教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第九章 VoIP網路安全防護.

Slides:



Advertisements
Similar presentations
先介绍计算机网络基础知识,再分析网络视频监 控系统的架构、原理与维护。
Advertisements

電子商務安全防護 線上交易安全機制.
資訊安全管理 與 個人資訊安全防護 日期:99年12月01日 13:30~16:30 地點:e化專科教室 主講人:黃尚文.
本周复习一下基本的网络知识 下周开始讲解路由器的配置方法 第四周开始到实验室做实验(主楼910,919)
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
網路原理、技術與架構 資訊一忠 網路概論 主講人:王威盛 老師.
Rfc3315 Dynamic Host Configuration Protocol for IPv6 (DHCPv6) 組員: 蔡承翰 A 陳鈺璋 A 翁菘㠙 A 指導老師 吳俊興.
課程名稱:計算機概論 授課老師:李春雄 博士
實驗 9: 無線安全網路之建設.
第四章 网络层 网络层 网络层 网络层 网络层 网络层.
基隆市校園寬頻有線及無線網路環境 (NGN) 語音交換伺服器暨週邊設備建置簡報 瑪凱電信 VoIP 事業部 經理 何茂誠
电子商务的网络技术 德州学院计算机系.
计算机系统与网络技术 第14讲 局域网构建技术 讲课教师:常姗
Security and Encryption
目标 学完本课程后,您将能够: 企业通信发展历程; 了解VOIP概念; 区分VOIP与PSTN区别; 了解VOIP关键技术;
VOIP應用 與進度推廣 臺東大學電算中心 洪守成.
CH 6 五大網路管理功能.
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
資訊管理 第十五章 資訊使用與倫理.
SIP 体系架构.
網路概論.
第9章 電子商務安全防範.
建置中小學優質化均等數位教育環境計畫 無線網路建置實驗計畫.
台南市教育網路VoIP現況
第7讲 多媒体网络 本讲概述: 本讲目标: 多媒体的网络应用 了解多媒体网络的应用要求 存储式音频/视频流 交互式的实时应用
通訊協定 OSI分層模式 與 TCP/IP協定
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
(C) Active Network CO., Ltd
第 16 章 Internet架構.
第六章 差错与控制报文 (ICMP).
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
建國科技大學 電腦與通訊工程系、電子計算機中心 沈慧宇、賴璟文、林冠成、林金玉
Internet Radio 網 路 電 台: . 潘柏任 B 許宏瑋 28 曾彥中 32 蔡文軒 40.
中国联通CDMA1X网络介绍及维护 CommWorks Professional Service 陈晔.
2018/11/22 SIP to Freshman.
具備可攜性及通話品質量測功能之軟體電話架構設計與實作
A VoLTE Traffic Classification Method in LTE Network
VoIP integrate compuse PSTN-PBX with SIP/ENUM/IVR
實驗 一 : RTP 實驗目的 實作部分 了解如何利用RTP在網路上傳送語音封包 加深對RTP、RTCP封包的基本格式的認識
第七章 客服管理中心之系統規劃與建構 -以AvecCRM為例
什麼是網際網路? 面臨攻擊的網路 網路邊際 總結 網路核心
認識網際網路 網際網路(Internet)簡介 WWW簡介 臺灣地區網路資源 網路禮儀與規範 收發電子郵件 相關程式與服務
「寬頻匯流網路管理」教材 模組四: 第一章 網路管理架構
Alcatel - Lucent SIGTRAN introduction 心得簡報
NetST®防火墙培训教程 清华得实® 保留所有权利.
第5讲 网络层 本讲目的: 概述: 理解网络层服务原理: 因特网的实现实例 网络层的服务 路由选择原理 分层的路由选择 IP协议
劉大川1、陳一瑋2、 陳昌盛1 、林盈達1,2 1交通大學 計算機與網路中心 2交通大學網路測試中心 2008/10/20
Unit 10: Introduction to the Internet
Understanding H.323 Gatekeepers
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
SIP与H.323互通的研究 研究生选题报告 Research on Interworking between SIP and H.323
计算机网络技术及应用 制作:重庆大学 郭松涛.
傳輸控制協議 /互聯網協議 TCP/IP.
1.4 计算机网络体系结构与协议 引言 网络系统的体系结构 网络系统结构参考模型ISO/OSI
Source: Journal of Network and Computer Applications, Vol. 125, No
網路安全管理 期末報告 A 許之青 24/04/2019.
蔡政務委員清彥 中華民國九十二年七月廿二日
網路概論 第3章 協定與模型.
DoS、DDoS網路攻擊 A 沈惇鈺 指導教授:梁明章.
指導教授:梁明章 A 許之青 國立高雄大學 2010/06/25
Common Security Problems in Business and Standards
Mobile IPv4.
資訊安全概論 樹德科技大學 資訊工程系 林峻立 助理教授.
網際網路原理 網際網路源起與發展歷史 1968 ARPANET 1973 TCP/IP協定 1976 乙太網路,促成LAN的發展 … DNS
IP Layer Basics & Firewall
信息安全防护技术—— 防火墙和入侵检测 万明
單 位 :國立暨南國際大學 南投區域網路中心 主講人:陳家祿先生
Website: 第1章 密码学概论 Website: 年10月27日.
第 4 章 网络层.
Presentation transcript:

