网络的好处
VOIP的流行的原因是它给传统电话系统相比有显著的好处。关键的好处如下:
节约成本VoIP的——最具吸引力的特性是其成本节约潜力。当我们远离公共交换电话网络,长途电话变得便宜。而不是处理在传统商业电信线路配置,话音通信传播在互联网上或在私人数据网络线。
为企业,VoIP设备,降低成本线,人力、和维护。一个组织所有的语音和数据通信集成到一个物理网络,绕过需要单独的PBX领带。虽然是一个重要的初始设置成本,节省大量的净可以从管理结果只有一个网络,不需要维持一个数据遗留在日益数字化的电话系统和中心的世界。同时,网络管理员的负担可能会减少,因为他们现在可以专注于一个网络。不再是一个需要几个团队管理数据网络,另一个网络管理的声音。
对于消费者来说,VoIP的电荷降低订阅或用法,尤其是国际长途电话。
富媒体服务——传统电话系统主要提供语音和传真服务,即使有限的视频服务是可能的。然而,用户的需求远远高于,如图所示在今天的富媒体通过互联网通信。人看看朋友的存在(如在线、离线,忙碌),发送即时消息,使语音或视频通话,传输图像,等等。VoIP技术使富媒体服务,与其他协议的集成和应用。
富媒体服务不仅提供了多个选择的媒体用户,而且还创造了新的市场在通信行业,比如在手机网络电话服务。
手机可移植性——传统电话系统与专线分配一个电话号码,所以你一般不能移动你的家庭电话到另一个地方,如果你想使用相同的电话号码。这是一种常见的麻烦打电话给电话公司,询问电话号码更新时搬到一个新房子。然而,网络提供了流动性:电话设备可以使用相同的数量几乎无处不在,只要有适当的IP连接。现在很多商人把他们的IP电话或旅行时软电话,并使用相同的数字无处不在。
服务迁移——环境迁移这里包括服务迁移。无论电话,可以提供相同的服务,如电话功能,语音邮件访问,通话记录,安全特性,服务策略,等等。
与其他应用程序集成和协作voip协议(如会话初始化协议(SIP), H.323)上运行的应用程序层,能够整合或合作与其他应用程序,如电子邮件,网络浏览器,即时通讯、社交网络应用程序,等等。集成和协作创造协同效应,为用户提供有价值的服务。典型的例子是语音信箱交付通过电子邮件,点击呼叫服务网站、语音呼叫按钮在一封电子邮件中,存在信息联系人列表,等等。
用户控制接口大多数VoIP服务提供者提供用户控制接口,通常一个web GUI,他们的客户,这样他们可以改变特性,动态选择,和服务。例如,用户登录到web GUI和更改呼叫转移号码,快速拨号,存在信息(在线、离线),黑/白名单,music-on-hold选项,匿名电话,等等。
没有地理边界——VoIP服务区域变得虚拟化没有地理限制。即区域代码和国家代码不再绑定到一个特定的位置。例如,你可以住在韩国但订阅一个美国的电话号码,这使得它有可能美国成为国内所有调用调用(便宜)即使你住在韩国。
丰富的功能网络提供了丰富的功能,比如在网页上点击呼叫,Find-Me-Follow-Me (FMFM),选择性呼叫转移,个性化铃声(或炫铃),同步环在多个手机上,选择性区域或国家代码,等等。
现在你知道的许多好处,下一节将一看几个缺点。
网络的缺点
VoIP的好处没有免费的。有显著的缺点使用VoIP,如下:
复杂的服务和网络体系结构集成的富媒体服务(如语音、视频、即时通讯,和传真)很难设计服务和网络体系结构,因为许多不同类型的设备为每个服务,以及不同的协议和每个媒体的特征。丰富的功能(如点击呼叫和FMFM)也使结构更加复杂,因为许多不同的应用程序(比如web和电子邮件)和平台。这种并发症需要额外的时间和资源在设计,测试和部署。它也会导致各种错误和很难诊断和隔离。
不同协议之间的互操作性问题、应用程序或产品——多个VoIP协议(比如SIP、H.323、媒体网关控制协议(MGCP)和瘦),和产品选择任何他们喜欢的公司在开发产品时,这意味着总有产品使用不同协议之间的互操作性问题。之间的产品使用相同的协议,互操作性问题仍然出现,因为不同的实现方式,不同版本(扩展),或不同的特性集。因此,它是常见的VoIP服务提供商花费大量的时间和资源用于测试互操作性和解决这些问题。
服务质量(QoS)的问题语音和视频流流随着IP网络实时数据包,通过多个网络和设备(如交换机、路由器、防火墙、网关和媒体)。因此,保证QoS是非常困难和成本大量的时间和资源来满足用户的期望。QoS的主要因素是丢包,延迟(延迟),和抖动(封包延迟变异)。
