电子发烧友网 > 通信网络 > 网络协议 > 正文

VoIP安全漏洞以及防护办法

2012年02月20日 10:58 次阅读

  VoIP在中国最早的应用还是在运营商中做电路交换的补充,但现在已经有很多企业用户已经开始关注起VoIP这一应用。对于新兴的小型办公企业,利用新建的数据网络的充裕带宽来承载语音,要比再建一套独立的话音系统方便许多,功能上也具备了诸如移动办公等传统话音交换机所不具备的功能。对于行业用户,因为有连接各个分支节点的数据网络,利用IP中继进行总部和分支节点间的互联可以省去租用长途电路中继的高昂费用。因此,VoIP技术在企业级用户群体中将会有广阔的应用。

  但是,在实施项目或者在使用过程中,用户和设备供应厂家更多的会将精力放在如何改善话音质量和同现有数据网络的融合上面,很少考虑到VoIP所存在的安全隐患。如同我们将重要的应用服务器都置于防火墙的保护之内一样;其实,在VoIP的情况下,话音也是和数据应用一样,也成为了一个个的 “Packet”,同样也将承受各种病毒和黑客攻击的困扰。难怪有人调侃说:“这是有史以来的第一次,电脑病毒能够让你的电话不能正常工作。”

  究竟有那几种因素会影响到VoIP呢?首先是产品本身的问题。目前VoIP技术最常用的话音建立和控制信令是H.323和SIP协议。尽管它们之间有若干区别,但总体上都是一套开放的协议体系。设备厂家都会有独立的组件来承载包括IP终端登陆注册、关守和信令接续。这些产品有的采用 WindowsNT的操作系统,也有的是基于Linux或VxWorks。越是开放的操作系统,也就越容易受到病毒和恶意攻击的影响。尤其是某些设备需要提供基于Web的管理界面的时候,都会有机会采用MicrosofTIIS或Apache来提供服务,而这些应用都是在产品出厂的时候已经安装在设备当中,无法保证是最新版本或是承诺已经弥补了某些安全漏洞。

  其次是基于开放端口的DoS(拒绝服务)攻击。从网络攻击的方法和产生的破坏效果来看,DoS算是一种既简单又有效的攻击方式。攻击者向服务器发送相当多数量的带有虚假地址的服务请求,但因为所包含的回复地址是虚假的,服务器将等不到回传的消息,直至所有的资源被耗尽。VoIP技术已经有很多知名的端口,像1719、1720、5060等。还有一些端口是产品本身需要用于远端管理或是私有信息传递的用途,总之是要比普通的某个简单的数据应用多。只要是攻击者的PC和这些应用端口在同一网段,就可以通过简单的扫描工具,如X-Way之类的共享软件来获得更详细的信息。

  最近一个安全漏洞是由NISCC(UKNaTIonalInfrastructureSecurity Co-ordi-naTIon Center)提出,测试结果表明:“市场上很多采用H.323协议的VoIP系统在H.245建立过程中都存在漏洞,容易在1720端口上受到DoS的攻击,导致从而系统的不稳定甚至瘫痪”。

  再次就是服务窃取,这个问题在模拟话机的情况下同样存在。如同我们在一根普通模拟话机线上又并接了多个电话一样,将会出现电话盗打的问题。尽管 IP话机没办法通过并线的方式来打电话,但通过窃取使用者IP电话的登陆密码同样能够获得话机的权限。通常在IP话机首次登陆到系统时,会要求提示输入各人的分机号码和密码;很多采用了VoIP的企业为了方便员工远程/移动办公,都会在分配一个桌面电话的同时,再分配一个虚拟的IP电话,并授予密码和拨号权限。

  这样,即使员工出差或是在家办公情况下,都可以利用VPN方式接入到公司的局域网中,然后运行电脑中的IP软件电话接听或拨打市话,如同在公司里办公一样。当密码流失之后,任何人都可以用自己的软电话登陆成为别人的分机号码;如果获得的权限是可以自由拨打国内甚至国际长途号码,将会给企业带来巨大的损失且很难追查。

