您现在的位置: 通信界 >> 视频通信 >> 技术正文  
 
详谈VoIP安全漏洞以及防护办法
[ 通信界 / 中国电力通信网 / www.cntxj.net / 2008/8/15 10:57:34 ]
 

随着数据网络带宽的不断扩展,百兆甚至千兆到桌面已经成为可能。带宽的提升也为在数据网络上传输话音提供了有力的前提条件。同时,VoIP技术也日趋成熟,类似话音压缩、Qos质量保障之类的话题被大家广泛的讨论并达成共识。可以说VoIP技术已经从原来的实验性质真正的专向为成熟的商业应用。

尽管VoIP在中国最早的应用还是在运营商中做电路交换的补充,但现在已经有很多企业用户已经开始关注起VoIP这一应用。对于新兴的小型办公企业,利用新建的数据网络的充裕带宽来承载语音,要比再建一套独立的话音系统方便许多,功能上也具备了诸如移动办公等传统话音交换机所不具备的功能。对于行业用户,因为有连接各个分支节点的数据网络,利用IP中继进行总部和分支节点间的互联可以省去租用长途电路中继的高昂费用。因此,VoIP技术在企业级用户群体中将会有广阔的应用。

但是,在实施项目或者在使用过程中,用户和设备供应厂家更多的会将精力放在如何改善话音质量和同现有数据网络的融合上面,很少考虑到VoIP所存在的安全隐患。如同我们将重要的应用服务器都置于防火墙的保护之内一样;其实,在VoIP的情况下,话音也是和数据应用一样,也成为了一个个的“Packet”,同样也将承受各种病毒和黑客攻击的困扰。难怪有人调侃说:“这是有史以来的第一次,电脑病毒能够让你的电话不能正常工作。”

究竟有那几种因素会影响到VoIP呢?首先是产品本身的问题。目前VoIP技术最常用的话音建立和控制信令是H.323和SIP协议。尽管它们之间有若干区别,但总体上都是一套开放的协议体系。设备厂家都会有独立的组件来承载包括IP终端登陆注册、关守和信令接续。这些产品有的采用WindowsNT的操作系统,也有的是基于Linux或VxWorks。越是开放的操作系统,也就越容易受到病毒和恶意攻击的影响。尤其是某些设备需要提供基于Web的管理界面的时候,都会有机会采用MicrosoftIIS或Apache来提供服务,而这些应用都是在产品出厂的时候已经安装在设备当中,无法保证是最新版本或是承诺已经弥补了某些安全漏洞。

其次是基于开放端口的DoS(拒绝服务)攻击。从网络攻击的方法和产生的破坏效果来看,DoS算是一种既简单又有效的攻击方式。攻击者向服务器发送相当多数量的带有虚假地址的服务请求,但因为所包含的回复地址是虚假的,服务器将等不到回传的消息,直至所有的资源被耗尽。VoIP技术已经有很多知名的端口,像1719、1720、5060等。还有一些端口是产品本身需要用于远端管理或是私有信息传递的用途,总之是要比普通的某个简单的数据应用多。只要是攻击者的PC和这些应用端口在同一网段,就可以通过简单的扫描工具,如X-Way之类的共享软件来获得更详细的信息

最近一个安全漏洞是由NISCC(UKNationalInfrastructureSecurity Co-ordi-nation Center)提出,测试结果表明:“市场上很多采用H.323协议的VoIP系统在H.245建立过程中都存在漏洞,容易在1720端口上受到DoS的攻击,导致从而系统的不稳定甚至瘫痪”。

再次就是服务窃取,这个问题在模拟话机的情况下同样存在。如同我们在一根普通模拟话机线上又并接了多个电话一样,将会出现电话盗打的问题。尽管IP话机没办法通过并线的方式来打电话,但通过窃取使用者IP电话的登陆密码同样能够获得话机的权限。通常在IP话机首次登陆到系统时,会要求提示输入各人的分机号码和密码;很多采用了VoIP的企业为了方便员工远程/移动办公,都会在分配一个桌面电话的同时,再分配一个虚拟的IP电话,并授予密码和拨号权限。

这样,即使员工出差或是在家办公情况下,都可以利用VPN方式接入到公司的局域网中,然后运行电脑中的IP软件电话接听或拨打市话,如同在公司里办公一样。当密码流失之后,任何人都可以用自己的软电话登陆成为别人的分机号码;如果获得的权限是可以自由拨打国内甚至国际长途号码,将会给企业带来巨大的损失且很难追查。