教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第九章 VoIP網路安全防護

第九章 VoIP網路安全防護 大綱 9.1 VoIP 網路之相關技術簡介 9.2 常見的 VoIP 攻擊 9.2.1 Dos 9.2.2 Eavesdropping 9.2.3 Alteration of Voice Stream 9.2.4 Toll Fraud 9.2.5 Redirection of Call 9.2.6 Accounting Data Manipulation 9.2.7 Caller Identification (ID) Impersonation 9.2.8 Unwanted Calls and Messages (SPIT) 9.3 VoIP網路之防護策略

VOICE over Internet Protocol (VoIP) 網路語音通訊技術 利用網路無所不在的特性,在企業或家庭的網路環境部署VoIP的裝置,取代傳統的電話系統。 使用 IP-base 網路進行語音通訊 VoIP軟體可安裝在桌上型電腦、行動 IP 電話或網路閘道器上。 VoIP網路架構 Endpoints (VoIP Phone) Control Nodes Gateway Nodes (VoIP Gateway Router) IP-base 網路 Public Switched Telephone Network (PSTN) VoIP 網路架構

第九章 VoIP網路安全防護 9.1 VoIP 網路之相關技術簡介 VoIP 通訊流程 撥號 (signaling) 編碼 (encoding) 傳送 (transport) 控制閘道 (gateway control) VoIP的使用者在進行語音通訊之前必須先撥號(signaling),待通訊線路被建立後,接著VoIP系統會將語音資料先進行編碼(encoding),再透過網路傳送給接收端,若接收端是使用傳統電話系統,則需要透過控制閘道(gateway control)進行格式轉換。

第九章 VoIP網路安全防護 9.1 VoIP 網路之相關技術簡介 撥號 (signaling) H.323 ITU-T於1996年提出的VoIP標準,一開始是應用在以區域網路為基礎的視訊會議,後來被廣泛應用於網路電話。 SIP (Session Initial Protocol) 被廣泛使用作為VoIP通訊的標準,可用於建立多方多媒體通訊(Multiparty Multimedia Communications)系統,SIP也規範通話建立與結束所使用的命令方式與訊息傳輸的協商機制等。

編碼與傳送 (encoding & transport) 第九章 VoIP網路安全防護 9.1 VoIP 網路之相關技術簡介 編碼與傳送 (encoding & transport) 編碼 將類比訊諕 (使用者的語音) 轉成數位信號 (VoiceData) 傳送 將 VoiceData 封裝 (encapsulation) 成串流封包,才能經由網路即時(real time)送到接收端。 當接收端收到串流封包時,需將串流封包解封裝 (decapsulation) 回VoiceData,再數位信號解碼成類比訊號 (語音) 。 控制閘道 (gateway control) VoIP Phone若要與一般 PSTN 的電話進行通訊時,需要透過控制閘道進行格式轉換。

