以下為六種常見的VOIP攻擊方式,希望這篇文章能夠幫助用戶更好地預(yù)防攻擊從而減少損失。
1、SIP掃描和強(qiáng)力破解當(dāng)SIP設(shè)備使用INVITE、REGISTER或OPTION消息去一一探測有效的SIP用戶名時,SIP掃描和強(qiáng)力破解行為就會發(fā)生,其目的就是對那些SIP設(shè)備進(jìn)行攻擊。
SBC在企業(yè)網(wǎng)絡(luò)中的安全運(yùn)用
2、基礎(chǔ)服務(wù)類攻擊
比如FTP/TFTP服務(wù)。VoIP的實現(xiàn)依賴于TCP/IP協(xié)議棧的運(yùn)行,所以TCP/IP協(xié)議面臨的所有安全問題我們都無法回避。其涉及的通信設(shè)備,無論是硬件還是軟件,都會被攻擊。例如,運(yùn)行TFTP的思科路由器與運(yùn)行TFTP的思科IP話機(jī)的易受攻擊程度并沒有太大不同。
比如FTP/TFTP服務(wù)。VoIP的實現(xiàn)依賴于TCP/IP協(xié)議棧的運(yùn)行,所以TCP/IP協(xié)議面臨的所有安全問題我們都無法回避。其涉及的通信設(shè)備,無論是硬件還是軟件,都會被攻擊。例如,運(yùn)行TFTP的思科路由器與運(yùn)行TFTP的思科IP話機(jī)的易受攻擊程度并沒有太大不同。
3、設(shè)備或系統(tǒng)的本身漏洞
通過設(shè)備或系統(tǒng)本身的安全漏洞是攻擊用戶通信網(wǎng)絡(luò)的最簡單方式之一,同時也是比較容易容易采取措施的攻擊方式之一。比如其中一個安全性問題就是用戶未修改通信設(shè)備的默認(rèn)用戶名和密碼。這是攻擊者進(jìn)入通信設(shè)備或VOIP網(wǎng)絡(luò)最為簡單的方式。換句話說,通過修改默認(rèn)用戶名和密碼也能夠有效阻止這類攻擊。
通過設(shè)備或系統(tǒng)本身的安全漏洞是攻擊用戶通信網(wǎng)絡(luò)的最簡單方式之一,同時也是比較容易容易采取措施的攻擊方式之一。比如其中一個安全性問題就是用戶未修改通信設(shè)備的默認(rèn)用戶名和密碼。這是攻擊者進(jìn)入通信設(shè)備或VOIP網(wǎng)絡(luò)最為簡單的方式。換句話說,通過修改默認(rèn)用戶名和密碼也能夠有效阻止這類攻擊。
4、信令攻擊
會話初始化協(xié)議(SIP)由于其開放性和擴(kuò)展性等性質(zhì)已成為VOIP網(wǎng)絡(luò)通話控制協(xié)議的一個選擇。SIP在沒有任何保護(hù)的情況下非常容易遭受到攻擊,而每個通信地址之間的呼叫信令的完整性又極其重要。 SIP TLS是由SIP RFC 3261定義的安全性機(jī)制,用于在加密通道上發(fā)送SIP消息。但SIP TLS對SIP終端設(shè)備并不是必需的,但大部分基于SIP的服務(wù)平臺會提供此安全性機(jī)制。
會話初始化協(xié)議(SIP)由于其開放性和擴(kuò)展性等性質(zhì)已成為VOIP網(wǎng)絡(luò)通話控制協(xié)議的一個選擇。SIP在沒有任何保護(hù)的情況下非常容易遭受到攻擊,而每個通信地址之間的呼叫信令的完整性又極其重要。 SIP TLS是由SIP RFC 3261定義的安全性機(jī)制,用于在加密通道上發(fā)送SIP消息。但SIP TLS對SIP終端設(shè)備并不是必需的,但大部分基于SIP的服務(wù)平臺會提供此安全性機(jī)制。
5、通過PBX界面的安全隱患進(jìn)行攻擊