最后是媒体流的侦听问题。模拟话机存在并线窃听的问题,当企业用户使用了数字话机之后,由于都是厂家私有的协议,很难通过简单的手段来侦听。但VoIP环境下,这个问题又被提了出来。一个典型的VoIP呼叫需要信令和媒体流两个建立的步骤,RTP/RTCP是在基于包的网络上传输等时话音信息的协议。由于协议本身是开放的,即使是一小段的媒体流都可以被重放出来而不需要前后信息的关联。如果有人在数据网络上通过Sniffer的方式记录所有信息并通过软件加以重放,会引起员工对话音通信的信任危机。

在这项技术研发伊始,开发者期望它作为传统长途电话的一种廉价的替代方式,因此并未太多在意安全问题;同时,VoIP技术也是跟随着整个网络市场的发展而发展,太多不同厂家和产品的同时存在导致一时无法提出一个统一的技术标准;VoIP的基础还是IP网络,开放的体系构架不可避免受到了来自网络的负面影响。最大限度地保障VoIP的安全主要的方法有以下几种:

1.将用于话音和数据传输的网络进行隔离

这里所说的隔离并不是指物理上的隔离,而是建议将所有的IP话机放到一个独立的VLAN当中,同时限制无关的PC终端进入该网段。通过很多评测者的反馈信息表明,划分VLAN是目前保护IP话音系统最为简单有效的方法,可以隔离病毒和简单的攻击。同时,配合数据网络的QoS设定,还将有助于提高话音质量。

2.将VoIP作为一种应用程序来看待

这也意味着我们需要采用一些适用于保护重要的应用服务器之类的手段,来保护VoIP设备中一些重要的端口和应用,例如采用北电网络Aleton交换防火墙就可以有效地抵御DoS的攻击。同样的办法也适用于VoIP系统,当两个IP终端进行通话时,一旦信令通过中心点的信令服务进程建立之后,媒体流只存在于两个终端之间;只有当IP终端上发起的呼叫需要透过网关进入PSTN 公网时,才会占用媒体网关内的DSP处理器资源。所以,我们需要对信令和媒体流两类对外的地址和端口进行保护。

同时,尽可能少的保留所需要的端口,例如基于Web方式的管理地址,并且尽可能多的关闭不需要的服务进程。需要提醒的是H.323/SIP在穿越NAT和防火墙的时候会遇到障碍,这是由于协议本身的原因造成的,但通过启用“应用层网关”(Application Layer Ga-teway简称ALG)之后,就可以解决这个问题;随着呼叫量的增长,可以采用外置媒体流代理服务器(RTP Media Portal)的办法来支持更大规模的VoIP系统。

3.选择合适的产品和解决方案

目前不同厂家的产品体系构架不尽相同,操作平台也各有偏爱。我们无法断言哪种操作系统最为安全可靠,但厂家需要有相应的技术保障来让用户相信各自的产品有能力抵御日益繁多的病毒侵袭。同时,很多厂家的产品也采用了管理网段和用户的IP话音网段在物理上隔离的机制,尽可能少的将端口暴露在外网上。北电网络推出的Succession 1000/1000M就采用了这些设计思路,将管理网段和用户网段彻底在物理上隔离,并采用VxWorks操作系统,尽可能多的屏蔽外界对系统的影响。此外,VoIP的安全问题和数据网络的安全本质上是紧密相关的,需要厂家提供的不仅仅是一套设备,更多的是如何帮助用户在现有的网络上提高安全和可靠性的思路和一些技巧。

4.话音数据流的加密

目前H.323协议簇中有一成员-H.235(又称为H.Secure)是负责身份验证、数据完整性和媒体流加密的。更实际的情况是厂家会选用各自私有的协议来保证VoIP的安全性。但即使没有H.235或其他的手段,想要偷听一个IP电话呼叫仍要比偷听一个普通电话要困难的多,因为你需要编解码器算法和相应的软件。即使你获得了软件并且成功连接到公司的IP话音网段,仍然有可能一无所获。因为目前很多企业内部的数据网络都采用以太网交换机的10/100M端口到桌面而不是HUB,因而无法通过Sniffer的方式窃取信息

5.合理制定员工拨号权限

很多厂家已经将传统交换机的丰富功能移植到了VoIP系统,这些功能将有效地抑制窃取登陆密码进行盗打的现象。给IP电话设定能否拨打长途或特定号码的权限,或者是通过授权码的方式要求拨打长途号码前必须输入正确的若干位密码等方式,可以简单的解决上述问题。