目前在 VoIP 系統常發生的安全性問題如下表所示 Security Concern Confidentiality Integrity Availability Denial of Service X Eavesdropping Alteration of Voice Stream Toll Fraud Redirection of Call Accounting Data Manipulation Caller Identification Impersonation Unwanted Calls and Messages

Denial of Service (Dos) 第九章 VoIP網路安全防護 9.2.1 Dos Denial of Service (Dos) 破壞系統的可用性 耗盡目標主機的網路頻寬或系統資源 讓使用者無法撥電話或無法接電話 Dos 攻擊手法 有心人士可以送出大量的 SIP 要求(例如邀請、註冊、再見或 RTP 封包)佔據 VoIP 系統所需要的資源,讓 VoIP 系統完全不能處理其他使用者的要求;或利用 Internet 通訊協定的漏洞,如 TCP SYN 、 Ping of Death 攻擊某個VoIP 設備,讓 VoIP 系統降低服務品質(如強迫使用者提前掛斷電話等) ,嚴重時 VoIP 系統甚至無法正常提供網路電話服務。

第九章 VoIP網路安全防護 9.2.2 Eavesdropping Eavesdropping Eavesdropping 攻擊手法 破壞通訊的隱私性 Internet 為一開放式架構,有心人士可以輕易做到監聽 VoIP 電話內容。 Eavesdropping 攻擊手法 監聽 VoIP 和傳統監聽網路資料不太一樣,監聽 VoIP 除了需要攔截建立連線使用的信號訊息外,亦要攔截之後包含語音的媒體資料流(Media stream)。信號訊息通常使用SIP (Session Initiation Protocol)通訊協定來傳遞, SIP可使用不同的傳輸層(例如 UDP或TCP) ,通訊協定的埠號由VoIP軟體自行決定。媒體資料流(Media stream)一般使用 UCP 搭配 RTP (Real Time Protocol)。目前利用SIP 和 RTP通訊協定傳送的封包並沒有被加密,有心人士可以利用相關工具(例如Ethereal)來側錄封包,除了達到監聽的目的,還可以得知通話者的身份、註冊資訊和SIP統一資源標識符號(Uniform Resource Identifier:例如電話號碼)等個人資料。

9.2.3 Alteration of Voice Stream 第九章 VoIP網路安全防護 9.2.3 Alteration of Voice Stream Alteration of Voice Stream (取代攻擊) 破壞隱私性以及完整性 Man-in-the-middle 當通話雙方彼此不認識時,攻擊者攔截通訊的語音封包,同時假冒雙方與另一端進行通訊。 當通話雙方彼此互相認識時,此種攻擊較難成功,除非攻擊者能產生通話雙方的相似聲波,或事先錄下某一方的聲音來欺騙另一方,但這還是有困難度存在。

第九章 VoIP網路安全防護 9.2.4 Toll Fraud Toll Fraud (話費詐欺) 破壞完整性 誘騙使用者撥打高付費電話 在使用者的通訊設備上留下電話號碼,並要求使用者回電,當使用者一回電就需付高額的通話費。 欺騙電話系統 攻擊者可以利用 Replay 或是 Impersonate 的方法去偽冒成系統的合法使用者,之後攻擊者撥打高付費電話時,付錢的不是攻擊者本身而是被假冒的受害者。