  最后是媒体流的侦听问题。模拟话机存在并线窃听的问题,当企业用户使用了数字话机之后,由于都是厂家私有的协议,很难通过简单的手段来侦听。但 VoIP环境下,这个问题又被提了出来。一个典型的VoIP呼叫需要信令和媒体流两个建立的步骤,RTP/RTCP是在基于包的网络上传输等时话音信息的协议。由于协议本身是开放的,即使是一小段的媒体流都可以被重放出来而不需要前后信息的关联。如果有人在数据网络上通过Sniffer的方式记录所有信息并通过软件加以重放,会引起员工对话音通信的信任危机。

  在这项技术研发伊始,开发者期望它作为传统长途电话的一种廉价的替代方式,因此并未太多在意安全问题;同时,VoIP技术也是跟随着整个网 络市场的发展而发展,太多不同厂家和产品的同时存在导致一时无法提出一个统一的技术标准;VoIP的基础还是IP网络,开放的体系构架不可避免受到了来自网络的负面影响。最大限度地保障VoIP的安全主要的方法有以下几种:

  1.将用于话音和数据传输的网络进行隔离

  这里所说的隔离并不是指物理上的隔离,而是建议将所有的IP话机放到一个独立的VLAN当中,同时限制无关的PC终端进入该网段。通过很多评测者的反馈信息表明,划分VLAN是目前保护IP话音系统最为简单有效的方法,可以隔离病毒和简单的攻击。同时,配合数据网络的QoS设定,还将有助于提高话音质量。

  2.将VoIP作为一种应用程序来看待

  这也意味着我们需要采用一些适用于保护重要的应用服务器之类的手段,来保护VoIP设备中一些重要的端口和应用,例如采用北电网络Aleton 交换防火墙就可以有效地抵御DoS的攻击。同样的办法也适用于VoIP系统,当两个IP终端进行通话时,一旦信令通过中心点的信令服务进程建立之后,媒体流只存在于两个终端之间;只有当IP终端上发起的呼叫需要透过网关进入PSTN 公网时,才会占用媒体网关内的DSP处理器资源。所以,我们需要对信令和媒体流两类对外的地址和端口进行保护。

  同时,尽可能少的保留所需要的端口,例如基于Web方式的管理地址,并且尽可能多的关闭不需要的服务进程。需要提醒的是H.323/SIP在穿越NAT和防火墙的时候会遇到障碍,这是由于协议本身的原因造成的,但通过启用“应用层网关”(ApplicaTIon Layer Ga-teway简称ALG)之后,就可以解决这个问题;随着呼叫量的增长,可以采用外置媒体流代理服务器(RTP Media Portal)的办法来支持更大规模的VoIP系统。

  3.选择合适的产品和解决方案

  目前不同厂家的产品体系构架不尽相同,操作平台也各有偏爱。我们无法断言哪种操作系统最为安全可靠,但厂家需要有相应的技术保障来让用户相信各自的产品有能力抵御日益繁多的病毒侵袭。同时,很多厂家的产品也采用了管理网段和用户的IP话音网段在物理上隔离的机制,尽可能少的将端口暴露在外网上。北电网络推出的Succession 1000/1000M就采用了这些设计思路,将管理网段和用户网段彻底在物理上隔离,并采用VxWorks操作系统,尽可能多的屏蔽外界对系统的影响。此外,VoIP的安全问题和数据网络的安全本质上是紧密相关的,需要厂家提供的不仅仅是一套设备,更多的是如何帮助用户在现有的网络上提高安全和可靠性的思路和一些技巧。

  4.话音数据流的加密

  目前H.323协议簇中有一成员-H.235(又称为H.Secure)是负责身份验证、数据完整性和媒体流加密的。更实际的情况是厂家会选用各自私有的协议来保证VoIP的安全性。但即使没有H.235或其他的手段,想要偷听一个IP电话呼叫仍要比偷听一个普通电话要困难的多,因为你需要编解码器算法和相应的软件。即使你获得了软件并且成功连接到公司的IP话音网段,仍然有可能一无所获。因为目前很多企业内部的数据网络都采用以太网交换机的 10/100M端口到桌面而不是HUB,因而无法通过Sniffer的方式窃取信息。

