《VoIP网路安全防护课件.ppt》由会员分享,可在线阅读,更多相关《VoIP网路安全防护课件.ppt(21页珍藏版)》请在三一办公上搜索。
1、第九章 VoIP網路安全防護,教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心,第九章 VoIP網路安全防護教育部資通訊人才培育先導型計畫,大綱,9.1 VoIP 網路之相關技術簡介9.2 常見的 VoIP 攻擊9.2.1 Dos9.2.2 Eavesdropping9.2.3 Alteration of Voice Stream9.2.4 Toll Fraud9.2.5 Redirection of Call9.2.6 Accounting Data Manipulation9.2.7 Caller Identification (ID) Impersonation9.2.8 Unw
2、anted Calls and Messages (SPIT)9.3 VoIP網路之防護策略,第九章 VoIP網路安全防護,2,大綱9.1 VoIP 網路之相關技術簡介第九章 VoIP網路,9.1 VoIP 網路之相關技術簡介,VOICE over Internet Protocol (VoIP)網路語音通訊技術利用網路無所不在的特性,在企業或家庭的網路環境部署VoIP的裝置,取代傳統的電話系統。使用 IP-base 網路進行語音通訊VoIP軟體可安裝在桌上型電腦、行動 IP 電話或網路閘道器上。VoIP網路架構Endpoints (VoIP Phone)Control NodesGatewa
3、y Nodes (VoIP Gateway Router)IP-base 網路Public Switched Telephone Network (PSTN),第九章 VoIP網路安全防護,3,VoIP 網路架構,9.1 VoIP 網路之相關技術簡介VOICE over I,9.1 VoIP 網路之相關技術簡介,VoIP 通訊流程撥號 (signaling)編碼 (encoding)傳送 (transport)控制閘道 (gateway control)VoIP的使用者在進行語音通訊之前必須先撥號(signaling),待通訊線路被建立後,接著VoIP系統會將語音資料先進行編碼(encodin
4、g),再透過網路傳送給接收端,若接收端是使用傳統電話系統,則需要透過控制閘道(gateway control)進行格式轉換。,第九章 VoIP網路安全防護,4,9.1 VoIP 網路之相關技術簡介VoIP 通訊流程第九章,9.1 VoIP 網路之相關技術簡介,撥號 (signaling)H.323 ITU-T於1996年提出的VoIP標準,一開始是應用在以區域網路為基礎的視訊會議,後來被廣泛應用於網路電話。 SIP (Session Initial Protocol)被廣泛使用作為VoIP通訊的標準,可用於建立多方多媒體通訊(Multiparty Multimedia Communicatio
5、ns)系統,SIP也規範通話建立與結束所使用的命令方式與訊息傳輸的協商機制等。,第九章 VoIP網路安全防護,5,9.1 VoIP 網路之相關技術簡介撥號 (signalin,9.1 VoIP 網路之相關技術簡介,編碼與傳送 (encoding & transport)編碼將類比訊諕 (使用者的語音) 轉成數位信號 (VoiceData)傳送將 VoiceData 封裝 (encapsulation) 成串流封包,才能經由網路即時(real time)送到接收端。當接收端收到串流封包時,需將串流封包解封裝 (decapsulation) 回VoiceData,再數位信號解碼成類比訊號 (語音)
6、 。控制閘道 (gateway control)VoIP Phone若要與一般 PSTN 的電話進行通訊時,需要透過控制閘道進行格式轉換。,第九章 VoIP網路安全防護,6,9.1 VoIP 網路之相關技術簡介編碼與傳送 (encod,9.2 常見的 VoIP 攻擊,目前在 VoIP 系統常發生的安全性問題如下表所示,第九章 VoIP網路安全防護,7,9.2 常見的 VoIP 攻擊目前在 VoIP 系統常發生的,9.2.1 Dos,Denial of Service (Dos)破壞系統的可用性耗盡目標主機的網路頻寬或系統資源讓使用者無法撥電話或無法接電話Dos 攻擊手法有心人士可以送出大量的
