当前位置:首页 > 嵌入式 > 嵌入式软件
[导读] 不可忽视VoIP协议安全的漏洞

VoIP作为一个广为流行的网络语音传输方式,一直被看做最具潜力的语音业务之一。但是它的很多缺点却另它的发展得到了阻碍。尤其是VoIP协议安全方面的问题更是被各界所担心。

目前,VoIP面临的安全议题主要有四:阻断式服务(DoS)攻击、非法存取、话费诈欺或窃听等威胁。而VoIP协议安全却是无法忽略之痛。
     
  信息安全专家会这样警告你,如果对VoIP部署不当,互联网电话会受到黑客和恶意代码的攻击。VoIP可能破坏网络的安全措施,对于企业网络而言,VoIP的威胁尤其大,因为企业会急于部署这一技术而忽视了安全。
     
  仔细分析可以看到,VoIP首先要面对的安全问题是最底层的危害??其自身的软硬件设施。因为目前大部分VoIP设备基于标准操作系统,传输协议也属于开放技术,所以有相当高的可能受到攻击者的袭击。而且在大部分情况下,VoIP设施需要提供远程管理能力,其所依赖的服务和软件也同样可能存在安全漏洞。
     
  具体看一看VoIP的传输协议。与VoIP相关的网络技术协议很多,常见的有控制实时数据流应用在IP网络传输的RTP(实时传输协议)和RTCP(实时传输控制协议);有保证网络QoS质量服务的RSVP(资源预留协议)和IP different Service等,还有传统语音数字化编码的一系列协议如G.711、G.728、G.723、G.729等等。但目前VoIP技术最常用的话音建立和控制信令是H.323和SIP(会话初始协议)。
     
  其中,SIP协议是IETF定义多媒体数据和控制体系结构中的重要组成部分。同时,由于SIP只负责提供会话连接和会话管理,而与应用无关,因此SIP可以被用于多个领域。如今,市场上已随处可见SIPIP 电话、群组视频会议系统、专为服务提供商提供的音频会议媒体服务器,以及可同时兼容H.323和SIP的音视频会议多点控制单元。目前,SIP正给会议市场带来最广泛的互联互通。然而,即使是协议本身也有潜在的安全问题:
      H.323和SIP总体上都是一套开放的协议体系。在一系列的通话过程方面,各设备厂家都有独立的组件来承载。这些产品有的采用Windows NT操作系统,也有基于Linux的。而越是开放的操作系统,其产品应用过程就越容易受到病毒和恶意攻击的影响。而这些应用都是在产品出厂时就已经安装在设备当中的,无法保证是最新版本或是承诺已经弥补了某些安全漏洞。同时,最为一种新兴发展技术的传输协议,SIP并不完善,它采用类似于FTP、电子邮件或者HTTP服务器的形式来发起用户之间的连接。利用这种连接技术,黑客们同样会对VoIP进行攻击。
     
  两年前,在VoIP协议安全方面,国家计算机网络应急技术处理协调中心(CERT)曾报告了SIP协议栈中的一个缺陷。利用该缺陷,攻击者将有机会获得非法访问特权,发起DoS攻击,造成系统不稳等问题。显然,这个缺陷与SIP设备互相发送的、用来初始化VoIP呼叫、文本聊天或视频等话路的"邀请"信有关。
     
  从原理上说,利用漏洞可以发起各种类型的攻击。比如一旦网关被黑客攻破,IP电话不用经过认证就可随意拨打,未经保护的语音通话有可能遭到拦截和窃听,而且可以被随时截断。黑客利用重定向攻击可以把语音邮件地址替换成自己指定的特定IP地址,为自己打开秘密通道和后门。而最典型的是,黑客们可以骗过SIP和IP地址的限制而窃取到整个谈话过程。
     
  因此,并不完善的协议会导致严重的后果:如果有人通过SIP漏洞冒充你的代理人与你通话,他就可以轻易的获取你的各种资料(其中当然包括银行卡号和密码),那么,当电话挂断时,你辛辛苦苦赚来的积蓄将被洗劫一空。另外,一个黑客也可以很容易地在您的SIP服务器中提交超量的假服务请求,这样服务器即不能接也不能听电话,造成服务拒绝现象。

  VoIP协议安全上的问题远远不止这些。在网络上截取SIP的协议,很容易获得RTP的端口和路由,然后通过特定模式很轻松地就可以实现窃听。通过网卡的混杂模式,黑客们可以很容易就可以实现截获局域网中所有POP3的协议??包括口令,都是很轻松的就能截取。
     
  另外,VoIP的实现依赖于TCP/IP协议栈的运行,所以TCP/IP协议面临的所有安全问题我们都无法回避。一些常见而麻烦的病毒问题也注定要对VoIP应用环境造成困扰。因此,对于VoIP设备自身,应该比普通的计算机设备更加注重常见信息安全原则的实现,例如只提供必要的服务,关闭和屏蔽无用的端口;停止使用不必要的协议??没有必要启用不必要和未用过的协议和服务,以免为黑客提供更多的机会。
     
  忽视这些原则将造成非常严重的安全危害。原因显而易见:如果VoIP的基础设施不能得到有效保护,它就能够被轻易地攻击,存储的谈话内容就会被窃听。与传统的电话设备相比,用于传输VoIP的网络━━路由器、服务器,甚至是交换机,都更容易受到攻击。而传统电话使用的PBX,它是稳定和安全的。
     
  传统电话的垄断时代即将过去,属于VoIP的时代正在来临。这都迫使VoIP服务提供商们重新审视他们的技术重心。值得欣慰的是,目前的一些传输协议日趋完善,而且各公司已经开始意识到VoIP协议安全的重要性了。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