1、國立雲林科技大學電腦與通訊工程系教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心第九章 VoIP網路安全防護教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系大綱p9.1 VoIP 網路之相關技術簡介p9.2 常見的 VoIP 攻擊n9.2.1 Dosn9.2.2 Eavesdroppingn9.2.3 Alteration of Voice Streamn9.2.4 Toll Fraudn9.2.5 Redirection of Calln9.2.6 Accounting Data Manipulationn9.2
2、.7 Caller Identification(ID)Impersonationn9.2.8 Unwanted Calls and Messages(SPIT)p9.3 VoIP網路之防護策略第九章 VoIP網路安全防護2國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.1 VoIP 網路之相關技術簡介pVOICE over Internet Protocol(VoIP)n網路語音通訊技術n利用網路無所不在的特性,在企業或家庭的網路環境部署VoIP的裝置,取代傳統的電話系統。n使用 IP-base 網路進行語音通訊nVoIP軟體可安裝在桌上型電腦、行動 IP 電話或網路閘道
3、器上。pVoIP網路架構nEndpoints(VoIP Phone)nControl NodesnGateway Nodes(VoIP Gateway Router)nIP-base 網路nPublic Switched Telephone Network(PSTN)第九章 VoIP網路安全防護3VoIP 網路架構國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.1 VoIP 網路之相關技術簡介pVoIP 通訊流程n撥號(signaling)n編碼(encoding)n傳送(transport)n控制閘道(gateway control)pVoIP的使用者在進行語音通訊之前必
4、須先撥號(signaling),待通訊線路被建立後,接著VoIP系統會將語音資料先進行編碼(encoding),再透過網路傳送給接收端,若接收端是使用傳統電話系統,則需要透過控制閘道(gateway control)進行格式轉換。第九章 VoIP網路安全防護4國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.1 VoIP 網路之相關技術簡介p撥號(signaling)nH.323 ITU-T於1996年提出的VoIP標準,一開始是應用在以區域網路為基礎的視訊會議,後來被廣泛應用於網路電話。nSIP(Session Initial Protocol)被廣泛使用作為VoIP通訊的
5、標準,可用於建立多方多媒體通訊(Multiparty Multimedia Communications)系統,SIP也規範通話建立與結束所使用的命令方式與訊息傳輸的協商機制等。第九章 VoIP網路安全防護5國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.1 VoIP 網路之相關技術簡介p編碼與傳送(encoding&transport)n編碼p將類比訊諕(使用者的語音)轉成數位信號(VoiceData)n傳送p將 VoiceData 封裝(encapsulation)成串流封包,才能經由網路即時(real time)送到接收端。n當接收端收到串流封包時,需將串流封包解封裝
6、(decapsulation)回VoiceData,再數位信號解碼成類比訊號(語音)。p控制閘道(gateway control)nVoIP Phone若要與一般 PSTN 的電話進行通訊時,需要透過控制閘道進行格式轉換。第九章 VoIP網路安全防護6國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.2 常見的 VoIP 攻擊p目前在 VoIP 系統常發生的安全性問題如下表所示第九章 VoIP網路安全防護7Security ConcernConfidentialityIntegrityAvailabilityDenial of ServiceXEavesdroppingXAl
7、teration of Voice StreamXXToll FraudXRedirection of CallXXXAccounting Data ManipulationXXCaller Identification ImpersonationXUnwanted Calls and MessagesXX國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.2.1 DospDenial of Service(Dos)n破壞系統的可用性n耗盡目標主機的網路頻寬或系統資源n讓使用者無法撥電話或無法接電話pDos 攻擊手法n有心人士可以送出大量的 SIP 要求(例如邀請、註冊、再見或
8、 RTP 封包)佔據 VoIP 系統所需要的資源,讓 VoIP 系統完全不能處理其他使用者的要求;或利用 Internet 通訊協定的漏洞,如 TCP SYN、Ping of Death 攻擊某個VoIP 設備,讓 VoIP 系統降低服務品質(如強迫使用者提前掛斷電話等),嚴重時 VoIP 系統甚至無法正常提供網路電話服務。第九章 VoIP網路安全防護8國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.2.2 EavesdroppingpEavesdroppingn破壞通訊的隱私性nInternet 為一開放式架構,有心人士可以輕易做到監聽 VoIP 電話內容。pEavesd
9、ropping 攻擊手法n監聽 VoIP 和傳統監聽網路資料不太一樣,監聽 VoIP 除了需要攔截建立連線使用的信號訊息外,亦要攔截之後包含語音的媒體資料流(Media stream)。信號訊息通常使用SIP(Session Initiation Protocol)通訊協定來傳遞,SIP可使用不同的傳輸層(例如 UDP或TCP),通訊協定的埠號由VoIP軟體自行決定。媒體資料流(Media stream)一般使用 UCP 搭配 RTP(Real Time Protocol)。目前利用SIP 和 RTP通訊協定傳送的封包並沒有被加密,有心人士可以利用相關工具(例如Ethereal)來側錄封包,除
10、了達到監聽的目的,還可以得知通話者的身份、註冊資訊和SIP統一資源標識符號(Uniform Resource Identifier:例如電話號碼)等個人資料。第九章 VoIP網路安全防護9國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.2.3 Alteration of Voice StreampAlteration of Voice Stream(取代攻擊)n破壞隱私性以及完整性nMan-in-the-middlen當通話雙方彼此不認識時,攻擊者攔截通訊的語音封包,同時假冒雙方與另一端進行通訊。n當通話雙方彼此互相認識時,此種攻擊較難成功,除非攻擊者能產生通話雙方的相似聲