7、SIP 要求(例如邀請、註冊、再見或 RTP 封包)佔據 VoIP 系統所需要的資源,讓 VoIP 系統完全不能處理其他使用者的要求;或利用 Internet 通訊協定的漏洞,如 TCP SYN 、 Ping of Death 攻擊某個VoIP 設備,讓 VoIP 系統降低服務品質(如強迫使用者提前掛斷電話等) ,嚴重時 VoIP 系統甚至無法正常提供網路電話服務。,第九章 VoIP網路安全防護,8,9.2.1 DosDenial of Service (Do,9.2.2 Eavesdropping,Eavesdropping破壞通訊的隱私性Internet 為一開放式架構,有心人士可以輕易做
8、到監聽 VoIP 電話內容。Eavesdropping 攻擊手法監聽 VoIP 和傳統監聽網路資料不太一樣,監聽 VoIP 除了需要攔截建立連線使用的信號訊息外,亦要攔截之後包含語音的媒體資料流(Media stream)。信號訊息通常使用SIP (Session Initiation Protocol)通訊協定來傳遞, SIP可使用不同的傳輸層(例如 UDP或TCP) ,通訊協定的埠號由VoIP軟體自行決定。媒體資料流(Media stream)一般使用 UCP 搭配 RTP (Real Time Protocol)。目前利用SIP 和 RTP通訊協定傳送的封包並沒有被加密,有心人士可以利用
9、相關工具(例如Ethereal)來側錄封包,除了達到監聽的目的,還可以得知通話者的身份、註冊資訊和SIP統一資源標識符號(Uniform Resource Identifier:例如電話號碼)等個人資料。,第九章 VoIP網路安全防護,9,9.2.2 EavesdroppingEavesdroppi,9.2.3 Alteration of Voice Stream,Alteration of Voice Stream (取代攻擊)破壞隱私性以及完整性Man-in-the-middle當通話雙方彼此不認識時,攻擊者攔截通訊的語音封包,同時假冒雙方與另一端進行通訊。當通話雙方彼此互相認識時,此種攻
10、擊較難成功,除非攻擊者能產生通話雙方的相似聲波,或事先錄下某一方的聲音來欺騙另一方,但這還是有困難度存在。,第九章 VoIP網路安全防護,10,9.2.3 Alteration of Voice Stre,9.2.4 Toll Fraud,Toll Fraud (話費詐欺)破壞完整性誘騙使用者撥打高付費電話在使用者的通訊設備上留下電話號碼,並要求使用者回電,當使用者一回電就需付高額的通話費。欺騙電話系統攻擊者可以利用 Replay 或是 Impersonate 的方法去偽冒成系統的合法使用者,之後攻擊者撥打高付費電話時,付錢的不是攻擊者本身而是被假冒的受害者。,第九章 VoIP網路安全防護,1
11、1,9.2.4 Toll FraudToll Fraud (話費,9.2.5 Redirection of Call,RedirectionVoIP在設計時,為了方便讓caller能夠透過一組號碼找到位於不同位置或使用不同接話設備的callee,提供了Redirection的服務,當caller撥號至callee號碼時,可以redirect到callee的手機、室內電話或VoIP Phone等的任何通訊設備。Redirection of Call破壞隱私性及完整性有心人士可以藉由修改redirect的資訊,將號碼redirect至有心人士所預定的號碼(如:高付費電話、或攻擊者本身的電話)。,第
12、九章 VoIP網路安全防護,12,9.2.5 Redirection of CallRedir,9.2.6 Accounting Data Manipulation,Accounting database用來存放 call data records (CDR) 資訊CDR 包含每一通電話的撥號端號碼、接話端號碼、日期時間與通話時間等等。Accounting Data Manipulation破壞完整性CDR 被用來當做收費的依據,若攻擊者得到修改 CDR database 的權限時,便可以竄改或刪除通話記錄,藉此進行盜打或犯罪等不法行為。,第九章 VoIP網路安全防護,13,9.2.6 Acc
