VoIP网络技术-VoIP安全风险与解决方案.ppt

voip网络技术 voip安全风险与解决方案,voip技术是一把双刃剑，应用得当，可以带来很多安全优势，应用不当，就有肯能带来安全灾难。,就安全的角度看voip网络技术：,从黑客的视角出发，寻找voip存在的安全隐患以及找出相应的对策：,黑客的攻击voip网络的具体行为操作主要有： 收集情报 voip网络攻击 voip会话和应用攻击 社交攻击,收集情报：,作为一个黑客，要想黑掉一个voip电话系统，首先要做的事情就是收集有关该voip的信息，即所谓的收集情报。收集情报又分为三个具体的行为操作：1、voip网络踩点 2、voip网络扫描 3、voip网络枚举,voip网络踩点：,所谓的voip网络踩点就是对目标进行踩点，也就是所谓的特征信息收集过程。 常见的方法有： 1、获取内部网络访问权限，访问网络。 2、利用互联网搜索引擎提供的服务，如google的高级功能，搜集企业voip网络信息。 3、对whois和dns进行分析，查询dns域名。,针对黑客网络踩点的对策：,建议就是尽量少地在招聘描述及在线帮助中，提到应用系统的技术信息（包括默认密码）。 提前发现暴露到互联网上的voip设备web登录界面。 就dns的命名方式可以考虑使用其他一些更保守的名字或者是更晦涩的名字，在dns服务器上关闭匿名区域传送功能，在dns服务器上，也不应该应用host information 备注信息。,voip网络扫描：,对voip网络扫描，主要是通过对voip环境（sip测试网络）的扫描发现voip网络拓扑结构，同时扫描出所使用的网络设备。 常用的扫描方法有： icmp ping扫描 端口扫描,针对voip网络扫描的对策：,通过防ping安装盒设置防火墙。 通过手工在自己系统中设置安全策略。 通过对端口扫描进行阻止来防范被扫描。具体方法是： 关闭闲置和有潜在危险的端口。 检查各端口，有端口扫描的症状时，立即屏蔽端口。,voip网络枚举：,当黑客已经确立了voip环境中的存活主机和服务列表时，下一步就是深入探测这些服务，以便发现公开的弱点和漏洞，这个过程就叫做枚举。 常见的有效的网络枚举方法有暴力破解voip pbx和电话，获取有效的voip分机列表。,对付这种方法的对策，就是采用vlan技术将voip网络和传统的数据网络进行逻辑隔离，这样能够减少很多威胁。,voip网络攻击：,黑客收集信息的目的是要攻击voip网络。 攻击voip的方法有： 典型的网络拒绝服务攻击（dos） voip网络侦听 voip干扰及篡改,voip网络实施dos攻击：,基于开放端口的dos（拒绝服务）攻击，从网络攻击的方法和产生的破坏效果来看，算是一种既简单有有效的攻击方式。,dos攻击的基本过程：,对于这种dos攻击，传统的防范技术主要有四种：,加固操作系统，配置操作系统各种参数以加强系统稳固性。 利用防火墙。 带宽限制与qos保证，通过对报文种类、来源等各种特性设置阈值参数，保证主要服务稳定可靠的资源供给。 负载均衡技术，即把应用业务分不到几台不同的服务器上，甚至不同的地点。,voip网络侦听：,网络监听技术可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。 网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。 黑客可以利用一些工具不经验证就获取voip通话内容。,对于企业来说通常可以通过以下方法来提高voip网络对于黑客的抵抗能力：,1、将voip网络与数据网络分开。 2、通过身份证验证方式确认从外部接入voip网络的用户都是合法用户。 3、通过加密技术传输voip数据包，确保黑客即使拦截数据包，也无法很快破解。 4、采用支持voip的防火墙，以及入侵检测系统，入侵拦截系统。,voip干扰及篡改：,应用voip技术，媒体流中的任何遗漏或者更改都可能极大的改变通话的愿意，例如会话语句中的替换、删除或者重放在各种社交环境中能够产生极大的影响。 攻击者将自身置于通信双方的中间，并且在通信双方没有感知的情况下，对经过的数据进行监听和篡改，这种方式叫做中间人攻击，也是传统的网络劫持。,中间人攻击网络的情形有以下的几种：,1、信息篡改 2、信息窃取 3、dns劫持 4、arp投毒 arp攻击就是通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp通信量使网络阻塞，攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓存中的ip-mac条目，造成网络中断或中间人攻击。