VoIP漏洞以及防護方法

2019-05-03 12:24:55 来源: 汕尾信息港

隨著數據絡帶寬的不斷擴展,百兆甚至千兆到桌面已經成為可能。帶寬的提升也為在數據絡上傳輸話音提供了有力的前提條件。同時,VoIP技術也日趨成熟,類似話音壓縮、Qos質量保障之類的話題被大家廣泛的討論并達成共識。可以說VoIP技術已從原來的實驗性質真正的專向為成熟的商業應用。

虽然VoIP在中国早的应用还是在运营商中做电路交换的补充,但现在已经有很多企业用户已经开始关注起VoIP这一应用。对于新兴的小型办公企业,利用新建的数据络的充裕带宽来承载语音,要比再建一套独立的话音系统方便许多,功能上也具备了诸如移动办公等传统话音交换机所不具备的功能。对于行业用户,由于有连接各个分支节点的数据络,利用IP中继进行总部和分支节点间的互联可以省去租用长途电路中继的高昂费用。因此,VoIP技术在企业级用户群体中将会有广阔的应用。

但是,在实施项目或在使用过程中,用户和设备供应厂家更多的会将精力放在如何改良话音质量和同现有数据络的融合上面,很少考虑到VoIP所存在的安全隐患。犹如我们将重要的运用服务器都置于防火墙的保护之内一样;其实,在VoIP的情况下,话音也是和数据应用一样,也成为了一个个的“Packet”,同样也将承受各种病毒和黑客攻击的困扰。难怪有人调侃说:“这是有史以来的次,电脑病毒能够让你的不能正常工作。”

究竟有那几种因素会影响到VoIP呢?首先是产品本身的问题。目前VoIP技术常用的话音建立和控制信令是H.323和SIP协议。尽管它们之间有若干区别,但总体上都是一套开放的协议体系。装备厂家都会有独立的组件来承载包括IP终端登陆注册、关守和信令接续。这些产品有的采取Windows NT的操作系统,也有的是基于Linux或VxWorks。越是开放的操作系统,也就越容易受到病毒和恶意攻击的影响。尤其是某些设备需要提供基于Web 的管理界面的时候,都会有机会采取Microsoft IIS或Apache来提供服务,而这些应用都是在产品出厂的时候已经安装在设备当中,无法保证是版本或是承诺已经弥补了某些安全漏洞。

其次是基于开放端口的DoS(拒绝服务)攻击。从络攻击的方法和产生的破坏效果来看,DoS算是一种既简单又有效的攻击方式。攻击者向服务器发送相当多数量的带有虚假地址的服务要求,但由于所包含的回复地址是虚假的,服务器将等不到回传的消息,直至所有的资源被耗尽。VoIP技术已有很多知名的端口,像1719、1720、5060等。还有一些端口是产品本身需要用于远端管理或是私有信息传递的用处,总之是要比普通的某个简单的数据应用多。只要是攻击者的PC和这些应用端口在同一段,就可以通过简单的扫描工具,如X-Way之类的共享软件来获得更详细的信息。

近报道的一个安全漏洞是由NISCC(UK National Infrastructure Security Co-ordi-nation Center)提出,测试结果表明:“市场上很多采用H.323协议的VoIP系统在H.245建立进程中都存在漏洞,容易在1720端口上遭到DoS的攻击,致使从而系统的不稳定乃至瘫痪”。

再次就是服务盗取,这个问题在摹拟话机的情况下同样存在。如同我们在一根普通模拟话机线上又并接了多个一样,将会出现盗打的问题。尽管IP话机没办法通过并线的方式来打,但通过窃取使用者IP的登陆密码一样能够取得话机的权限。通常在IP话机首次登陆到系统时,会要求提示输入各人的分机号码和密码;很多采取了VoIP的企业为了方便员工远程/移动办公,都会在分配一个桌面的同时,再分配一个虚拟的IP,并授予密码和拨号权限。

这样,即便员工出差或是在家办公情况下,都可以利用VPN方式接入到公司的局域中,然后运行电脑中的IP软件接听或拨打市话,如同在公司里办公一样。当密码流失之后,任何人都可以用自己的软登陆成为他人的分机号码;如果取得的权限是可以自由拨打国内乃至国际长途号码,将会给企业带来巨大的损失且很难追查。

是媒体流的侦听问题。摹拟话机存在并线窃听的问题,当企业用户使用了数字话机之后,由于都是厂家私有的协议,很难通过简单的手段来侦听。但VoIP环境下,这个问题又被提了出来。一个典型的 VoIP呼叫需要信令和媒体流两个建立的步骤,RTP/RTCP是在基于包的络上传输等时话音信息的协议。由于协议本身是开放的,即使是一小段的媒体流都可以被重放出来而不需要前后信息的关联。如果有人在数据络上通过Sniffer的方式记录所有信息并通过软件加以重放,会引起员工对话音通信的信任危机。

观《焦裕禄》影片有感
北海分局赴我市进行违法项目督导检查
开平国土分局邀请区委党校专家来局辅导授课
本文标签: