VoIP部署不当 企业威胁大 2005-7-14 　　目前，VoIP面临的安全议题主要有四：阻断式服务(DoS)攻击、非法存取、 话费诈欺或窃听等威胁。而VoIP的协议安全却是无法忽略之痛。 　　资讯安全专家会这样警告你，如果对VoIP部署不当，互联网电话会受到骇客 和恶意代码的攻击。VoIP可能破坏网路的安全措施，对於企业网路而言，VoIP的 威胁尤其大，因为企业会急於部署这一技术而忽视了安全。 　　仔细分析可以看到，VoIP首先要面对的安全问题是最底层的危害??其自身的 软硬体设施。因为目前大部分VoIP设备基於标准作业系统，传输协议也属於开放 技术，所以有相当高的可能受到攻击者的袭击。而且在大部分情况下，VoIP设施 需要提供远程管理能力，其所依赖的服务和软体也同样可能存在安全漏洞。 　　具体看一看VoIP的传输协议。与VoIP相关的网路技术协议很多，常见的有控 制实时数据流应用在IP网路传输的RTP(实时传输协议)和RTCP(实时传输控制协议 )；有保证网路QoS品质服务的RSVP(资源预留协议)和IP different Service等，还有传统语音数字化编码的一系列协议如G.711、 G.728、G.723、G.729等等。但目前VoIP技术最常用的话音建立和控制信令是H.3 23和SIP(会话初始协议)。 　　其中，SIP协议是IETF定义多媒体数据和控制体系结构中的重要组成部分。 同时，由於SIP只负责提供会话连接和会话管理，而与应用无关，因此SIP可以被 用於多个领域。如今，市场上已随处可见SIP IP 电话、群组视频会议系统、专为服务提供商提供的音频会议媒体伺服器，以及可 同时相容H.323和SIP的音视频会议多点控制单元。目前，SIP正给会议市场带来 最广泛的互联互通。然而，即使是协议本身也有潜在的安全问题： 　　H.323和SIP总体上都是一套开放的协议体系。在一系列的通话过程方面，各 设备厂家都有独立的组件来承载。这些产品有的采用Windows NT作业系统，也有基於Linux的。而越是开放的作业系统，其产品应用过程就越 容易受到病毒和恶意攻击的影响。而这些应用都是在产品出厂时就已经安装在设 备当中的，无法保证是最新版本或是承诺已经弥补了某些安全漏洞。同时，最为 一种新兴发展技术的传输协议，SIP并不完善，它采用类似於FTP、电子邮件或者 HTTP伺服器的形式来发起用户之间的连接。利用这种连接技术，骇客们同样会对 VOIP进行攻击。 　　两年前，国家电脑网路应急技术处理协调中心(CERT)曾报告了SIP协议栈中 的一个缺陷。利用该缺陷，攻击者将有机会获得非法访问特权，发起DoS攻击， 造成系统不稳等问题。显然，这个缺陷与SIP设备互相发送的、用来初始化VoIP 呼叫、文本聊天或视频等话路的"邀请"信有关。 　　从原理上说，利用漏洞可以发起各种类型的攻击。比如一旦网关被骇客攻破 ，IP电话不用经过认证就可随意拨打，未经保护的语音通话有可能遭到拦截和窃 听，而且可以被随时截断。骇客利用重定向攻击可以把语音邮件地址替换成自己 指定的特定IP地址，为自己打开秘密通道和後门。而最典型的是，骇客们可以骗 过SIP和IP地址的限制而窃取到整个谈话过程。 　　因此，并不完善的协议会导致严重的後果：如果有人通过SIP漏洞冒充你的 代理人与你通话，他就可以轻易的获取你的各种资料(其中当然包括银行卡号和 口令)，那麽，当电话挂断时，你辛辛苦苦赚来的积蓄将被洗劫一空。另外，一 个骇客也可以很容易地在您的SIP伺服器中提交超量的假服务请求，这样伺服器 即不能接也不能听电话，造成服务拒绝现象。 　　协议上的问题远远不止这些。在网路上截取SIP的协议，很容易获得RTP的端 口和路由，然後通过特定模式很轻松地就可以实现窃听。通过网卡的混杂模式， 骇客们可以很容易就可以实现截获局域网中所有POP3的协议??包括口令，都是很 轻松的就能截取。 　　另外，VoIP的实现依赖於TCP/IP协议栈的运行，所以TCP/IP协议面临的所有 安全问题我们都无法回避。一些常见而麻烦的病毒问题也注定要对VoIP应用环境 造成困扰。因此，对於VoIP设备自身，应该比普通的电脑设备更加注重常见资讯 安全原则的实现，例如只提供必要的服务，关闭和遮罩无用的端口；停止使用不 必要的协议??没有必要启用不必要和未用过的协议和服务，以免为骇客提供更多 的机会。 　　忽视这些原则将造成非常严重的安全危害。原因显而易见：如果VoIP的基础 设施不能得到有效保护，它就能够被轻易地攻击，存储的谈话内容就会被窃听。 与传统的电话设备相比，用於传输VoIP的网路??路由器、伺服器，甚至是交换机 ，都更容易受到攻击。而传统电话使用的PBX，它是稳定和安全的。 　　传统电话的垄断时代即将过去，属於VoIP的时代正在来临。这都迫使VoIP服 务提供商们重新审视他们的技术重心。值得欣慰的是，目前的一些传输协议日趋 完善，而且各公司已经开始意识到协议安全的重要性了。 作者：唐雅薇 摘自：赛迪网－中国电脑报 浏览人次：27 http://61.129.112.60:82/gate/big5/www.c114.net/Zhuanti_simple/NGN/read_NGN.asp?action=f01&styptID=1&articleID=66 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.137.4.227