首页 > 新闻 > 专家观点 >

《FreeSWITCH 1.2》:VoIP安全

2014-05-06 17:13:42   作者:   来源:CTI论坛   评论:0  点击:


  VoIP安全的话题是非常重要的一个话题,对于FreeSWITCH系统来说相当重要。安全策略包括主动防御策略和被动防守策略。在FreeSWITCH中,主动防御策略包括对SIP和RTP实行多种类型的加密技术来防止篡改和窃听通话。在FreeSWITCH中的被动防守策略通过结合其他开源的网络工具来防止从未知道源地址过来的恶意的数据传输,防止网络滥用和电话盗打。当用户的系统是生成系统时,非常必要使用一些开源的VOIP工具配合FreeSWITCH工作。

  这一章节我们分成四个部分来逐一介绍:

  · 网络的层次保护

  · 拨号信令

  · 保护语音

  · 保护密码

  网络的层次保护

  大部分搞恶意攻击的家伙使用开放的网络端口侵入到内部的VOIP网络。他们查找比较弱的秘密来获得软件的bug,利用内部的设置来控制电话系统的配置和通话路由。最终目的是获得电话盗打,通话窃听,或窃取系统信息(例如邮箱的语音留言)。

  因为网络是用户系统的入口,对用户网络的设置要格外小心,用户可以利用FreeSWITCH的功能来进一步保护系统。

  分离接口和限制数据流量

  在开放的网络中,SIP是经常遭受恶意攻击的一个技术。大部分情况下,那些攻击者通过对5060端口发送UDP包来扫描IP地址段,然后查看服务器的响应。一旦他们发现了服务器端的响应,攻击者将疯狂测试通常使用的密码然后呼出。在大部分环境中,攻击者通过虚假注册或其他数据包来攻击服务器,导致服务器不能正常工作。

  保护FreeSWITCH最简单的办法是通过分离SIP接口,强制防火墙或IPTables路由表来支持不同的接口。

  就像用户在上一个章节学习的,FreeSWITCH 支持用户在同一个系统中设置不同的Sofia SIP接口,通过不同的地址和端口来接收和发送SIP数据流量。通过这样的设置可以增加额外的一层对安全性和稳定性的保护。

  从安全的角度来看,Sofia SIP profiles配置了默认的contexts支持呼入的呼叫。那些contexts 可以默认支持严格限定的拨号规则。如果用户把限定的contexts和保护工作和相关的SIP profile,用户将严格限制某些人发送SIP盗打信息进入到用户系统,即使用户偶然创建了错误的配置文件,也不会对系统安全造成很大影响。

  另外,每个Sofia SIP profile 可以支持一个不同的ACL列表。通过这样的方法,用户可以配置更加严格的限制措施应对IP地址和一些控制不是非常严格的内网地址。

  从稳定性和性能来说,已知的事实是,在FreeSWITCH设计中,每个Sofia SIP接口是一个分离的线程。这表示,每个线程可以有各自的端口和IP地址,如果有人用户对系统干涉的话,独立的线程可以帮助用户把这个干扰降低到最少程度。但是,这不是一个万无一失的方法来保护用户系统,如果被攻击时,可能这样的方法对用户有所帮助。

  举例设置-简单方式

  最简单的设置中,系统有一个接口,运营商可以通过这个接口来连接到用户端,对应另外一个接口,这个用户电话可以轻松使用。大部分恶意的攻击是通过端口扫描5060发现用户正在这个端口接收和响应SIP数据流量。在这里,攻击者会使用各种认证方式的组合来发现漏洞,直到发现一个生效的端口,或肆意不停测试那个端口。如果用户使用ACL限定了这个IP地址,修改端口号码为一个任意的端口,仅允许从运营商来到呼入,用户可立马防止攻击者访问系统,即使这个攻击者获得了正确的用户名和密码,也不会非常轻松地访问系统。

  以下条例显示用户如何设置一个默认环境的FreeSWITCH系统:

  另外一个办法是,用户使用特别的和非常不同的端口,这样攻击者可能非常困难对系统进行攻击。另外,用户可以使用防火墙来限定一个仅支持运营商的端口,开放其他的端口给终端电话。

  未完待续······

 

相关阅读:

分享到: 收藏

专题