目前,VoIP" title="VoIP">VoIP面臨的安全議題主要有四:阻斷式服務(wù)(DoS)安全,、非法存取,、話(huà)費(fèi)詐欺或竊聽(tīng)等威脅,。而VoIP的協(xié)議安全卻是無(wú)法忽略之痛。
信息安全專(zhuān)家會(huì)這樣警告你,,如果對(duì)VoIP部署不當(dāng),,互聯(lián)網(wǎng)電話(huà)會(huì)受到安全和惡意代碼的安全。VoIP可能破壞網(wǎng)絡(luò)的安全措施,,對(duì)于企業(yè)網(wǎng)絡(luò)而言,,VoIP的威脅尤其大,,因?yàn)槠髽I(yè)會(huì)急于部署這一技術(shù)而忽視了安全,。
仔細(xì)分析可以看到,VoIP首先要面對(duì)的安全問(wèn)題是最底層的危害??其自身的軟硬件設(shè)施,。因?yàn)槟壳按蟛糠諺oIP設(shè)備基于標(biāo)準(zhǔn)操作系統(tǒng),,傳輸協(xié)議也屬于開(kāi)放技術(shù),所以有相當(dāng)高的可能受到安全者的襲擊,。而且在大部分情況下,,VoIP設(shè)施需要提供遠(yuǎn)程管理能力,其所依賴(lài)的服務(wù)和軟件也同樣可能存在安全漏洞,。
具體看一看VoIP的傳輸協(xié)議,。與VoIP相關(guān)的網(wǎng)絡(luò)技術(shù)協(xié)議很多,常見(jiàn)的有控制實(shí)時(shí)數(shù)據(jù)流應(yīng)用在IP網(wǎng)絡(luò)傳輸?shù)腞TP(實(shí)時(shí)傳輸協(xié)議)和RTCP(實(shí)時(shí)傳輸控制協(xié)議);有保證網(wǎng)絡(luò)QoS質(zhì)量服務(wù)的RSVP(資源預(yù)留協(xié)議)和IPdifferentService等,,還有傳統(tǒng)語(yǔ)音數(shù)字化編碼的一系列協(xié)議如G.711,、G.728、G.723,、G.729等等,。但目前VoIP技術(shù)最常用的話(huà)音建立和控制信令是H.323和SIP(會(huì)話(huà)初始協(xié)議)。
其中,,SIP協(xié)議是IETF定義多媒體數(shù)據(jù)和控制體系結(jié)構(gòu)中的重要組成部分,。同時(shí),由于SIP只負(fù)責(zé)提供會(huì)話(huà)連接和會(huì)話(huà)管理,,而與應(yīng)用無(wú)關(guān),,因此SIP可以被用于多個(gè)領(lǐng)域。如今,,市場(chǎng)上已隨處可見(jiàn)SIPIP電話(huà),、群組視頻會(huì)議系統(tǒng)、專(zhuān)為服務(wù)提供商提供的音頻會(huì)議媒體服務(wù)器,,以及可同時(shí)兼容H.323和SIP的音視頻會(huì)議多點(diǎn)控制單元,。目前,SIP正給會(huì)議市場(chǎng)帶來(lái)最廣泛的互聯(lián)互通,。然而,,即使是協(xié)議本身也有潛在的安全問(wèn)題:
H.323和SIP總體上都是一套開(kāi)放的協(xié)議體系,。在一系列的通話(huà)過(guò)程方面,各設(shè)備廠(chǎng)家都有獨(dú)立的組件來(lái)承載,。這些產(chǎn)品有的采用WindowsNT操作系統(tǒng),,也有基于Linux的。而越是開(kāi)放的操作系統(tǒng),,其產(chǎn)品應(yīng)用過(guò)程就越容易受到病毒和惡意安全的影響,。而這些應(yīng)用都是在產(chǎn)品出廠(chǎng)時(shí)就已經(jīng)安裝在設(shè)備當(dāng)中的,無(wú)法保證是最新版本或是承諾已經(jīng)彌補(bǔ)了某些安全漏洞,。同時(shí),,最為一種新興發(fā)展技術(shù)的傳輸協(xié)議,SIP并不完善,,它采用類(lèi)似于FTP,、電子郵件或者HTTP服務(wù)器的形式來(lái)發(fā)起用戶(hù)之間的連接。利用這種連接技術(shù),,安全們同樣會(huì)對(duì)VOIP進(jìn)行安全,。