VoIP QoS的比较与传统电路交换网络,Sinden2报告数据从一个电信行业协会(TIA)研究显示,即使是很小的百分比丢失的数据包可能将VoIP网络QoS水平以下用户所期望的在传统的电话线路。每个编码解码器(编解码器)TIA研究经验的用户满意度急剧下滑时延时越过150 -女士的观点。然而,即使少于150毫秒的延迟,造成5%的包丢失VoIP通信编码与G.711(国际标准编码电话在64 kbps的音频流)低于PSTN的QoS级别,即使包丢失隐藏方案。同样,损失1和2%,分别就足够将质量与G.723.1 VoIP网络编码(极低码率语音压缩)和G.729A(语音压缩在一个8 kbps流)低于这个阈值。分别为3和4%的损失,,这些网络的性能导致大多数用户不满意。
停电遗留家庭电话继续工作即使在停电,因为电话不断供应48伏。然而,VoIP电话使用常规数据网络线路不提供者在大多数情况下,这意味着您不能使用语音网络技术电话在停电。当然,还有内联电力解决方案(如对以太网),但这些是主要用于企业环境。
紧急呼叫不像传统的电话连接,绑定到一个物理位置,VoIP允许电话可移植性如前一节所述,这是方便用户。然而,复杂的灵活性提供紧急服务,比如一个e - 911电话,它提供了调用者的位置根据来电显示911年派遣办公室(电话号码)。尤其是对用户使用软电话在他们的移动电脑,e - 911服务几乎是不可能的,除非用户通知服务提供者的物理位置每次他们移动。尽管大多数VoIP为e - 911服务供应商有可行的解决方案,政府监管部门和供应商还在为911年VoIP服务标准和程序的环境。
安全问题——传统电话系统,安全问题主要是拦截对话要求物理访问PBX电话线路或妥协的办公室。在VoIP、基于开放或公共网络安全问题比这更。之间的调用者和被调用者之间,许多元素(如IP电话、接入设备、媒体网关、代理服务器,和协议)参与设置调用和传输媒体。每个元素都有脆弱因素,攻击者的目标。在下面的几个部分中提供的例子。
法律问题(合法拦截)法律在网络电话窃听,也称为合法拦截(李),比传统电话系统要复杂得多,因为VoIP服务架构的复杂性。的细节,请参考第十章,“合法拦截基本面因素。”
在这些缺点,安全问题越来越严重,因为传统安全设备(如防火墙和入侵检测系统)和协议(如加密)不能从最近的智能保护VoIP服务或网络威胁。
以下部分的漏洞从以下方面:
漏洞的来源是什么?
脆弱的组件是什么?
人们误解了什么漏洞呢?
漏洞的来源
网络电话有两个类型的脆弱性。一个是来自现有的遗传脆弱性等基础设施网络,操作系统,或VoIP应用程序上运行的web服务器。另一种是自己的弱点来自VoIP协议和设备,如IP电话,语音网关,媒体服务器、信号控制器,等等。
基本上,这些漏洞源于VoIP所示的特点图1 - 2。
漏洞的来源
每个源的脆弱性在以下部分说明。
基于ip的网络基础设施
正如VoIP名称所暗示的,所有在IP网络流量和继承了IP网络的脆弱性,如传输控制协议(TCP SYN)同步攻击,详尽的洪水、恶意IP碎片,网络病毒或蠕虫。
打开或公共网络
在大多数情况下,网络流量通过公开或公共网络如互联网匿名人或媒体包括攻击者可能发送和接收信号。
开放的网络协议
大多数VoIP协议,SIP或H.323等标准化,对公众开放。任何人都可以创建客户机或服务器程序根据协议规范甚至恶意目的。攻击者可以利用恶意程序与目标服务器或客户沟通之前妥协。另外,规范的开放协议可能暴露的安全漏洞,攻击者可以利用。
接触界面
一个客户机/服务器模型的基本架构是VoIP服务。一般来说,服务器位于一个受保护的网络(企业或服务提供者的),但接收呼叫请求的接口开放给客户,都位于一个开放或公共网络。攻击者有可能随机ip /端口扫描,找到公开的接口发送恶意流量,如拒绝服务(DoS),人数诈骗,等等。
实时通信
与常规数据服务如电子邮件、VoIP服务处理实时媒体流量对封包延迟非常敏感,损失,和抖动(封包延迟变异)。甚至小封包延迟抖动可以被用户和影响总体QoS。包丢失也可以影响QoS因为VoIP使用用户数据报协议(UDP)数据包在大多数情况下,没有重传机制。
流动性
传统电话系统分配一个专线到某个电话号码,不为用户提供流动性,这对攻击者通常需要物理访问恶搞身份(电话号码或线)。然而,一般来说,VoIP允许端点几乎无处不在,只要他们有适当的IP连接,这就不利于保护身份欺骗。