  5.合理制定员工拨号权限

  VoIP所面临的一些安全隐患,实际是IP网络上存在的若干问题的延续。只有很好地解决了网络的安全问题,同时配合产品本身的一些安全认证机制,基于VoIP的应用才能够在企业中持久稳定的发挥作用,并成为解决企业话音通信需求的有效方法。

技术专区

关注电子发烧友微信

有趣有料的资讯及技术干货

下载发烧友APP

打造属于您的人脉电子圈

关注发烧友课堂

锁定最新课程活动及技术直播
收藏 人收藏
分享:

评论

相关推荐

IP呼叫中心优势与特点详解

随着全球经济一体化时代的到来以及Internet的迅速普及、信息技术的发展,竞争环境瞬息万变,现代企...

发表于 2017-12-12 09:21 215次阅读
IP呼叫中心优势与特点详解

voip的基本原理

VoIP的基本原理是通过语音的压缩算法对语音数据编码进行压缩处理,然后把这些语音数据按 TCP/IP...

发表于 2017-12-08 10:52 529次阅读
voip的基本原理

voip常见问题汇总

VoIP(Voice over Internet Protocol)简而言之就是将模拟信号(Voic...

发表于 2017-12-08 10:44 397次阅读
voip常见问题汇总

voip协议栈详解

VOIP ,即指在 IP 网络上使用 IP 协议以数据包的方式传输语音。使用 VOIP 协议,不管是...

发表于 2017-12-08 09:51 209次阅读
voip协议栈详解

免费通信时代何时真正到来?

4G时代过去了这么久,我们不难发现,通信行业酝酿着一场巨变,从底层技术改造,到上层业务形态变化,将创...

发表于 2016-02-15 16:57 686次阅读
免费通信时代何时真正到来?

TAPI软电话通信系统的模块化设计

首先分析了TAPI协议的结构、通信编程原理和编程应用环境,重点介绍了TAPI协议的层次化模型结构及其...

发表于 2015-04-14 09:12 676次阅读
TAPI软电话通信系统的模块化设计

云通讯平台,为开发者提供语音通信的黑匣子

云通讯平台,提供基于手机与PC端互联的解决方案。与手机YY不同,云平台对开发者开放,并且这是一个语音...

发表于 2013-04-07 11:48 319次阅读
云通讯平台,为开发者提供语音通信的黑匣子

LTE语音三步走 CSFB技术凸显便捷性

在目前的VoIP业务在现网基础上,形成三种不同的LTE语音解决方案:基于双待机终端方案、CSFB和V...

发表于 2013-03-28 16:17 5827次阅读
LTE语音三步走 CSFB技术凸显便捷性

高效能网络助力广电三网融合

近年来,“三网融合”成为通信行业最大热点。上海贝尔在原有三重播放业务基础上,提出高能效网络解决方案,...

发表于 2013-03-28 14:41 372次阅读
高效能网络助力广电三网融合

VoIP技术在无线局域网中的应用

VoIP是一种基于IP网络的实现语音通话传输的技术。随着基于802.11无线数据网的日益普遍,终端用...

发表于 2013-03-27 11:40 454次阅读
VoIP技术在无线局域网中的应用

研究称LTE数据流量今年将增长207%

3月19日消息,市场研究公司ABI Research预测,受到移动应用的激增,全球LTE数据流量到2...

发表于 2013-03-20 10:13 181次阅读
研究称LTE数据流量今年将增长207%

Patton交付带ADSL接口的SmartNod...

Patton交付两款新型SmartNode VoIP集成接入设备,实现一个装置内集成ADSL WAN...

发表于 2013-03-14 15:55 441次阅读
Patton交付带ADSL接口的SmartNod...

Dialog赢得进达电子制品公司亚洲酒店市场Vo...

Dialog 半导体有限公司今天宣布, 进达电子制品有限公司(Avantec Manufacturi...

发表于 2013-03-07 15:18 397次阅读
Dialog赢得进达电子制品公司亚洲酒店市场Vo...