兩年前,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CERT)曾報(bào)告了SIP協(xié)議棧中的一個(gè)缺陷,。利用該缺陷,,安全者將有機(jī)會(huì)獲得非法訪(fǎng)問(wèn)特權(quán),發(fā)起DoS安全,,造成系統(tǒng)不穩(wěn)等問(wèn)題,。顯然,這個(gè)缺陷與SIP設(shè)備互相發(fā)送的,、用來(lái)初始化VoIP呼叫,、文本聊天或視頻等話(huà)路的“邀請(qǐng)”信有關(guān)。
從原理上說(shuō),,利用漏洞可以發(fā)起各種類(lèi)型的安全,。比如一旦網(wǎng)關(guān)被安全攻破,IP電話(huà)不用經(jīng)過(guò)認(rèn)證就可隨意撥打,,未經(jīng)保護(hù)的語(yǔ)音通話(huà)有可能遭到攔截和竊聽(tīng),,而且可以被隨時(shí)截?cái)唷0踩弥囟ㄏ虬踩梢园颜Z(yǔ)音郵件地址替換成自己指定的特定IP地址,,為自己打開(kāi)秘密通道和后門(mén),。而最典型的是,安全們可以騙過(guò)SIP和IP地址的限制而竊取到整個(gè)談話(huà)過(guò)程,。
因此,,并不完善的協(xié)議會(huì)導(dǎo)致嚴(yán)重的后果:如果有人通過(guò)SIP漏洞冒充你的代理人與你通話(huà),他就可以輕易的獲取你的各種資料(其中當(dāng)然包括銀行卡號(hào)和密碼),那么,,當(dāng)電話(huà)掛斷時(shí),,你辛辛苦苦賺來(lái)的積蓄將被洗劫一空。另外,,一個(gè)安全也可以很容易地在您的SIP服務(wù)器中提交超量的假服務(wù)請(qǐng)求,,這樣服務(wù)器即不能接也不能聽(tīng)電話(huà),造成服務(wù)拒絕現(xiàn)象,。
協(xié)議上的問(wèn)題遠(yuǎn)遠(yuǎn)不止這些,。在網(wǎng)絡(luò)上截取SIP的協(xié)議,很容易獲得RTP的端口和路由,,然后通過(guò)特定模式很輕松地就可以實(shí)現(xiàn)竊聽(tīng),。通過(guò)網(wǎng)卡的混雜模式,安全們可以很容易就可以實(shí)現(xiàn)截獲局域網(wǎng)中所有POP3的協(xié)議??包括口令,,都是很輕松的就能截取,。
另外,,VoIP的實(shí)現(xiàn)依賴(lài)于TCP/IP協(xié)議棧的運(yùn)行,,所以TCP/IP協(xié)議面臨的所有安全問(wèn)題我們都無(wú)法回避。一些常見(jiàn)而麻煩的病毒問(wèn)題也注定要對(duì)VoIP應(yīng)用環(huán)境造成困擾,。因此,,對(duì)于VoIP設(shè)備自身,應(yīng)該比普通的計(jì)算機(jī)設(shè)備更加注重常見(jiàn)信息安全原則的實(shí)現(xiàn),,例如只提供必要的服務(wù),,關(guān)閉和屏蔽無(wú)用的端口;停止使用不必要的協(xié)議??沒(méi)有必要啟用不必要和未用過(guò)的協(xié)議和服務(wù),以免為安全提供更多的機(jī)會(huì),。
忽視這些原則將造成非常嚴(yán)重的安全危害,。原因顯而易見(jiàn):如果VoIP的基礎(chǔ)設(shè)施不能得到有效保護(hù),它就能夠被輕易地安全,,存儲(chǔ)的談話(huà)內(nèi)容就會(huì)被竊聽(tīng),。與傳統(tǒng)的電話(huà)設(shè)備相比,用于傳輸VoIP的網(wǎng)絡(luò)━━路由器,、服務(wù)器,,甚至是交換機(jī),都更容易受到安全,。而傳統(tǒng)電話(huà)使用的PBX,,它是穩(wěn)定和安全的。
傳統(tǒng)電話(huà)的壟斷時(shí)代即將過(guò)去,,屬于VoIP的時(shí)代正在來(lái)臨,。這都迫使VoIP服務(wù)提供商們重新審視他們的技術(shù)重心。值得欣慰的是,,目前的一些傳輸協(xié)議日趨完善,,而且各公司已經(jīng)開(kāi)始意識(shí)到協(xié)議安全的重要性了,。