13、ounting Data Manipula,9.2.7 Caller Identification Impersonation,Caller Identification (ID) Impersonation破壞完整性攻擊者假冒成別的合法使用者 ID 來撥打電話或接電話。,第九章 VoIP網路安全防護,14,9.2.7 Caller Identification Im,9.2.8 Unwanted Calls and Messages,Unwanted Calls and Messages (SPIT)破壞可用性及完整性SPIT 指的是 SPAM over Internet telephone
14、攻擊者藉由大量的垃圾語音訊息塞爆合法使用者的 voice mail box ,使其無法接收其他的語音訊息。,第九章 VoIP網路安全防護,15,9.2.8 Unwanted Calls and Messa,9.3 VoIP網路之防護策略,用來解決前面所敘述之攻擊的防禦方法有下列四種:將 VoIP and Data Traffic 分開設定身份驗證機制撥號時進行雙方身份驗證語音訊息需做加密,第九章 VoIP網路安全防護,16,9.3 VoIP網路之防護策略用來解決前面所敘述之攻擊的防禦,9.3 VoIP網路之防護策略,將 VoIP and Data Traffic 分開我們可以將VoIP的封包與
15、Data Traffic做區隔,以防止其他人藉由網路封包監聽器來進行竊聽。,第九章 VoIP網路安全防護,17,9.3 VoIP網路之防護策略將 VoIP and Data,9.3 VoIP網路之防護策略,設定身份驗證機制管理者可以透過一台Configuration Server來控管使用者,如下圖,當使用者要使用VoIP服務時,會先向DHCP Server取得自身要使用的IP與Configuration Server的IP;接著,Configuration Server會對VoIP Phone進行身份驗證,確認VoIP Phone的身份後,再給予啟用VoIP Service的設定檔,VoIP
16、 Phone再藉由此設定檔,進行VoIP連線。,第九章 VoIP網路安全防護,18,9.3 VoIP網路之防護策略設定身份驗證機制第九章 VoI,9.3 VoIP網路之防護策略,撥號時進行雙方身份驗證我們需要在撥號的同時,執行撥號端與接話端之間的相互身份認證,待互相確定對方之身份後,再建立一條加密通道,傳送語音。語音訊息需做加密利用現有的加解密系統,對語音資訊進行加密,如此一來,除非竊聽者破解密碼系統或取得通訊時所使用的金鑰,否則,將無法竊聽通話內容。,第九章 VoIP網路安全防護,19,9.3 VoIP網路之防護策略撥號時進行雙方身份驗證第九章,9.3 VoIP網路之防護策略,最近幾年VoI
17、P的安全問題已慢慢浮現,針對這種情況,AVAYA、賽門鐵克、西門子等在 2005 年 2 月成立了 VoIP 安全聯盟(VOIPSA),雖然目前 VoIP相關的攻擊事件並不多,但其潛在的危險性仍不容忽視。 VOIPSA提供了以下不同種類的工具,讓使用者能夠用來檢視VoIP的設備或軟體是否有安全性上的問題。VoIP Sniffing ToolsVoIP Scanning and Enumeration ToolsVoIP Packet Creation and Flooding ToolsVoIP Fuzzing ToolsVoIP Signaling Manipulation ToolsVoI
18、P Media Manipulation ToolsMiscellaneous ToolsTool Tutorials and Presentations,第九章 VoIP網路安全防護,20,9.3 VoIP網路之防護策略最近幾年VoIP的安全問題已慢,參考資料,安全資訊管理.ppt。 http:/www.voipsa.org/, VOIPSA。http:/www.voip-:80/, VoIP-NEWS。Security Challenge and Defense in VoIP Infrastructures , Butcher, D., Xiangyang Li, Jinhua Guo, IEEE Transactions on Systems, Man, and Cybernetics, Part C: Applications and Reviews, 2007。 Strategies to Keep Your VoIP Network Secure, Wesley Chou, IT Professional, Volume 9, Issue 5, Sept.-Oct. 2007 Page(s):42 46。,第九章 VoIP網路安全防護,21,參考資料安全資訊管理.ppt。第九章 VoIP網路安全防,