VoIP部署不當 企業威脅大 2005-7-14 　　目前，VoIP面臨的安全議題主要有四：阻斷式服務(DoS)攻擊、非法存取、 話費詐欺或竊聽等威脅。而VoIP的協議安全卻是無法忽略之痛。 　　資訊安全專家會這樣警告你，如果對VoIP部署不當，互聯網電話會受到駭客 和惡意代碼的攻擊。VoIP可能破壞網路的安全措施，對於企業網路而言，VoIP的 威脅尤其大，因為企業會急於部署這一技術而忽視了安全。 　　仔細分析可以看到，VoIP首先要面對的安全問題是最底層的危害??其自身的 軟硬體設施。因為目前大部分VoIP設備基於標準作業系統，傳輸協議也屬於開放 技術，所以有相當高的可能受到攻擊者的襲擊。而且在大部分情況下，VoIP設施 需要提供遠程管理能力，其所依賴的服務和軟體也同樣可能存在安全漏洞。 　　具體看一看VoIP的傳輸協議。與VoIP相關的網路技術協議很多，常見的有控 制實時數據流應用在IP網路傳輸的RTP(實時傳輸協議)和RTCP(實時傳輸控制協議 )；有保證網路QoS品質服務的RSVP(資源預留協議)和IP different Service等，還有傳統語音數字化編碼的一系列協議如G.711、 G.728、G.723、G.729等等。但目前VoIP技術最常用的話音建立和控制信令是H.3 23和SIP(會話初始協議)。 　　其中，SIP協議是IETF定義多媒體數據和控制體系結構中的重要組成部分。 同時，由於SIP只負責提供會話連接和會話管理，而與應用無關，因此SIP可以被 用於多個領域。如今，市場上已隨處可見SIP IP 電話、群組視頻會議系統、專為服務提供商提供的音頻會議媒體伺服器，以及可 同時相容H.323和SIP的音視頻會議多點控制單元。目前，SIP正給會議市場帶來 最廣泛的互聯互通。然而，即使是協議本身也有潛在的安全問題： 　　H.323和SIP總體上都是一套開放的協議體系。在一系列的通話過程方面，各 設備廠家都有獨立的組件來承載。這些產品有的採用Windows NT作業系統，也有基於Linux的。而越是開放的作業系統，其產品應用過程就越 容易受到病毒和惡意攻擊的影響。而這些應用都是在產品出廠時就已經安裝在設 備當中的，無法保證是最新版本或是承諾已經彌補了某些安全漏洞。同時，最為 一種新興發展技術的傳輸協議，SIP並不完善，它採用類似於FTP、電子郵件或者 HTTP伺服器的形式來發起用戶之間的連接。利用這種連接技術，駭客們同樣會對 VOIP進行攻擊。 　　兩年前，國家電腦網路應急技術處理協調中心(CERT)曾報告了SIP協議棧中 的一個缺陷。利用該缺陷，攻擊者將有機會獲得非法訪問特權，發起DoS攻擊， 造成系統不穩等問題。顯然，這個缺陷與SIP設備互相發送的、用來初始化VoIP 呼叫、文本聊天或視頻等話路的"邀請"信有關。 　　從原理上說，利用漏洞可以發起各種類型的攻擊。比如一旦網關被駭客攻破 ，IP電話不用經過認證就可隨意撥打，未經保護的語音通話有可能遭到攔截和竊 聽，而且可以被隨時截斷。駭客利用重定向攻擊可以把語音郵件地址替換成自己 指定的特定IP地址，為自己打開秘密通道和後門。而最典型的是，駭客們可以騙 過SIP和IP地址的限制而竊取到整個談話過程。 　　因此，並不完善的協議會導致嚴重的後果：如果有人通過SIP漏洞冒充你的 代理人與你通話，他就可以輕易的獲取你的各種資料(其中當然包括銀行卡號和 口令)，那麼，當電話挂斷時，你辛辛苦苦賺來的積蓄將被洗劫一空。另外，一 個駭客也可以很容易地在您的SIP伺服器中提交超量的假服務請求，這樣伺服器 即不能接也不能聽電話，造成服務拒絕現象。 　　協議上的問題遠遠不止這些。在網路上截取SIP的協議，很容易獲得RTP的端 口和路由，然後通過特定模式很輕鬆地就可以實現竊聽。通過網卡的混雜模式， 駭客們可以很容易就可以實現截獲局域網中所有POP3的協議??包括口令，都是很 輕鬆的就能截取。 　　另外，VoIP的實現依賴於TCP/IP協議棧的運行，所以TCP/IP協議面臨的所有 安全問題我們都無法回避。一些常見而麻煩的病毒問題也註定要對VoIP應用環境 造成困擾。因此，對於VoIP設備自身，應該比普通的電腦設備更加注重常見資訊 安全原則的實現，例如只提供必要的服務，關閉和遮罩無用的端口；停止使用不 必要的協議??沒有必要啟用不必要和未用過的協議和服務，以免為駭客提供更多 的機會。 　　忽視這些原則將造成非常嚴重的安全危害。原因顯而易見：如果VoIP的基礎 設施不能得到有效保護，它就能夠被輕易地攻擊，存儲的談話內容就會被竊聽。 與傳統的電話設備相比，用於傳輸VoIP的網路??路由器、伺服器，甚至是交換機 ，都更容易受到攻擊。而傳統電話使用的PBX，它是穩定和安全的。 　　傳統電話的壟斷時代即將過去，屬於VoIP的時代正在來臨。這都迫使VoIP服 務提供商們重新審視他們的技術重心。值得欣慰的是，目前的一些傳輸協議日趨 完善，而且各公司已經開始意識到協議安全的重要性了。 作者：唐雅薇 摘自：賽迪網－中國電腦報 瀏覽人次：27 http://61.129.112.60:82/gate/big5/www.c114.net/Zhuanti_simple/NGN/read_NGN.asp?action=f01&styptID=1&articleID=66 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.137.4.227