三种LTE语音解决方案

LTE是国际主流新一代无线宽带通信标准技术,在新形势下,LTE系统不再支持传统电路域语音方案,基于I...

发表于 2013-01-22 14:21 19008次阅读
三种LTE语音解决方案

基于VoWLAN终端实现无线VoIP语音通话解决...

本文介绍通过VoWLAN终端利用现有WLAN网络,实现无线VoIP无线语音通话的几种解决方案,并介绍...

发表于 2012-12-14 14:10 1064次阅读
基于VoWLAN终端实现无线VoIP语音通话解决...

Fraunhofer IIS为VoIP应用带来全...

世界知名的音频和多媒体技术研究机构Fraunhofer IIS将在2013年的消费电子展(CES)上...

发表于 2012-11-13 14:04 414次阅读
Fraunhofer IIS为VoIP应用带来全...

基于分组网络的语音连接技术CESoP与VoIP的...

分组网络电路仿真业务(CESoP)采用与VoIP不同且更为简单的方法通过分组网络传输语音和进行电路交...

发表于 2012-05-03 08:33 297次阅读
基于分组网络的语音连接技术CESoP与VoIP的...

VoIP通讯原理解析

VoIP指的是在使用了互联网协议的网络上进行语音传输,其中的IP是代表互联网协议,它是互联网的中枢,...

发表于 2012-04-13 14:16 626次阅读
VoIP通讯原理解析

Dialog半导体为满足高端电话机市场而扩展其G...

Dialog半导体有限公司(法兰克福股票交易所代码:DLG)日前宣布:推出一种高性能的VoIP电话芯...

发表于 2012-03-28 11:48 465次阅读
Dialog半导体为满足高端电话机市场而扩展其G...

无线VoIP系统IP通话功能实现

本文将VoIP和WLAN(Wireless LAN)结合到一起,在MIPS(Microprocess...

发表于 2011-12-26 11:19 1010次阅读
无线VoIP系统IP通话功能实现

什么是voip技术

文章讲解了voip是什么,voip网络电话,voip控制协议及voip手机。 VoIP(Voice ...

发表于 2011-12-14 15:21 1444次阅读
什么是voip技术

VoIP解决方案中的处理器选择

本文将从多个层面考查VoIP的硬件需求和选择有效方法时又必须考虑的折衷。

发表于 2011-11-30 10:43 488次阅读
VoIP解决方案中的处理器选择

基于ADSL的voip设备解决方案

虽然通过ADSL线路和VoIP设备可以实现语音通信,但由于其语音包通过广域网传输,其实现质量和安全性...

发表于 2011-09-19 10:59 420次阅读
基于ADSL的voip设备解决方案

基于Android的VoIP系统设计

本文提出一种基于PJSIP协议栈的解决方案,通过Android本地开发工具(NDK),实现一个高效、...

发表于 2011-04-29 11:39 3687次阅读
基于Android的VoIP系统设计

voip系统组成详解

由于相关的硬件、软件、协议和标准中的许多发展和技术突破,使得VoIP的广泛使用很快就会变成现实。这些...

发表于 2011-04-18 10:33 1507次阅读
voip系统组成详解

CEVA公司DSP完整硬件加软件VoIP解决方案

CEVA公司宣布,互联网基础架构半导体解决方案供应商PMC Sierra公司已获授权,在其针对光纤到...

发表于 2011-01-28 08:51 267次阅读
CEVA公司DSP完整硬件加软件VoIP解决方案

用于语音转码与媒体网关的语音与传真处理模块

  日前,德州仪器 (TI) 宣布推出一套用于创建语音转码与 VoIP 媒体网关解决方案的高稳健型语...

发表于 2010-12-22 08:58 284次阅读
用于语音转码与媒体网关的语音与传真处理模块

VoIP网关的解决方案

[系统概述] VoIP,即Voice&nbspover&nbspIP(通过IP...

发表于 2010-08-02 09:54 455次阅读
VoIP网关的解决方案

IP电话的VoIP技术原理

在现在的网络通信中,Email服务已经不是现在首选的通信方式了。更多的即时通信,语音服务等,在网络上...

