县| 大洼县| 凌云县| 阿城市| 察隅县| 日土县| 灵山县| 兰州市|