缺乏安全特性和设备
尽管许多数据添加特性VoIP防火墙等安全设备,它仍不足以保护VoIP服务或网络从今天的复杂的威胁,相比常规数据安全领域。
语音和数据集成
在VoIP语音(或视频)的实时数据。语音和数据的集成在同一个网络提供了显著的好处,但它会导致新的问题;例如,将语音和数据集成到一个单一的设备(如个人电脑)很难网络使用网络分离(例如,vlan)来识别交通“数据”和“声音”交通。VLAN分离是许多艰难的IP电话的标准操作程序,但当然不工作时的声音和数据集成。
总是有漏洞的来源根据服务类型或集成解决方案;然而,这些是主要的来源。
下一节描述了脆弱的组件在VoIP服务。
脆弱的组件
所有组件参与VoIP服务脆弱的元素直接或间接的影响。以下是网络的主要组件及其脆弱性。
操作系统的网络应用程序voip应用程序运行在许多不同类型的操作系统,如Linux / Unix, Microsoft Windows,或实时操作系统(RTOS),受到这些操作系统固有的脆弱性和网络代码实现(例如,TCP / IP)。频繁的操作系统安全补丁证明他们总是有安全问题。
网络电话应用程序——许多不同类型的VoIP应用程序;例如,软电话(Skype, Google Talk),即时信使(AOL的目的和MSN Messenger),叫经理,软交换等等。应用程序本身可能会有安全问题由于缺陷或错误,这可能使VoIP服务不安全。
管理界面——管理的目的,大多数VoIP设备服务接口等简单网络管理协议(SNMP), Secure Shell (SSH)、Telnet和HTTP。接口可以脆弱的来源,特别是当被配置的不小心。例如,如果一个VoIP设备使用一个“公共”社区的名字在SNMP,攻击者可以获得有价值的信息(例如,配置)通过使用SNMP查询。如果一个VoIP设备使用默认ID /密码管理界面,对攻击者很容易打破。
TFTP服务器许多VoIP设备,特别是客户前提设备(CPE),下载一个TFTP服务器的配置。攻击者可以嗅探包和收集服务器信息。或者,攻击者可以冒充欺骗一个TFTP服务器的连接,然后分发恶意CPE的配置。
Web客户机/服务器许多网络应用程序嵌入到web客户机(浏览器)提供的web服务(例如,点击拨号服务,公司目录查找,和考勤卡服务)。这些服务继承web客户机/服务器的脆弱性,如恶意代码或蠕虫。
访问设备(交换机、路由器)——网络流量流经接入设备(2和3层交换机或路由器)负责开关或路由。妥协接入设备造成严重的安全问题,因为他们可以完全控制包。即使是很小的错误配置可能是一个潜在的安全漏洞。例如,攻击者妥协一层2开关,设置监控端口VLAN为特定的声音。攻击者可以捕获所有网络电话信号和媒体通过监控端口对最终用户没有任何影响。另一个例子是,错误的配置在第三层路由器可以让一个不必要的广播域,一个潜在的攻击者可以嗅广播消息用于进一步的攻击。
网络——网络本身可以脆弱的组件,因为控制流量,无论恶意或不是。例如,洪水流量特定端点不仅威胁到目标服务器,但也耗尽网络带宽,这样其他合法流量不能通过。洪水流量可以来自恶意消息人士拒绝服务(DoS)的一部分,或合法设备错误的配置或错误。
网络协议栈安全因素时不考虑大多数VoIP协议(例如,SIP和H.323)设计。例如,最初版本的SIP (RFC 2543)允许clear-text-based凭证;也就是说,任何人都可以看到密码,只要他们可以嗅探包。最新版本的SIP (RFC 3261)支持的消化格式密码(即散列密码),但它仍然是脆弱的蛮力或字典攻击。相当大量的当前威胁滥用这种安全弱点的协议。因此,这些协议建议结合其他安全协议(例如,传输层安全性(TLS),安全/多用途Internet邮件扩展(S / MIME))在实现他们。
现在你知道脆弱的组件的VoIP,在下一节中解释了关于脆弱的一些误解。
神话与现实
某些误解有关VoIP的脆弱性和保护是常见的。以下部分描述典型的神话和现实对比。
遗留和VoIP系统
神话# 1:传统电话系统比VoIP系统更安全。
现实:大多数普通民众担心隐私问题(通常,窃听)当使用VoIP设备(如IP电话),主要是连接到开放或公共网络。听起来简单的黑客嗅数据包窃听谈话,但在现实中,它不是那么容易。黑客必须有一个嗅探工具位于同一广播域IP电话(使用交换式以太网),或在同一媒体路径为了偷听,这意味着它几乎是不可能的外部黑客嗅探包。此外,如果媒体数据包进行加密,即使嗅数据包是无用的。
