首頁>>>技術>>>VoIP

網(wǎng)管心得：VoIP滲透現(xiàn)狀以及威脅消除三部曲

叫和哥 2008/06/06

　　黑客通過VoIP滲透來竊取、私用企業(yè)的VoIP電話，造成了VoIP的不安全性。開放性的架構所帶來的靈活性讓VoIP能夠滲透到企業(yè)的整個管理流程中去,提高通信效能,提高生產(chǎn)效率,這是IP技術的核心優(yōu)勢所在。所有影響數(shù)據(jù)網(wǎng)絡的攻擊都可能會影響到VoIP網(wǎng)絡,如病毒、垃圾郵件、非法侵入、DoS、劫持電話、偷聽、數(shù)據(jù)嗅探等。

　　前段時間，圣地亞哥黑客會議局的兩個安全專家通過Cisco VoIPdia進入了他們所在酒店的內部公共網(wǎng)絡系統(tǒng)。兩名黑客說，他們通過Wired.com網(wǎng)站的一篇博客進入到了這家酒店的財務系統(tǒng)和內部公共網(wǎng)絡系統(tǒng)，并且獲取下了酒店內部的通話記錄。這兩名黑客使用了由一種名叫VoIP Hopper提供的滲透測試模式，VoIP Hopper將模擬Cisco數(shù)據(jù)包，每三分鐘發(fā)送一次信息，然后轉換成為新的以太網(wǎng)界面，通過博客地址，用計算機代替酒店的電話系統(tǒng)切入到網(wǎng)絡中去，以此來運轉VoIP�？梢奦oIP是件危險的事情，從某種角度講對網(wǎng)絡產(chǎn)生了一定的安全威脅。

　　VoIP滲透現(xiàn)狀

　　VoIP在IP網(wǎng)絡上運行。意味著，它與WEB和電子郵件等其它IP應用一樣，有著同樣的威脅和漏洞等安全問題。這些威脅和漏洞包括所有IP網(wǎng)絡層面的威脅。每天很疲憊地應對這些威脅;以及人們使用標準的網(wǎng)絡安全技術和良好的網(wǎng)絡設計來應對未知威脅。網(wǎng)絡的安全性根本技術問題(技術問題遲早會通過技術解決)，但我們并沒有因為經(jīng)常存在黑客、病毒的侵襲而不發(fā)展網(wǎng)絡，同理，我們也不能因為有了安全性問題而不發(fā)展網(wǎng)絡電話，否則就是本末倒置、因噎廢食的愚蠢做法;最后，對網(wǎng)絡電話安全問題考慮得比較多的是大型企業(yè)，因為這些企業(yè)擔心機密外泄而拒絕使用網(wǎng)絡電話。

　　與VoIP相關的網(wǎng)絡技術協(xié)議很多，常見的有控制實時數(shù)據(jù)流應用在IP網(wǎng)絡傳輸?shù)膶崟r傳輸協(xié)議和實時傳輸控制協(xié)議;有保證網(wǎng)絡QoS質量服務的資源預留協(xié)議和IP different Service等，還有傳統(tǒng)語音數(shù)字化編碼的一系列協(xié)議如G.711、G.728、G.723、G.729等等。但目前VoIP技術最常用的話音建立和控制信令是H.323和會話初始協(xié)議(STP)。SIP協(xié)議是IETF定義多媒體數(shù)據(jù)和控制體系結構中的重要組成部分。同時，由于SIP只負責提供會話連接和會話管理，而與應用無關，因此SIP可以被用于多個領域。即使是協(xié)議本身也有潛在的安全問題：H.323和SIP總體上都是一套開放的協(xié)議體系。

　　在一系列的通話過程方面，各設備廠家都有獨立的組件來承載。越是開放的操作系統(tǒng)，其產(chǎn)品應用過程就越容易受到病毒和惡意攻擊的影響。而這些應用都是在產(chǎn)品出廠時就已經(jīng)安裝在設備當中的，無法保證是最新版本或是承諾已經(jīng)彌補了某些安全漏洞。同時，最為一種新興發(fā)展技術的傳輸協(xié)議，SIP并不完善，它采用類似于FTP、電子郵件或者HTTP服務器的形式來發(fā)起用戶之間的連接。利用這種連接技術，黑客們同樣會對VOIP進行攻擊。如果網(wǎng)關被黑客攻破，IP電話不用經(jīng)過認證就可隨意撥打，未經(jīng)保護的語音通話有可能遭到攔截和竊聽，而且可以被隨時截斷。黑客利用重定向攻擊可以把語音郵件地址替換成自己指定的特定IP地址，為自己打開秘密通道和后門。黑客們可以騙過SIP和IP地址的限制而竊取到整個談話過程。

