按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,VoIP,網路安全防護,*,國立雲林科技大學,電腦與通訊工程系,國立雲林科技大學,電腦與通訊工程系,教育部資通訊人才培育先導型計畫,寬頻有線教學推動聯盟中心,按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,第九章,VoIP,網路安全防護,教育部資通訊人才培育先導型計畫,寬頻有線教學推動聯盟中心,第九章 VoIP網路安全防護教育部資通訊人才培育先導型計畫,大綱,9.1 VoIP,網路之相關技術簡介,9.2,常見的,VoIP,攻擊,9.2.1 Dos,9.2.2 Eavesdropping,9.2.3 Alteration of Voice Stream,9.2.4 Toll Fraud,9.2.5 Redirection of Call,9.2.6 Accounting Data Manipulation,9.2.7 Caller Identification (ID) Impersonation,9.2.8 Unwanted Calls and Messages (SPIT),9.3,VoIP,網路之防護策略,第九章,VoIP,網路安全防護,2,大綱9.1 VoIP 網路之相關技術簡介第九章 VoIP網路,9.1 VoIP 網路之相關技術簡介,V,OICE over Internet Protocol (VoIP),網路語音通訊技術,利用網路無所不在的特性，在企業或家庭的網路環境部署,VoIP,的裝置，取代傳統的電話系統。,使用,IP-base,網路進行語音通訊,VoIP,軟體可安裝在桌上型電腦、行動,IP,電話或網路閘道器上。,VoIP,網路架構,Endpoints (VoIP Phone),Control Nodes,Gateway Nodes (VoIP Gateway Router),IP-base,網路,Public Switched Telephone Network (PSTN),第九章,VoIP,網路安全防護,3,VoIP,網路架構,9.1 VoIP 網路之相關技術簡介VOICE over I,9.1 VoIP 網路之相關技術簡介,VoIP,通訊流程,撥號,(signaling),編碼,(encoding),傳送,(transport),控制閘道,(gateway control),VoIP,的使用者在進行語音通訊之前必須先撥號,(,signaling,),，待通訊線路被建立後，接著,VoIP,系統會將語音資料先進行編碼,(,encoding,),，再透過網路傳送給接收端，若接收端是使用傳統電話系統，則需要透過控制閘道,(,gateway control,),進行格式轉換。,第九章,VoIP,網路安全防護,4,9.1 VoIP 網路之相關技術簡介VoIP 通訊流程第九章,9.1 VoIP 網路之相關技術簡介,撥號,(signaling),H.323,ITU-T,於,1996,年提出的,VoIP,標準，一開始是應用在以區域網路為基礎的視訊會議，後來被廣泛應用於網路電話。,SIP (Session Initial Protocol),被廣泛使用作為,VoIP,通訊的標準，可用於建立多方多媒體通訊,(Multiparty Multimedia Communications),系統，,SIP,也規範通話建立與結束所使用的命令方式與訊息傳輸的協商機制等。,第九章,VoIP,網路安全防護,5,9.1 VoIP 網路之相關技術簡介撥號 (signalin,9.1 VoIP 網路之相關技術簡介,編碼與傳送,(encoding & transport),編碼,將類比訊諕,(,使用者的語音,),轉成數位信號,(VoiceData),傳送,將,VoiceData,封裝,(encapsulation),成串流封包，才能經由網路即時,(real time),送到接收端。,當接收端收到串流封包時，需將串流封包解封裝,(decapsulation),回,VoiceData,，再數位信號解碼成類比訊號,(,語音,),。,控制閘道,(gateway control),VoIP Phone,若要與一般,PSTN,的電話進行通訊時，需要透過控制閘道進行格式轉換。