然而,窃听遗留电话线要容易得多。甚至从外部建筑,一个偷听者可以身体窃听电话,因为电话和电话公司的设备没有任何智能的安全机制。
当然,网络有许多脆弱的因素,正如前面提到的,但是比较那些直接与传统电话系统是不合理的,因为VoIP服务的范围远远超过传统的电话服务只提供语音和传真服务。如前所述,今天的网络电话不仅提供富媒体服务(如语音、视频、文本的存在,和传真),也综合服务与其他应用程序(如电子邮件、网络和通讯)。天生的复杂性创造了更多的脆弱性问题。
当你只关注语音和传真服务,您将看到VoIP比传统电话系统更安全,只要它有一个基本的安全基础设施,这是第二部分中所讨论的,“VoIP安全最佳实践。”
保护网络使用严格的身份验证和加密
神话# 2:严格的身份验证和加密足以保护网络和终端用户免受威胁。
现实:许多人,甚至一些网络管理员,相信严格的身份验证和加密机制使VoIP服务足够安全。这些都是重要的功能,但现实是,那些不足以减轻今天的复杂的威胁。典型的恶意用户或垃圾邮件发送者的威胁类型模仿他们的端点或感染合法的内部设备与恶意软件(如病毒或僵尸),使他们成为授权用户,很容易通过身份验证和加密过程。因此,他们需要一个全面的解决方案涵盖多个方面的威胁。
保护网络使用数据安全基础设施
神话# 3:数据安全基础设施可以保护VoIP网络。
现实:有些人认为可以保护网络安全数据网络,因为网络数据包流经IP网络和其他实时数据。这是部分正确的从网络层的角度来看,但有很多application-layer-specific攻击,典型的数据安全设备(如防火墙、IDS / IPS)或建筑不能检测或阻止他们。例如,畸形的SIP或H.323消息可能威胁目标服务器解析的时候,但没有提供线索数据安全设备,除非他们正在调查中的消息应用程序层。因此,额外的VoIP安全模块、设备或架构是必要的数据安全的基础设施。
总结
VoIP的电信世界出现在90年代末以来,作为一种新技术在IP网络传输多媒体。其流行的原因是网络给传统电话系统相比有显著的好处。关键的好处是节约成本,富媒体服务,电话可移植性,服务的可移植性,与其他应用程序的集成,缺乏地理边界,和丰富的功能。
VoIP的好处不来没有代价。使用网络电话有明显的缺点,如复杂的服务架构,互操作性问题,QoS问题,停电、法律和安全问题。在这些缺点,网络安全问题越来越严重,因为传统安全设备(例如,防火墙、IDS / IPS),协议(例如,加密)和架构不充分保护VoIP服务或网络从近期智能威胁。
有两种类型的漏洞在VoIP。一个是来自现有的遗传脆弱性等基础设施网络,操作系统,或VoIP应用程序上运行的web服务器。另一种是自己的弱点来自VoIP协议和设备,如IP电话,语音网关,媒体服务器、信号控制器,等等。
这些漏洞源于网络的特点,采用基于ip的网络基础设施,公共网络(或打开),标准协议,向公众公开的接口,实时通信、移动性和集成数据。
所有组件参与VoIP服务直接或间接影响的脆弱的元素。脆弱性的主要组件是VoIP应用程序的操作系统、网络电话应用程序本身,管理界面,TFTP服务器,web客户机/服务器,访问设备(交换机、路由器),网络,网络协议栈。
有一些误解有关VoIP的脆弱性和保护。现实情况是,VoIP系统比传统电话系统更安全,只要保持一个基本水平的安全基础设施。严格的身份验证和加密是不足以保护网络和终端用户对今天的复杂的威胁。网络安全基础设施的数据可以帮助让VoIP网络安全但不足以保护特定于应用程序的攻击。
最后指出
引用
“企业网络的安全蓝图”,思科系统公司,http://www.cisco.com/warp/public/cc/so/cuso/epso/sqfr/safe_wp.pdf。
Sipera“为企业全面的网络安全系统,http://www.sipera.com/assets/Documents/whitepapers/Sipera_Enterprise_VoIP_Security_WP.pdf。
Hersent, O。、j.p.小和d Gurle。IP电话(部署基于IP协议)。威利,2005年。
RFC 3261,“SIP(会话初始化协议),”j·罗森博格,h . Schulzrinne g·贝a·约翰斯顿j·彼得森,r .火花,m··汉德里和e·斯古乐,2002年6月。
版权©2007培生教育。保留所有权利。