Avaya-IPT技术方案-IPT安全解决方案.docVIP

Avaya-IPT安全解决方案Avaya的设计理念 语音与数据融合给通信带来全新的世界的同时安全性提高到了一个重要的日程，Avaya在设计IPT的同时，安全已经做为一项重要的基础技术与融合的概念同时推出。传统语音基础设施和数据基础设施所面临的安全威胁传统的语音基础设施，例如PBX来说，安全威胁以话费欺诈为主，而造成话费欺诈的主要原因包括：粗心的用户暴露了长途直拨的验证代码自动拨号功能按钮中的用户编程验证代码语音邮件密码泄漏配置错误的远程访问、语音邮件访问和自动话务员访问权限未及时清除已经离开公司的员工账户????? 传统语音基础设施中还存在线路窃听、通过远程拨号维护调制解调器进行非法接入、对PABX的物理接触等，但由于传统的语音设备技术上的私有性和封闭性，对传统语音设备的攻击远小于数据网络中的攻击。???? 网络协议的开放性，技术上的易掌握性，目前数据网络上存在着大量的安全攻击和威胁，例如：拒绝服务攻击 – SYN Flood，Flood Ping、IP碎片攻击、Finger of death等；病毒攻击 – 邮件蠕虫、特洛伊木马等 操作系统安全漏洞 – 大部分黑客都是通过OS的安全漏洞获取超级用户访问权 端口扫描 – 获取网络服务和拓扑图，目前从互联网上均可以下载到端口扫描的工具交换机、路由器、防火墙 – SNMP V1本身存在安全弱点，超级权限用户访问等数据拦截/窃听–交换式网络上的中间人攻击，IP欺骗，Sniffer?IP 语音通讯所面临的安全威胁由于IP Telephony的语音服务器和网关均部署在IP网络平台上，因此会面临原来传统的语音和数据基础设施合二为一的安全威胁，这些威胁将严重影响IP 语音系统的正常运行，包括：– 端口扫描/拒绝服务攻击(DoS)从网络攻击的方法和产生的破坏效果来看，DoS算是一种既简单又有效的攻击方式。攻击者向服务器发送相当多数量的带有虚假地址的服务请求，但因为所包含的回复地址是虚假的，服务器将等不到回传的消息，直至所有的资源被耗尽。VoIP技术已经有很多知名的端口，像1719、1720、5060等。还有一些端口是产品本身需要用于远端管理或是私有信息传递的用途，总之是要比普通的某个简单的数据应用多。只要是攻击者的PC和这些应用端口在同一网段，就可以通过简单的扫描工具，如X-Way之类的共享软件来获得更详细的信息。最近报道的一个安全漏洞是由NISCC(UKNationalInfrastructure SecurityCo-ordi-nationCenter)提出，测试结果表明：“市场上很多采用H.323协议的VoIP系统在H.245建立过程中都存在漏洞，容易在1720端口上受到DoS的攻击，导致从而系统的不稳定甚至瘫痪”。– OS漏洞和病毒攻击目前IP Telephony最常用的话音建立和控制信令是H.323和SIP协议。尽管它们之间有若干区别，但总体上都是一套开放的协议体系。设备厂家都会有独立的组件来承载包括IP终端登陆注册、关守和信令接续。这些产品有的采用WindowsNT的操作系统，也有的是基于Linux或VxWorks。越是开放的操作系统，也就越容易受到病毒和恶意攻击的影响。尤其是某些设备需要提供基于Web的管理界面的时候，都会有机会采用Microsoft IIS或Apache来提供服务，而这些应用都是在产品出厂的时候已经安装在设备当中，无法保证是最新版本或是承诺已经弥补了某些安全漏洞。– 由于网络管理漏洞以及通过分组窃听泄漏验证代码造成话费欺诈话费欺诈的问题在传统语音设备上同样存在，最简单的方式就是通过一根普通模拟话机线上又并接了多个电话，将会出现电话盗打的问题。尽管IP话机没办法通过并线的方式来打电话，但通过窃取使用者IP电话的登陆密码同样能够获得话机的权限。通常在IP话机首次登陆到系统时，会要求提示输入各人的分机号码和密码；很多采用了VoIP的企业为了方便员工远程/移动办公，都会在分配一个桌面电话的同时，再分配一个虚拟的IP电话，并授予密码和拨号权限。这样，即使员工出差或是在家办公情况下，都可以利用VPN方式接入到公司的局域网中，然后运行电脑中的IP软件电话接听或拨打市话，如同在公司里办公一样。当密码流失之后，任何人都可以用自己的软电话登陆成为别人的分机号码；如果获得的权限是可以自由拨打国内甚至国际长途号码，将会给企业带来巨大的损失且很难追查。– IP语音Sniffer 模拟话机存在并线窃听的问题，当企业用户使用了数字话机之后，由于都是厂家私有的协议，很难通过简单的手段来侦听。但在IP环境下，这个问题又被提了出来。一个典型的IP语音呼叫需要信令和媒体流两个建立的步骤，RTP/RTCP是在基于包的网络上传输等时话音信息的协议。由于协议本身是