網管支招:三部曲改變VoIP滲透所造成威脅
發佈時間:2008.06.05 07:05 來源:賽迪網 作者:叫和哥
【賽迪網-IT技術報道】駭客通過VoIP滲透來竊取、私用企業的VoIP電話,造成了VoIP的不安全性。開放性的架構所帶來的靈活性讓VoIP能夠滲透到企業的整個管理流程中去,提高通信效能,提高生產效率,這是IP技術的核心優勢所在。所有影響數據網路的攻擊都可能會影響到VoIP網路,如病毒、垃圾郵件、非法侵入、DoS、劫持電話、偷聽、數據嗅探等。
前段時間,聖地亞哥駭客會議局的兩個安全專家通過Cisco VoIPdia進入了他們所在酒店的內部公共網路系統。兩名駭客說,他們通過Wired.com網站的一篇博客進入到了這家酒店的財務系統和內部公共網路系統,並且獲取下了酒店內部的通話記錄。這兩名駭客使用了由一種名叫VoIP Hopper提供的滲透測試模式,VoIP Hopper將模擬Cisco數據包,每三分鐘發送一次資訊,然後轉換成為新的乙太網介面,通過博客地址,用電腦代替酒店的電話系統切入到網路中去,以此來運轉VoIP。可見VoIP是件危險的事情,從某種角度講對網路產生了一定的安全威脅。
VoIP滲透現狀
VoIP在IP網路上運行。意味著,它與WEB和電子郵件等其他IP應用一樣,有著同樣的威脅和漏洞等安全問題。這些威脅和漏洞包括所有IP網路層面的威脅。每天很疲憊地應對這些威脅;以及人們使用標準的網路安全技術和良好的網路設計來應對未知威脅。網路的安全性根本技術問題(技術問題遲早會通過技術解決),但我們並沒有因為經常存在駭客、病毒的侵襲而不發展網路,同理,我們也不能因為有了安全性問題而不發展網路電話,否則就是本末倒置、因噎廢食的愚蠢做法;最後,對網路電話安全問題考慮得比較多的是大型企業,因為這些企業擔心機密外泄而拒絕使用網路電話。
與VoIP相關的網路技術協議很多,常見的有控制實時數據流應用在IP網路傳輸的實時傳輸協議和實時傳輸控制協議;有保證網路QoS品質服務的資源預留協議和IP different Service等,還有傳統語音數字化編碼的一系列協議如G.711、G.728、G.723、G.729等等。但目前VoIP技術最常用的話音建立和控制信令是H.323和會話初始協議(STP)。SIP協議是IETF定義多媒體數據和控制體系結構中的重要組成部分。同時,由於SIP只負責提供會話連接和會話管理,而與應用無關,因此SIP可以被用於多個領域。即使是協議本身也有潛在的安全問題:H.323和SIP總體上都是一套開放的協議體系。
在一系列的通話過程方面,各設備廠家都有獨立的組件來承載。越是開放的作業系統,其產品應用過程就越容易受到病毒和惡意攻擊的影響。而這些應用都是在產品出廠時就已經安裝在設備當中的,無法保證是最新版本或是承諾已經彌補了某些安全漏洞。同時,最為一種新興發展技術的傳輸協議,SIP並不完善,它採用類似于FTP、電子郵件或者HTTP伺服器的形式來發起用戶之間的連接。利用這種連接技術,駭客們同樣會對VOIP進行攻擊。如果網關被駭客攻破,IP電話不用經過認證就可隨意撥打,未經保護的語音通話有可能遭到攔截和竊聽,而且可以被隨時截斷。駭客利用重定向攻擊可以把語音郵件地址替換成自己指定的特定IP地址,為自己打開秘密通道和後門。駭客們可以騙過SIP和IP地址的限制而竊取到整個談話過程。
如果VoIP的基礎設施不能得到有效保護,它就能夠被輕易地攻擊,存儲的談話內容就會被竊聽。與傳統的電話設備相比,用於傳輸VoIP的網路━━路由器、伺服器,甚至是交換機,都更容易受到攻擊。而傳統電話使用的PBX,它是穩定和安全的。應該從以下三個方面著手:
第一部曲:限制所有的VoIP數據只能傳輸到一個VLAN上,確保網關的安全
對語音和數據分別劃分VLAN,這樣有助於按照優先次序來處理語音和數據。劃分VLAN也有助於防禦費用欺詐、DoS攻擊、竊聽、劫持通信等。VLAN的劃分使用戶的電腦形成了一個有效的封閉的圈子,它不允許任何其他電腦訪問其設備,從而也就避免了電腦的攻擊,VoIP網路也就相當安全;即使受到攻擊,也會將損失降到最低。要配置網關,使那些只有經過允許的用戶才可以打出或接收VoIP電話,列示那些經過鑒別和核準的用戶,這可以確保其他人不能佔線打免費電話。通過SPI防火牆、應用層網關、網路地址轉換工具、SIP對VoIP軟客戶端的支援等的組合,來保護網關和位於其後的局域網。
第二部曲:及時更新VoIP安全漏洞,增加訪問控制列表
VoIP網路的安全性,既依賴於底層的作業系統又依賴於運行其上的應用軟體。保持作業系統及VoIP應用軟體補丁及時更新對於防禦惡意程式或傳染性程式代碼是非常重要的。對於目前存在的VoIP安全漏洞及時更新,通過端口管理,進行適當增加訪問控制列表。
如: ip access-list admin_acl
seq 10 permit ip 212.22.128.0 0.0.7.255 any
seq 20 permit ip 200.2.141.0 0.0.0.255 any
seq 30 permit ip 219.56.9.192 0.0.0.15 any
seq 31 permit ip 212.22.138.48 0.0.0.15 any
seq 32 permit ip host 201.55.3.12 any
seq 40 deny tcp any any eq telnet
seq 50 deny tcp any any eq ssh
seq 60 deny tcp any any eq ftp
seq 70 deny tcp any any eq ftp-data
seq 80 deny tcp any any eq 161
seq 90 deny udp any any eq tftp
seq 91 deny udp any any eq snmp
seq 100 permit ip any any
第三部曲:根據某種標準限制訪問,避免遠程管理,保障VoIP平臺的安全
通過準備一個被允許呼叫的目的地列表,來防止網路被濫用於長途電話、“釣魚”欺詐和非法電話。網路管理員可以建立嚴格的準入標準,防止用戶訪問具有潛在危險的設備,當這些設備被發現感染了病毒或蠕蟲時,或沒有打上最新的補丁,或沒有安裝適當的防火牆,都使系統潛藏著危險。這些設備可以被定向到完全不同的網路,並將危險傳入到要害網路。如果可能,最好避免使用遠程管理和審計,但若是需要的話,使用SSH或IPsec來保證安全中國體育彩票股票股票腫瘤粉碎機四川地震汶川地震奧運 。隧道和傳輸加密是兩種不同的加密模式,都支援IP層的數據包交換。使用IPsec傳輸加密只對數據進行加密,並隱藏源IP地址和目標IP地址。禁用那些非必要的服務,並使用基於主機的檢測方法。 保障VoIP網路的安全是一項艱巨的任務,特別是考慮到缺少適當的標準和程式的情況下。一個網路安全性依賴於硬體和軟體的正確選擇。
(責任編輯:董建偉)
沒有留言:
張貼留言