中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

 首頁(yè) > 新聞 > 專家觀點(diǎn) >

《FreeSWITCH 1.2》:VoIP安全

2014-05-06 17:13:42   作者:   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  VoIP安全的話題是非常重要的一個(gè)話題,對(duì)于FreeSWITCH系統(tǒng)來說相當(dāng)重要。安全策略包括主動(dòng)防御策略和被動(dòng)防守策略。在FreeSWITCH中,主動(dòng)防御策略包括對(duì)SIP和RTP實(shí)行多種類型的加密技術(shù)來防止篡改和竊聽通話。在FreeSWITCH中的被動(dòng)防守策略通過結(jié)合其他開源的網(wǎng)絡(luò)工具來防止從未知道源地址過來的惡意的數(shù)據(jù)傳輸,防止網(wǎng)絡(luò)濫用和電話盜打。當(dāng)用戶的系統(tǒng)是生成系統(tǒng)時(shí),非常必要使用一些開源的VOIP工具配合FreeSWITCH工作。

  這一章節(jié)我們分成四個(gè)部分來逐一介紹:

  · 網(wǎng)絡(luò)的層次保護(hù)

  · 撥號(hào)信令

  · 保護(hù)語(yǔ)音

  · 保護(hù)密碼

  網(wǎng)絡(luò)的層次保護(hù)

  大部分搞惡意攻擊的家伙使用開放的網(wǎng)絡(luò)端口侵入到內(nèi)部的VOIP網(wǎng)絡(luò)。他們查找比較弱的秘密來獲得軟件的bug,利用內(nèi)部的設(shè)置來控制電話系統(tǒng)的配置和通話路由。最終目的是獲得電話盜打,通話竊聽,或竊取系統(tǒng)信息(例如郵箱的語(yǔ)音留言)。

  因?yàn)榫W(wǎng)絡(luò)是用戶系統(tǒng)的入口,對(duì)用戶網(wǎng)絡(luò)的設(shè)置要格外小心,用戶可以利用FreeSWITCH的功能來進(jìn)一步保護(hù)系統(tǒng)。

  分離接口和限制數(shù)據(jù)流量

  在開放的網(wǎng)絡(luò)中,SIP是經(jīng)常遭受惡意攻擊的一個(gè)技術(shù)。大部分情況下,那些攻擊者通過對(duì)5060端口發(fā)送UDP包來掃描IP地址段,然后查看服務(wù)器的響應(yīng)。一旦他們發(fā)現(xiàn)了服務(wù)器端的響應(yīng),攻擊者將瘋狂測(cè)試通常使用的密碼然后呼出。在大部分環(huán)境中,攻擊者通過虛假注冊(cè)或其他數(shù)據(jù)包來攻擊服務(wù)器,導(dǎo)致服務(wù)器不能正常工作。

  保護(hù)FreeSWITCH最簡(jiǎn)單的辦法是通過分離SIP接口,強(qiáng)制防火墻或IPTables路由表來支持不同的接口。

  就像用戶在上一個(gè)章節(jié)學(xué)習(xí)的,F(xiàn)reeSWITCH 支持用戶在同一個(gè)系統(tǒng)中設(shè)置不同的Sofia SIP接口,通過不同的地址和端口來接收和發(fā)送SIP數(shù)據(jù)流量。通過這樣的設(shè)置可以增加額外的一層對(duì)安全性和穩(wěn)定性的保護(hù)。

  從安全的角度來看,Sofia SIP profiles配置了默認(rèn)的contexts支持呼入的呼叫。那些contexts 可以默認(rèn)支持嚴(yán)格限定的撥號(hào)規(guī)則。如果用戶把限定的contexts和保護(hù)工作和相關(guān)的SIP profile,用戶將嚴(yán)格限制某些人發(fā)送SIP盜打信息進(jìn)入到用戶系統(tǒng),即使用戶偶然創(chuàng)建了錯(cuò)誤的配置文件,也不會(huì)對(duì)系統(tǒng)安全造成很大影響。

  另外,每個(gè)Sofia SIP profile 可以支持一個(gè)不同的ACL列表。通過這樣的方法,用戶可以配置更加嚴(yán)格的限制措施應(yīng)對(duì)IP地址和一些控制不是非常嚴(yán)格的內(nèi)網(wǎng)地址。

  從穩(wěn)定性和性能來說,已知的事實(shí)是,在FreeSWITCH設(shè)計(jì)中,每個(gè)Sofia SIP接口是一個(gè)分離的線程。這表示,每個(gè)線程可以有各自的端口和IP地址,如果有人用戶對(duì)系統(tǒng)干涉的話,獨(dú)立的線程可以幫助用戶把這個(gè)干擾降低到最少程度。但是,這不是一個(gè)萬無一失的方法來保護(hù)用戶系統(tǒng),如果被攻擊時(shí),可能這樣的方法對(duì)用戶有所幫助。

  舉例設(shè)置-簡(jiǎn)單方式

  最簡(jiǎn)單的設(shè)置中,系統(tǒng)有一個(gè)接口,運(yùn)營(yíng)商可以通過這個(gè)接口來連接到用戶端,對(duì)應(yīng)另外一個(gè)接口,這個(gè)用戶電話可以輕松使用。大部分惡意的攻擊是通過端口掃描5060發(fā)現(xiàn)用戶正在這個(gè)端口接收和響應(yīng)SIP數(shù)據(jù)流量。在這里,攻擊者會(huì)使用各種認(rèn)證方式的組合來發(fā)現(xiàn)漏洞,直到發(fā)現(xiàn)一個(gè)生效的端口,或肆意不停測(cè)試那個(gè)端口。如果用戶使用ACL限定了這個(gè)IP地址,修改端口號(hào)碼為一個(gè)任意的端口,僅允許從運(yùn)營(yíng)商來到呼入,用戶可立馬防止攻擊者訪問系統(tǒng),即使這個(gè)攻擊者獲得了正確的用戶名和密碼,也不會(huì)非常輕松地訪問系統(tǒng)。

  以下條例顯示用戶如何設(shè)置一個(gè)默認(rèn)環(huán)境的FreeSWITCH系統(tǒng):

  另外一個(gè)辦法是,用戶使用特別的和非常不同的端口,這樣攻擊者可能非常困難對(duì)系統(tǒng)進(jìn)行攻擊。另外,用戶可以使用防火墻來限定一個(gè)僅支持運(yùn)營(yíng)商的端口,開放其他的端口給終端電話。

  未完待續(xù)······

 
分享到: 收藏

專題