,对于这种中间人攻击，我们必须做好一定的防范，最有效的方法就是对网络数据进行加密。 对于arp投毒，务必要找到相应的对策去防范，否则后果不堪设想。常见的对策有：,1、静态os映射 2、交换机端口安全 3、划分vlan 4、会话加密,voip会话和应用攻击：,通常voip会话和应用攻击主要包括三方面： voip fuzzing攻击 基于泛红攻击的服务中断 信令和媒体信息操纵,voip fuzzing攻击：,fuzzing是指利用漏洞检查工具，发送数据到组件，或对指定格式进行填充，完成数以万计的检查任务，来帮助我们发现软件中不期望有的漏洞的行为。 防范这样的fuzzing攻击，我们可以进行如下一些工作： 1、依据自己的意向进行软件测试。 2、请求设备上提供关于安全测试及qa流程的相关文档。 3、应用在线的网络设备，如ips（入侵防护系统）或者sbc（会话边界控制器），来实施符合性检测。,基于泛红攻击的服务中断：,基于泛红攻击的服务中断是指对sip代理服务器、sip电话和其它设备发起的基于泛红攻击的各种方式。,对sip代理服务器的攻击：,黑客常运用的方法有： 1、应用不存在的sip电话对sip代理服务器发起攻击 2、应用非法ip域地址对sip代理服务器发起攻击 3、应用非法域名对sip代理服务器发起攻击 4、应用另一个域中的非法sip电话对sip代理服务器发起攻击。 5、应用另一个域中的合法sip电话对sip代理服务器发起攻击 6、通过向合法sip电话发起请求来对sip代理服务器发起攻击,针对这些对sip代理服务器的攻击，我么可以运用一下对策来解决：,1、在sip连接中应用tcp和tls 2、应用vlan隔离语音和数据网络 3、lan交换机中启用dos抑制功能 4、更改知名端口 5、应用sip防火墙,对sip电话的攻击：,攻击者应用相关的工具向sip电话发起udp泛洪攻击、对sip电话进行攻击、对sip电话进行invite泛洪攻击、中断sip电话服务并骚扰用户。同样的攻击者可以想sip电话发起tcp syn泛洪攻击。 针对这些sip电话攻击的手段，我们也可以运用同样的方法去解决。,信令和媒体信息操纵：,对voip网络中的信令与媒体信息的操纵是对voip会话的一大攻击，主要包括移除已注册的用户并向voip系统中添加自己的注册、注册劫持、sip电话重定向攻击、sip电话重启攻击、假冒主叫身份、rtp插入混淆等这些攻击手段。 现主要拿注册劫持来细讲,注册劫持是用攻击者用假冒的注册信息来替换合法的注册信息，从而导致来话被转发到不存在的电话、任意一个电话甚至是一个假冒的应用程序上。,例如，一个攻击者能够将ceo的呼叫路由到自己的内部ip电话上。如图所示：,更糟糕的是攻击者应用假冒应用程序来进行应用层的中间人攻击。在这种情况下假冒应用程序至于信令和媒体之间。假冒应用程序能够篡改信令和媒体，或者只是记录信令中的敏感信息及对相关媒体进行录音。如图所示：,对于信令和媒体信息操纵的这几种攻击都可以通过以下方法解决：,1、在sip连接中应用tcp和tls，应用vlan隔离语音和数据网络，注册较长周期时长，更改知名端口，应用sip防火墙等。 2、进行语音加密认证、应用vlan隔离语音和数据网络、应用voipsip防火墙。,社交攻击：,社交攻击主要包括spit垃圾网络电话/邮件攻击和语音钓鱼攻击这两大部分。,spit是指大量的、自动发送的、未经请求的呼叫。spit就像是服用了兴奋剂的电话推销，可以预想spit发送得和垃圾有一样频繁。,针对这样的一个spit问题，可以运用一下对策去解决： 1、对主教进行身份认证，防止伪造的身份进行主叫。 2、可以通过一些法律来禁止spit行为。 3、企业里，可以安装spit过滤系统，阻止语音垃圾信息进入相关的用户名单里。,社交攻击的另一种攻击是钓鱼攻击。网络钓鱼是一种身份窃取攻击，通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、账号id、atm pin码或信用卡详细信息）的一种攻击方式。,该如何防备语音钓鱼呢？,1、不要在网上留下可以证明自己身份的任何资料； 2、不要相信网上流传的消息，除非得到权威途径的证明； 3、如果涉及到金钱交易、商业合同、工作安排等长大事项，不要仅仅通过网络完成，有心计的骗子们可能通过这些途径了解用户的资料，伺机进行诈骗； 4、不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等正规公司一般不会通过电子邮件给用户中奖信息和促销信息，而骗子们往往喜欢这样进行诈骗。,对于企业来说，可以采取以下的方法： 1、利用标准的反垃圾邮件技术组织邮件“钓鱼”到达受害者； 2、阻止spit“钓鱼”到达受害者； 3、阻止受害