保护您的语音网关对于防止通过您的VoIP系统进行的电话诈骗和其他犯罪活动是极其重要的。这篇文章涵盖了五个关键领域,可以帮助降低你的语音门户的风险。
前几天,我在查看防火墙日志时,注意到在UDP和TCP端口5060上进行了多次连接尝试。因为我的家庭电话服务不使用SIP,所以我并不太关心这些连接尝试,但我很好奇是谁在敲我的数字门。当我检查扫描来自的IP地址范围时,我看到一家大型有线互联网服务提供商拥有它。这些数据包很可能来自某个傻瓜,在我的网络范围内运行VOIP扫描工具。虽然我不会因为有人扫描我的网络以查找我没有运行的SIP服务而失眠,但它确实向我强调了一个事实,即互联网上有许多VoIP网关没有得到适当的保护,许多道德受到挑战的个人非常乐意利用它们。
虽然我对VoIP滥用的经验是无害的,但在今年4月,我们看到了云计算的黑暗面,这是一个源自amazon EC2云服务的SIP暴力破解密码攻击。有人抢了他们的信用卡(我敢肯定那是他们自己的信用卡),在Amazon上启动了一些虚拟机,寻找并利用互联网上不安全的SIP服务。虽然这似乎是一个好主意,但攻击者没有意识到他们刚刚在毫无戒心的东京释放了数字版的哥斯拉,导致了严重的云计算打击。在收到大量网站因拒绝服务而被关闭的报告后,亚马逊立即关闭了虚拟机,原因是他们用大量的流量猛烈抨击他们糟糕的电话系统和互联网管道。一个网站声称他们每天的流量超过6gb。这个流量是通过一个应用程序在VoIP通道上扫描SIP服务,然后尝试猜测密码而产生的。因为亚马逊的云服务可以根据应用程序使用的流量自动调整计算能力和带宽。想了解更多来自这些攻击的实际受害者的信息,以及他们试图让亚马逊关闭数字消防水管的经验,请点击在这里.
这些针对语音网关的攻击不是基于特定漏洞的一次性攻击,而是对可利用系统的持续搜索。犯罪分子已经意识到通过互联网窃取语音服务的经济可行性。他们可以转售VoIP服务,拨打昂贵的电话,并对客户进行语音网络钓鱼攻击。随着SIP语音服务在企业和终端用户中的普及,为传统固定电话提供了一种更便宜的替代方案,这种威胁只会变得更严重。由SAN研究所运营的Internet Storm Center显示,自今年6月以来,SIP端口5060扫描/攻击的报告显著增加,验证了这种攻击趋势正在上升。
TCP端口5060上升扫描源:SANS Internet Storm Center
好消息是,许多这些威胁的影响可以通过五项基本安全预防措施来减轻。
- 强化你的语音通道-你的语音通道应该呈现出最小的攻击面。如果你的网关是路由器,禁用不需要的服务,并利用防火墙功能阻止对任何你不使用的端口的访问。入侵防御系统和防火墙是鼓励如果你打算把你的VoIP网关在互联网上。如果您正在部署SIP中继,请确保启用会话边界控制器(SBC)功能来防火墙并(从SIP的角度)将您的语音网络与外部世界隐藏起来。思科版本的SBC在其网关上称为统一边界元素(CUBE),并在软件中提供了许多这样的保护机制。
- 分段语音VLAN-语音网络应通过防火墙和VLAN与数据网络分离。这将防止从网络的数据端直接访问,并将对语音网关和呼叫控制功能的暴露降至最低。防止潜在攻击者与语音网络通信是抵御VoIP攻击的最佳防御措施之一。如果在PC上使用软件电话,则应仅允许通过加密和VPN访问。
- 使用身份验证和加密语音协议有两种风格;TLS加密了,请马上攻击我。如果您想确保只有授权用户连接到您的语音服务,那么您需要使用身份验证来验证他们是谁,并使用加密来维护会话的机密性。任何最终用户密码都应该遵循良好的安全实践,并且不容易猜到或放在字典中。SIP服务应该通过TCP端口5061在TLS上提供,这与强身份验证相结合,为SIP语音中继增加了更高的安全性。
- 监控语音网络安全并查看呼叫日志—语音网关呼叫日志记录了到语音网关和从语音网关发出的所有呼叫。这些记录在识别恶意行为方面非常有用,可以帮助您在收到巨额账单之前发现攻击或妥协。防火墙日志和IPS日志可以实时发现攻击企图并予以阻止。
- 审计您的语音网络的安全性——语音网络就像网络上的任何其他关键应用程序一样,应该根据配置和安全性良好实践进行审计。审计将有助于发现攻击者可能利用的漏洞,并让您有机会在不得不羞愧地走进老板办公室之前修复它们。
在我的下一篇文章中,我将介绍一些可以用于测试和审核VoIP安全性的伟大工具。在此之前,请随时在下面的评论中分享您的想法。