11、波,或事先錄下某一方的聲音來欺騙另一方,但這還是有困難度存在。第九章 VoIP網路安全防護10國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.2.4 Toll FraudpToll Fraud(話費詐欺)n破壞完整性n誘騙使用者撥打高付費電話在使用者的通訊設備上留下電話號碼,並要求使用者回電,當使用者一回電就需付高額的通話費。n欺騙電話系統攻擊者可以利用 Replay 或是 Impersonate 的方法去偽冒成系統的合法使用者,之後攻擊者撥打高付費電話時,付錢的不是攻擊者本身而是被假冒的受害者。第九章 VoIP網路安全防護11國立雲林科技大學國立雲林科技大學電腦與通訊工程
12、系電腦與通訊工程系9.2.5 Redirection of CallpRedirectionnVoIP在設計時,為了方便讓caller能夠透過一組號碼找到位於不同位置或使用不同接話設備的callee,提供了Redirection的服務,當caller撥號至callee號碼時,可以redirect到callee的手機、室內電話或VoIP Phone等的任何通訊設備。pRedirection of Calln破壞隱私性及完整性n有心人士可以藉由修改redirect的資訊,將號碼redirect至有心人士所預定的號碼(如:高付費電話、或攻擊者本身的電話)。第九章 VoIP網路安全防護12國立雲林科技
13、大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.2.6 Accounting Data ManipulationpAccounting databasen用來存放 call data records(CDR)資訊nCDR 包含每一通電話的撥號端號碼、接話端號碼、日期時間與通話時間等等。pAccounting Data Manipulationn破壞完整性nCDR 被用來當做收費的依據,若攻擊者得到修改 CDR database 的權限時,便可以竄改或刪除通話記錄,藉此進行盜打或犯罪等不法行為。第九章 VoIP網路安全防護13國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程
14、系9.2.7 Caller Identification ImpersonationpCaller Identification(ID)Impersonationn破壞完整性n攻擊者假冒成別的合法使用者 ID 來撥打電話或接電話。第九章 VoIP網路安全防護14國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.2.8 Unwanted Calls and MessagespUnwanted Calls and Messages(SPIT)n破壞可用性及完整性nSPIT 指的是 SPAM over Internet telephonen攻擊者藉由大量的垃圾語音訊息塞爆合法使用者
15、的 voice mail box,使其無法接收其他的語音訊息。第九章 VoIP網路安全防護15國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.3 VoIP網路之防護策略p用來解決前面所敘述之攻擊的防禦方法有下列四種:n將 VoIP and Data Traffic 分開n設定身份驗證機制n撥號時進行雙方身份驗證n語音訊息需做加密第九章 VoIP網路安全防護16國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.3 VoIP網路之防護策略p將 VoIP and Data Traffic 分開n我們可以將VoIP的封包與Data Traffic做區隔,以防止其他
16、人藉由網路封包監聽器來進行竊聽。第九章 VoIP網路安全防護17國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.3 VoIP網路之防護策略p設定身份驗證機制管理者可以透過一台Configuration Server來控管使用者,如下圖,當使用者要使用VoIP服務時,會先向DHCP Server取得自身要使用的IP與Configuration Server的IP;接著,Configuration Server會對VoIP Phone進行身份驗證,確認VoIP Phone的身份後,再給予啟用VoIP Service的設定檔,VoIP Phone再藉由此設定檔,進行VoIP連線。
17、第九章 VoIP網路安全防護18國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.3 VoIP網路之防護策略p撥號時進行雙方身份驗證我們需要在撥號的同時,執行撥號端與接話端之間的相互身份認證,待互相確定對方之身份後,再建立一條加密通道,傳送語音。p語音訊息需做加密利用現有的加解密系統,對語音資訊進行加密,如此一來,除非竊聽者破解密碼系統或取得通訊時所使用的金鑰,否則,將無法竊聽通話內容。第九章 VoIP網路安全防護19國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系9.3 VoIP網路之防護策略p最近幾年VoIP的安全問題已慢慢浮現,針對這種情況,AVAYA、
18、賽門鐵克、西門子等在 2005 年 2 月成立了 VoIP 安全聯盟(VOIPSA),雖然目前 VoIP相關的攻擊事件並不多,但其潛在的危險性仍不容忽視。pVOIPSA提供了以下不同種類的工具,讓使用者能夠用來檢視VoIP的設備或軟體是否有安全性上的問題。nVoIP Sniffing ToolsnVoIP Scanning and Enumeration ToolsnVoIP Packet Creation and Flooding ToolsnVoIP Fuzzing ToolsnVoIP Signaling Manipulation ToolsnVoIP Media Manipulatio
19、n ToolsnMiscellaneous ToolsnTool Tutorials and Presentations第九章 VoIP網路安全防護20國立雲林科技大學國立雲林科技大學電腦與通訊工程系電腦與通訊工程系參考資料p安全資訊管理.ppt。p http:/www.voipsa.org/,VOIPSA。phttp:/www.voip-:80/,VoIP-NEWS。pSecurity Challenge and Defense in VoIP Infrastructures,Butcher,D.,Xiangyang Li,Jinhua Guo,IEEE Transactions on Systems,Man,and Cybernetics,Part C:Applications and Reviews,2007。p Strategies to Keep Your VoIP Network Secure,Wesley Chou,IT Professional,Volume 9,Issue 5,Sept.-Oct.2007 Page(s):42 46。第九章 VoIP網路安全防護21