,第九章,VoIP,網路安全防護,6,9.1 VoIP 網路之相關技術簡介編碼與傳送 (encod,9.2 常見的 VoIP 攻擊,目前在,VoIP,系統常發生的安全性問題如下表所示,第九章,VoIP,網路安全防護,7,Security Concern,Confidentiality,Integrity,Availability,Denial of Service,X,Eavesdropping,X,Alteration of Voice Stream,X,X,Toll Fraud,X,Redirection of Call,X,X,X,Accounting Data Manipulation,X,X,Caller Identification Impersonation,X,Unwanted Calls and Messages,X,X,9.2 常見的 VoIP 攻擊目前在 VoIP 系統常發生的,9.2.1 Dos,Denial of Service (Dos),破壞系統的可用性,耗盡目標主機的網路頻寬或系統資源,讓使用者無法撥電話或無法接電話,Dos,攻擊手法,有心人士可以送出大量的,SIP,要求（例如邀請、註冊、再見或,RTP,封包）佔據,VoIP,系統所需要的資源，讓,VoIP,系統完全不能處理其他使用者的要求；或利用,Internet,通訊協定的漏洞，如,TCP SYN,、,Ping of Death,攻擊某個,VoIP,設備，讓,VoIP,系統降低服務品質,(,如強迫使用者提前掛斷電話等,),，嚴重時,VoIP,系統甚至無法正常提供網路電話服務。,第九章,VoIP,網路安全防護,8,9.2.1 DosDenial of Service (Do,9.2.2 Eavesdropping,Eavesdropping,破壞通訊的隱私性,Internet,為一開放式架構，有心人士可以輕易做到監聽,VoIP,電話內容。,Eavesdropping,攻擊手法,監聽,VoIP,和傳統監聽網路資料不太一樣，監聽,VoIP,除了需要攔截建立連線使用的信號訊息外，亦要攔截之後包含語音的媒體資料流,(Media stream),。信號訊息通常使用,SIP (Session Initiation Protocol,),通訊協定來傳遞，,SIP,可使用不同的傳輸層,(,例如,UDP,或,TCP),，通訊協定的埠號由,VoIP,軟體自行決定。媒體資料流,(Media stream),一般使用,UCP,搭配,RTP (Real Time Protocol),。目前利用,SIP,和,RTP,通訊協定傳送的封包並沒有被加密，有心人士可以利用相關工具,(,例如,Ethereal),來側錄封包，除了達到監聽的目的，還可以得知通話者的身份、註冊資訊和,SIP,統一資源標識符號,(Uniform Resource Identifier:,例如電話號碼,),等個人資料。,第九章,VoIP,網路安全防護,9,9.2.2 EavesdroppingEavesdroppi,9.2.3 Alteration of Voice Stream,Alteration of Voice Stream (,取代攻擊,),破壞隱私性以及完整性,Man-in-the-middle,當通話雙方彼此不認識時，攻擊者攔截通訊的語音封包，同時假冒雙方與另一端進行通訊。,當通話雙方彼此互相認識時，此種攻擊較難成功，除非攻擊者能產生通話雙方的相似聲波，或事先錄下某一方的聲音來欺騙另一方，但這還是有困難度存在。,第九章,VoIP,網路安全防護,10,9.2.3 Alteration of Voice Stre,9.2.4 Toll Fraud,Toll Fraud (,話費詐欺,),破壞完整性,誘騙使用者撥打高付費電話,在使用者的通訊設備上留下電話號碼，並要求使用者回電，當使用者一回電就需付高額的通話費。,欺騙電話系統,攻擊者可以利用,Replay,或是,Impersonate,的方法去偽冒成系統的合法使用者，之後攻擊者撥打高付費電話時，付錢的不是攻擊者本身而是被假冒的受害者。,第九章,VoIP,網路安全防護,11,9.2.4 Toll FraudToll Fraud (話費,9.2.5 Redirection of Call,Redirection,VoIP,在設計時，為了方便讓,caller,能夠透過一組號碼找到位於不同位置或使用不同接話設備的,callee,，提供了,Redirection,的服務，當,caller,撥號至,callee,號碼時，可以,redirect,到,callee,的手機、室內電話或,VoIP Phone,等的任何通訊設備。,Redirection of Call,破壞隱私性及完整性,有心人士可以藉由修改,redirect,的資訊，將號碼,redirect,至有心人士所預定的號碼,(,如：高付費電話、或攻擊者本身的電話,),。,第九章,VoIP,網路安全防護,12,9.2.5 Redirection of CallRedir,9.2.6 Accounting Data Manipulation,Accounting database,用來存放,call data records (CDR),資訊,CDR,包含每一通電話的撥號端號碼、接話端號碼、日期時間與通話時間等等。,Accounting Data Manipulation,破壞完整性,CDR,被用來當做收費的依據，若攻擊者得到修改,CDR database,的權限時，便可以竄改或刪除通話記錄，藉此進行盜打或犯罪等不法行為。