PBX管理界面以及Shell訪問也是易遭受攻擊的渠道之一。管理界面(如Webmin、 FreePBX、 Trixbox GUIs)和Shell訪問(SSH或Telnet)是值得注意的存在安全隱患的地方。處理這些安全隱患的最簡單的方法是阻止所有外來報文的進(jìn)入(或者在不使用管理界面/SSH/Telnet時,完全關(guān)閉它們)。這通過接口綁定還是通過防火墻來實現(xiàn),由用戶自己決定,但要注意的是,當(dāng)用戶想遠(yuǎn)程進(jìn)行管理或維護(hù)時,這種方式會造成麻煩,用戶通過建立VPN連接到內(nèi)部網(wǎng)絡(luò),即可解決此類麻煩。除此之外,用戶不能阻止經(jīng)常用來管理系統(tǒng)的IP地址的接入。
PBX管理界面以及Shell訪問也是易遭受攻擊的渠道之一。管理界面(如Webmin、 FreePBX、 Trixbox GUIs)和Shell訪問(SSH或Telnet)是值得注意的存在安全隱患的地方。處理這些安全隱患的最簡單的方法是阻止所有外來報文的進(jìn)入(或者在不使用管理界面/SSH/Telnet時,完全關(guān)閉它們)。這通過接口綁定還是通過防火墻來實現(xiàn),由用戶自己決定,但要注意的是,當(dāng)用戶想遠(yuǎn)程進(jìn)行管理或維護(hù)時,這種方式會造成麻煩,用戶通過建立VPN連接到內(nèi)部網(wǎng)絡(luò),即可解決此類麻煩。除此之外,用戶不能阻止經(jīng)常用來管理系統(tǒng)的IP地址的接入。
無論是否對這些接口進(jìn)行堵塞,用戶都應(yīng)該設(shè)置安全的用戶名和密碼。安全的用戶名和密碼應(yīng)該包含大小寫字母、數(shù)字以及符號。
6、通過用戶分機(jī)的安全隱患進(jìn)行攻擊攻擊
某個交換機(jī)最常見方法之一是攻擊電話系統(tǒng)里的某個分機(jī)。攻擊者以某種方式取得交換機(jī)系統(tǒng)內(nèi)某個分機(jī)的用戶名和密碼,然后開始發(fā)送攻擊報文。這種攻擊最常見的根本原因是用戶設(shè)置了不安全的密碼。關(guān)于SIP用戶密碼,最突出的是用戶常常僅需輸入密碼一次,就是在設(shè)置用戶賬戶時輸入。使用你容易記住的密碼也不是最好的避開攻擊的方式,特別是當(dāng)密碼與與分機(jī)號碼或用戶名相同或相似的時候(例如:號碼為1000的分機(jī)的用戶名和密碼都為1000)。最恰當(dāng)?shù)姆绞绞鞘褂迷诰密碼生成器來隨機(jī)生成密碼(或者讓寵物/小孩直接在鍵盤上隨意敲出一個密碼)。使用密碼隨機(jī)生成器能夠減少通過暴力破解密碼來進(jìn)行攻擊的幾率。
某個交換機(jī)最常見方法之一是攻擊電話系統(tǒng)里的某個分機(jī)。攻擊者以某種方式取得交換機(jī)系統(tǒng)內(nèi)某個分機(jī)的用戶名和密碼,然后開始發(fā)送攻擊報文。這種攻擊最常見的根本原因是用戶設(shè)置了不安全的密碼。關(guān)于SIP用戶密碼,最突出的是用戶常常僅需輸入密碼一次,就是在設(shè)置用戶賬戶時輸入。使用你容易記住的密碼也不是最好的避開攻擊的方式,特別是當(dāng)密碼與與分機(jī)號碼或用戶名相同或相似的時候(例如:號碼為1000的分機(jī)的用戶名和密碼都為1000)。最恰當(dāng)?shù)姆绞绞鞘褂迷诰密碼生成器來隨機(jī)生成密碼(或者讓寵物/小孩直接在鍵盤上隨意敲出一個密碼)。使用密碼隨機(jī)生成器能夠減少通過暴力破解密碼來進(jìn)行攻擊的幾率。
總之,我們應(yīng)當(dāng)正視這些來自四面八方的公司并采取合理措施,這對企業(yè)通信尤為重要。傳統(tǒng)電話的壟斷時代即將過去,屬于全I(xiàn)P話通信時代已經(jīng)來臨。作為IP通信設(shè)備制造商,我們的技術(shù)重心已經(jīng)由滿足基本通信向構(gòu)建更加安全高效的網(wǎng)絡(luò)發(fā)生轉(zhuǎn)移。