IP网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用,VoIP所面临的一些安全隐患,实际是IP网络上存在的若干问题的延续。只有很好地解决了网络的安全问题,同时配合产品本身的一些安全认证机制,基于VoIP的应用才能够在企业中持久稳定的发挥作用,并成为解决企业话音通信需求的有效方法。

 

作者:中国电力通信网 合作媒体:中国电力通信网 编辑:顾北

 

 

 
 热点技术
普通技术 “5G”,真的来了!牛在哪里?
普通技术 5G,是伪命题吗?
普通技术 云视频会议关键技术浅析
普通技术 运营商语音能力开放集中管理方案分析
普通技术 5G网络商用需要“无忧”心
普通技术 面向5G应运而生的边缘计算
普通技术 简析5G时代四大关键趋势
普通技术 国家网信办就《数据安全管理办法》公开征求意见
普通技术 《车联网(智能网联汽车)直连通信使用5905-5925MHz频段管理规定(
普通技术 中兴通讯混合云解决方案,满足5G多元业务需求
普通技术 大规模MIMO将带来更多无线信道,但也使无线信道易受攻击
普通技术 蜂窝车联网的标准及关键技术及网络架构的研究
普通技术 4G与5G融合组网及互操作技术研究
普通技术 5G中CU-DU架构、设备实现及应用探讨
普通技术 无源光网络承载5G前传信号可行性的研究概述
普通技术 面向5G中传和回传网络承载解决方案
普通技术 数据中心布线系统可靠性探讨
普通技术 家庭互联网终端价值研究
普通技术 鎏信科技CEO刘舟:从连接层构建IoT云生态,聚焦CMP是关键
普通技术 SCEF引入需求分析及部署应用
  版权与免责声明: ① 凡本网注明“合作媒体:通信界”的所有作品,版权均属于通信界,未经本网授权不得转载、摘编或利用其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:通信界”。违反上述声明者,本网将追究其相关法律责任。 ② 凡本网注明“合作媒体:XXX(非通信界)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。 ③ 如因作品内容、版权和其它问题需要同本网联系的,请在一月内进行。
通信视界
华为余承东:Mate30总体销量将会超过两千万部
赵随意:媒体融合需积极求变
普通对话 苗圩:建设新一代信息基础设施 加快制造业数字
普通对话 华为余承东:Mate30总体销量将会超过两千万部
普通对话 赵随意:媒体融合需积极求变
普通对话 韦乐平:5G给光纤、光模块、WDM光器件带来新机
普通对话 安筱鹏:工业互联网——通向知识分工2.0之路
普通对话 库克:苹果不是垄断者
普通对话 华为何刚:挑战越大,成就越大
普通对话 华为董事长梁华:尽管遇到外部压力,5G在商业
普通对话 网易董事局主席丁磊:中国正在引领全球消费趋
普通对话 李彦宏:无人乘用车时代即将到来 智能交通前景
普通对话 中国联通研究院院长张云勇:双轮驱动下,工业
普通对话 “段子手”杨元庆:人工智能金句频出,他能否
普通对话 高通任命克里斯蒂安诺·阿蒙为公司总裁
普通对话 保利威视谢晓昉:深耕视频技术 助力在线教育
普通对话 九州云副总裁李开:帮助客户构建自己的云平台
通信前瞻
杨元庆:中国制造高质量发展的未来是智能制造
对话亚信科技CTO欧阳晔博士:甘为桥梁,携"电
普通对话 杨元庆:中国制造高质量发展的未来是智能制造
普通对话 对话亚信科技CTO欧阳晔博士:甘为桥梁,携"电
普通对话 对话倪光南:“中国芯”突围要发挥综合优势
普通对话 黄宇红:5G给运营商带来新价值
普通对话 雷军:小米所有OLED屏幕手机均已支持息屏显示
普通对话 马云:我挑战失败心服口服,他们才是双11背后
普通对话 2018年大数据产业发展试点示范项目名单出炉 2
普通对话 陈志刚:提速又降费,中国移动的两面精彩
普通对话 专访华为终端何刚:第三代nova已成为争夺全球
普通对话 中国普天陶雄强:物联网等新经济是最大机遇
普通对话 人人车李健:今年发力金融 拓展汽车后市场
普通对话 华为万飚:三代出贵族,PC产品已走在正确道路
普通对话 共享退潮单车入冬 智享单车却走向盈利
普通对话 Achronix发布新品单元块 推动eFPGA升级
普通对话 金柚网COO邱燕:天吴系统2.0真正形成了社保管