,第九章,VoIP,網路安全防護,13,9.2.6 Accounting Data Manipula,9.2.7 Caller Identification Impersonation,Caller Identification (ID) Impersonation,破壞完整性,攻擊者假冒成別的合法使用者,ID,來撥打電話或接電話,。,第九章,VoIP,網路安全防護,14,9.2.7 Caller Identification Im,9.2.8 Unwanted Calls and Messages,Unwanted Calls and Messages (SPIT),破壞可用性及完整性,SPIT,指的是,SPAM over Internet telephone,攻擊者藉由大量的垃圾語音訊息塞爆合法使用者的,voice mail box,，使其無法接收其他的語音訊息。,第九章,VoIP,網路安全防護,15,9.2.8 Unwanted Calls and Messa,9.3 VoIP網路之防護策略,用來解決前面所敘述之攻擊的防禦方法有下列四種：,將,VoIP and Data Traffic,分開,設定身份驗證機制,撥號時進行雙方身份驗證,語音訊息需做加密,第九章,VoIP,網路安全防護,16,9.3 VoIP網路之防護策略用來解決前面所敘述之攻擊的防禦,9.3 VoIP網路之防護策略,將,VoIP and Data Traffic,分開,我們可以將,VoIP,的封包與,Data Traffic,做區隔，以防止其他人藉由網路封包監聽器來進行竊聽。,第九章,VoIP,網路安全防護,17,9.3 VoIP網路之防護策略將 VoIP and Data,9.3 VoIP網路之防護策略,設定身份驗證機制,管理者可以透過一台,Configuration Server,來控管使用者，如下圖，當使用者要使用,VoIP,服務時，會先向,DHCP Server,取得自身要使用的,IP,與,Configuration Server,的,IP,；接著，,Configuration Server,會對,VoIP Phone,進行身份驗證，確認,VoIP Phone,的身份後，再給予啟用,VoIP Service,的設定檔，,VoIP Phone,再藉由此設定檔，進行,VoIP,連線。,第九章,VoIP,網路安全防護,18,9.3 VoIP網路之防護策略設定身份驗證機制第九章 VoI,9.3 VoIP網路之防護策略,撥號時進行雙方身份驗證,我們需要在撥號的同時，執行撥號端與接話端之間的相互身份認證，待互相確定對方之身份後，再建立一條加密通道，傳送語音。,語音訊息需做加密,利用現有的加解密系統，對語音資訊進行加密，如此一來，除非竊聽者破解密碼系統或取得通訊時所使用的金鑰，否則，將無法竊聽通話內容。,第九章,VoIP,網路安全防護,19,9.3 VoIP網路之防護策略撥號時進行雙方身份驗證第九章,9.3 VoIP網路之防護策略,最近幾年,VoIP,的安全問題已慢慢浮現，針對這種情況，,AVAYA,、賽門鐵克、西門子等在,2005,年,2,月成立了,VoIP,安全聯盟,(VOIPSA),，雖然目前,VoIP,相關的攻擊事件並不多，但其潛在的危險性仍不容忽視。,VOIPSA,提供了以下不同種類的工具，讓使用者能夠用來檢視,VoIP,的設備或軟體是否有安全性上的問題。,VoIP Sniffing Tools,VoIP Scanning and Enumeration Tools,VoIP Packet Creation and Flooding Tools,VoIP Fuzzing Tools,VoIP Signaling Manipulation Tools,VoIP Media Manipulation Tools,Miscellaneous Tools,Tool Tutorials and Presentations,第九章,VoIP,網路安全防護,20,9.3 VoIP網路之防護策略最近幾年VoIP的安全問題已慢,參考資料,安全資訊管理,.ppt,。,http:/www.voipsa.org/, VOIPSA,。,http:/www.voip-:80/, VoIP-NEWS,。,Security Challenge and Defense in VoIP Infrastructures, Butcher, D.,Xiangyang Li,Jinhua Guo, IEEE Transactions on Systems, Man, and Cybernetics, Part C: Applications and Reviews, 2007,。,Strategies to Keep Your VoIP Network Secure,Wesley Chou, IT Professional, Volume 9, Issue 5, Sept.-Oct. 2007 Page(s):42 46,。,第九章,VoIP,網路安全防護,21,參考資料安全資訊管理.ppt。第九章 VoIP網路安全防,