发表于 2010-07-05 10:26 308次阅读
IP电话的VoIP技术原理

基于AMR语音编解码算法的VoIP系统

本文提出了一种基于AMR语音编解码算法的新VoIP系统,该系统可以根据网络信道质量的好坏来自适应地选...

发表于 2010-06-24 11:05 539次阅读
基于AMR语音编解码算法的VoIP系统

如何用软交换技术呼醒VOIP

如何用软交换技术呼醒VOIP 近来年,IP技术因为发展的迅速而日益成熟,在具体应用中,通过分组网络...

发表于 2010-04-23 09:11 253次阅读
如何用软交换技术呼醒VOIP

ST的SPEAr600应用于MPU嵌入式VoIP...

ST的SPEAr600应用于MPU嵌入式VoIP解决方案 ST公司的SPEAr600 是具有双AR...

发表于 2010-03-22 09:32 482次阅读
ST的SPEAr600应用于MPU嵌入式VoIP...

VoIP技术简介及应用

VoIP技术简介及应用 Voice-over-IP(VoIP)是在因特网或其它IP网络上使用因特网...

发表于 2010-03-02 17:23 227次阅读
VoIP技术简介及应用

VoIP术语-International Tel...

VoIP术语-International Telecommunication Union ...

发表于 2010-02-24 10:48 263次阅读
VoIP术语-International Tel...

VoIP术语-Transfer Protocol

VoIP术语-Transfer Protocol   英文原义:Transfer...

发表于 2010-02-24 10:46 258次阅读
VoIP术语-Transfer Protocol

VoIP术语-Foreign Exchange ...

VoIP术语-Foreign Exchange Office   英文原义:Fo...

发表于 2010-02-24 10:39 234次阅读
VoIP术语-Foreign Exchange ...

VoIP术语-Foreign Exchange ...

VoIP术语-Foreign Exchange Station   英文原义:F...

发表于 2010-02-24 10:39 226次阅读
VoIP术语-Foreign Exchange ...

VoIP术语-VoIP

VoIP术语-VoIP   英文原义:Voice over Internet P...

发表于 2010-02-24 10:38 236次阅读
VoIP术语-VoIP

VoIP术语-局域网接口

VoIP术语-局域网接口   术语名称:局域网接口 术语解释:远程访问服务器...

发表于 2010-02-24 10:38 256次阅读
VoIP术语-局域网接口

VoIP术语-管理功能

VoIP术语-管理功能   术语名称:管理功能 术语解释:管理功能具体是指通...

发表于 2010-02-24 10:37 202次阅读
VoIP术语-管理功能

VoIP解决方案中的处理器选择

VoIP解决方案中的处理器选择 随着VoIP在企业语音通信市场继续取代模拟电话,在住宅环境和中小型...

发表于 2010-01-04 14:39 319次阅读
VoIP解决方案中的处理器选择

2012年VoIP市场收入有望增长至6.573亿

2012年VoIP市场收入有望增长至6.573亿 全球知名市场研究与咨询公司Frost &...

发表于 2009-12-23 10:39 178次阅读
2012年VoIP市场收入有望增长至6.573亿

VoIP与TDMoIP比较

VoIP与TDMoIP比较 当今,IP上的话音业务(VoIP)正在大力发展,通信网络正向IP网络演...

发表于 2009-08-04 14:19 222次阅读
VoIP与TDMoIP比较

VoIP保护的重要性

VoIP(语音IP)或互联网电话技术是指通过互联网(而非公共交换电话网络,亦即PSTN)传送的通信服...

发表于 2009-02-09 11:43 254次阅读
VoIP保护的重要性

VoIP语音卡在路由器中的应用及硬件设计

介绍了VoIP语音卡在路由器中的应用,详细描述了一款应用于路由器的语音卡的硬件结构及其工作方式。

发表于 2006-03-11 13:25 229次阅读
VoIP语音卡在路由器中的应用及硬件设计

VoIP电话接口设计

在开发 VoIP 系统时,主要考虑的一个方面就是连接到模拟电话的接口。设计人员必须了解 PSTN 中...

发表于 2006-03-11 13:16 440次阅读
VoIP电话接口设计