VoIP脆弱的一面

日期: 2008-04-10 来源:TechTarget中国

  VoIP网络有多脆弱,是否易受攻击和网络故障的影响?这些问题厂商是不会在销售的时候告诉你的,但却会在应用中一个不少地呈现在你的面前。


  在实际的应用中,VoIP在带给人们应用方便性和网络配置灵活性的同时,也具有其在安全和稳定性上表现出的脆弱的一面。美国的一些技术人员对此进行了全面的研究,并列举出了以下14个安全漏洞,这些安全漏洞被认为是VoIP应用可能面临的最大威胁:
  
  不充分的数据检验:由于缺乏数据检验,加之客户端没有区分各种加密认证机制,在VoIP实现中,这种现象使中间人攻击有了可乘之机。



  执行漏洞:标准数据库一般被用作VoIP服务和注册的中枢。VoIP现实必须以偏执狂般的态度过滤那些来自用户所提供数据(如用户名、口令)的SQL查询和会话发起协议(SIP)URL等活动内容。



  串/矩阵/指针处理漏洞:具有预期之外结构和内容的畸形数据包可以存在于包括SIP、H.323、SDP、MGCP、RTP和SRTP在内的任何协议消息中。最典型的畸形消息包括缓冲区溢出攻击和其他边界值条件。其结果是攻击者提供的输入被写入,覆盖其他内部内存中所记录的内容,如注册表和指针,从而使攻击者可以完全控制脆弱的进程。



  缺少资源: 尤其在嵌入式设备中,VoIP可以使用的资源会非常少。低内存和处理能力会使攻击者很容易关闭嵌入式设备中的服务。



  低带宽: 服务必须被构建为即使在每个呼叫者在同一时刻并发电话呼叫时仍可以承受负载规模。当某个VoIP服务的用户数量较少时,这并不是个大问题,但是,当某个服务被有意用成千上万台僵尸客户机发出的呼叫所淹没,或出现导致合法用户巨大负载的攻击事件时,其结果可能是关闭整个服务。



  文件/资源处理漏洞:这类漏洞是典型的实现错误,即:使用导致安全问题的不安全的编程结构造成的编程错误。这类漏洞包括不安全的访问文件。



  口令管理:VoIP消费者拥有的唯一标识符是电话号码或SIP URL以及服务的口令。口令被保存在客户机和服务器中。如果口令以可逆的格式保存在服务器上,任何可以访问这台服务器(或代理服务器或注册服务器)都可以收集用户名以及与之对应的口令。



  权限和特权:资源必须从操作系统和平台角度以及从网络角度加以保护。运行在平台上的VoIP服务必须考虑他们运行时使用的特权。VoIP服务不一定需要管理特权或“根”特权才能运行。



  密码和随机性:在VoIP信令中,保密数据必须得到保护,以防止窃听攻击。这一类型中最常见的安全漏洞是,既使有加密机制可供使用,用户也未能完全加密。



  认证和证书错误:用户和设备必须得到认证。设备中还存在其他需要用户认证的服务,如设备管理。SIP中的注册劫持是一种注册系统不认证用户或设备,而使攻击者可以嗅探注册消息并把自己注册为合法用户的漏洞。



  错误处理:SIP中的一个错误处理例证是如何处理不正确的注册。一个具有无效电话码的注册服务器消息会导致错误代码,而由有效的电话号码导致的错误将使攻击者可以缩小攻击范围来尝试只对有效账户进行暴力攻击,或收集有效账户来发送Internet电话垃圾邮件(SPIT)。



  同类(Homogeneous)网络:许多网络基础设施中存在的一个预料之外的漏洞是对有限数量的厂商品牌和设备种类的广泛依赖性。如果整个网络依靠一种特定品牌的电话、代理服务器或防火墙,病毒或蠕虫发起的自动攻击会关闭整个网络。



  缺少后备(fallback)系统:当VoIP网络最终瘫痪时,必须有用户可以依靠的备份系统。这要求小心地规划基础设施。



  物理连接质量和包冲突: 如果数据基础设施中存在数据包丢失现象, 用户可能还没有做好使用VoIP的准备。网络延时和抖动应当减少到最低程度。


  当引入VoIP时,通信中的所有瓶颈都将立即暴露出来,即使这些瓶颈在使用传统数据通信时并不明显。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 新加坡启动下一阶段智慧征程

    在2013年6月18日召开的亚洲资讯通信与媒体行业的辉煌盛事——资讯通信及媒体商务交流大会开幕式上,新加坡通讯及新闻部长雅国博士宣布成立新的资讯通信及媒体发展总体规划指导委员会 ,负责领导及制定新加坡资讯通信与媒体行业融合的未来发展方向。

  • Gartner:2013年亚太区IT支出将达7430亿美元

    根据技术研究和咨询公司Gartner最新展望报告,2013年,亚太地区IT支出预计将达到7,430亿美元,增长7.9%;而在2012年,亚太地区IT支出增长7.6%。

  • 安全业务连续性计划制订分步走(上)

    越来越多地使用移动设备,使业务持续性计划更重要。客户端虚拟化等技术协助锁定数据外泄,但移动设备数据流的涌入,也增大了企业数据的攻击面。

  • Secunia:安全漏洞增多 软件行业补天乏力

    在Secunia最新的安全报告中,这家安全公司提示尽管行业内对安全的投资不断,漏洞还是增多了。Secunia报告说与过去五年的平均数相比,去年的漏洞数量增长了。