　　如果VoIP的基礎設施不能得到有效保護，它就能夠被輕易地攻擊，存儲的談話內容就會被竊聽。與傳統(tǒng)的電話設備相比，用于傳輸VoIP的網(wǎng)絡━━路由器、服務器，甚至是交換機，都更容易受到攻擊。而傳統(tǒng)電話使用的PBX，它是穩(wěn)定和安全的。應該從以下三個方面著手：

　　第一部曲：限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋€VLAN上，確保網(wǎng)關的安全

　　對語音和數(shù)據(jù)分別劃分VLAN，這樣有助于按照優(yōu)先次序來處理語音和數(shù)據(jù)。劃分VLAN也有助于防御費用欺詐、DoS攻擊、竊聽、劫持通信等。VLAN的劃分使用戶的計算機形成了一個有效的封閉的圈子，它不允許任何其它計算機訪問其設備，從而也就避免了電腦的攻擊，VoIP網(wǎng)絡也就相當安全;即使受到攻擊，也會將損失降到最低。要配置網(wǎng)關，使那些只有經(jīng)過允許的用戶才可以打出或接收VoIP電話，列示那些經(jīng)過鑒別和核準的用戶，這可以確保其它人不能占線打免費電話。通過SPI防火墻、應用層網(wǎng)關、網(wǎng)絡地址轉換工具、SIP對VoIP軟客戶端的支持等的組合，來保護網(wǎng)關和位于其后的局域網(wǎng)。

　　第二部曲：及時更新VoIP安全漏洞，增加訪問控制列表

　　VoIP網(wǎng)絡的安全性，既依賴于底層的操作系統(tǒng)又依賴于運行其上的應用軟件。保持操作系統(tǒng)及VoIP應用軟件補丁及時更新對于防御惡意程序或傳染性程序代碼是非常重要的。對于目前存在的VoIP安全漏洞及時更新，通過端口管理，進行適當增加訪問控制列表。

　　第三部曲：根據(jù)某種標準限制訪問，避免遠程管理，保障VoIP平臺的安全

　　通過準備一個被允許呼叫的目的地列表，來防止網(wǎng)絡被濫用于長途電話、“釣魚”欺詐和非法電話。網(wǎng)絡管理員可以建立嚴格的準入標準，防止用戶訪問具有潛在危險的設備，當這些設備被發(fā)現(xiàn)感染了病毒或蠕蟲時，或沒有打上最新的補丁，或沒有安裝適當?shù)姆阑饓�，都使系統(tǒng)潛藏著危險。這些設備可以被定向到完全不同的網(wǎng)絡，并將危險傳入到要害網(wǎng)絡。如果可能，最好避免使用遠程管理和審計，但若是需要的話，使用SSH或IPsec來保證安全中國體育彩票股票股票腫瘤粉碎機四川地震汶川地震奧運。隧道和傳輸加密是兩種不同的加密模式，都支持IP層的數(shù)據(jù)包交換。使用IPsec傳輸加密只對數(shù)據(jù)進行加密，并隱藏源IP地址和目標IP地址。禁用那些非必要的服務，并使用基于主機的檢測方法。保障VoIP網(wǎng)絡的安全是一項艱巨的任務，特別是考慮到缺少適當?shù)臉藴屎统绦虻那闆r下。一個網(wǎng)絡安全性依賴于硬件和軟件的正確選擇。

賽迪網(wǎng)中國信息化(industry.ccidnet.com)

callfreee VoIP電話適配器深度評測 2008-06-04

基于TMS320C6201的G.723.1多通道語音編解碼的實現(xiàn) 2008-06-03

混合型VoIP系統(tǒng)更實用 2008-06-03

統(tǒng)一通信的新技術困擾 2008-06-03

分類信息:

都兰县| 凤翔县| 乌鲁木齐市| 通河县| 黄山市| 黄大仙区| 罗甸县| 长治市| 桐庐县| 广德县| 伊川县| 湟源县| 上蔡县| 富民县| 齐齐哈尔市| 商城县| 景德镇市| 马山县| 巴东县| 施秉县| 伽师县| 清丰县| 三亚市| 新郑市| 大荔县| 呼和浩特市| 巢湖市| 青岛市| 格尔木市| 萍乡市| 定南县| 奉贤区| 苏尼特左旗| 永年县| 泊头市| 白水县| 平潭县| 伊宁市| 博爱县| 扬中市| 白水县|