有心人士可以藉由修改redirect的資訊,將號碼redirect至有心人士所預定的號碼(如:高付費電話、或攻擊者本身的電話)。 第九章 VoIP網路安全防護 9.2.5 Redirection of Call Redirection VoIP在設計時,為了方便讓caller能夠透過一組號碼找到位於不同位置或使用不同接話設備的callee,提供了Redirection的服務,當caller撥號至callee號碼時,可以redirect到callee的手機、室內電話或VoIP Phone等的任何通訊設備。 Redirection of Call 破壞隱私性及完整性 有心人士可以藉由修改redirect的資訊,將號碼redirect至有心人士所預定的號碼(如:高付費電話、或攻擊者本身的電話)。

9.2.6 Accounting Data Manipulation 第九章 VoIP網路安全防護 9.2.6 Accounting Data Manipulation Accounting database 用來存放 call data records (CDR) 資訊 CDR 包含每一通電話的撥號端號碼、接話端號碼、日期時間與通話時間等等。 Accounting Data Manipulation 破壞完整性 CDR 被用來當做收費的依據,若攻擊者得到修改 CDR database 的權限時,便可以竄改或刪除通話記錄,藉此進行盜打或犯罪等不法行為。

9.2.7 Caller Identification Impersonation 第九章 VoIP網路安全防護 9.2.7 Caller Identification Impersonation Caller Identification (ID) Impersonation 破壞完整性 攻擊者假冒成別的合法使用者 ID 來撥打電話或接電話。

9.2.8 Unwanted Calls and Messages 第九章 VoIP網路安全防護 9.2.8 Unwanted Calls and Messages Unwanted Calls and Messages (SPIT) 破壞可用性及完整性 SPIT 指的是 SPAM over Internet telephone 攻擊者藉由大量的垃圾語音訊息塞爆合法使用者的 voice mail box ,使其無法接收其他的語音訊息。

用來解決前面所敘述之攻擊的防禦方法有下列四種: 第九章 VoIP網路安全防護 9.3 VoIP網路之防護策略 用來解決前面所敘述之攻擊的防禦方法有下列四種: 將 VoIP and Data Traffic 分開 設定身份驗證機制 撥號時進行雙方身份驗證 語音訊息需做加密

將 VoIP and Data Traffic 分開 我們可以將VoIP的封包與Data Traffic做區隔,以防止其他人藉由網路封包監聽器來進行竊聽。

第九章 VoIP網路安全防護 9.3 VoIP網路之防護策略 設定身份驗證機制 管理者可以透過一台Configuration Server來控管使用者,如下圖,當使用者要使用VoIP服務時,會先向DHCP Server取得自身要使用的IP與Configuration Server的IP;接著,Configuration Server會對VoIP Phone進行身份驗證,確認VoIP Phone的身份後,再給予啟用VoIP Service的設定檔,VoIP Phone再藉由此設定檔,進行VoIP連線。

第九章 VoIP網路安全防護 9.3 VoIP網路之防護策略 撥號時進行雙方身份驗證 語音訊息需做加密 我們需要在撥號的同時,執行撥號端與接話端之間的相互身份認證,待互相確定對方之身份後,再建立一條加密通道,傳送語音。 語音訊息需做加密 利用現有的加解密系統,對語音資訊進行加密,如此一來,除非竊聽者破解密碼系統或取得通訊時所使用的金鑰,否則,將無法竊聽通話內容。

VOIPSA提供了以下不同種類的工具,讓使用者能夠用來檢視VoIP的設備或軟體是否有安全性上的問題。 最近幾年VoIP的安全問題已慢慢浮現,針對這種情況,AVAYA、賽門鐵克、西門子等在 2005 年 2 月成立了 VoIP 安全聯盟(VOIPSA),雖然目前 VoIP相關的攻擊事件並不多,但其潛在的危險性仍不容忽視。 VOIPSA提供了以下不同種類的工具,讓使用者能夠用來檢視VoIP的設備或軟體是否有安全性上的問題。 VoIP Sniffing Tools VoIP Scanning and Enumeration Tools VoIP Packet Creation and Flooding Tools VoIP Fuzzing Tools VoIP Signaling Manipulation Tools VoIP Media Manipulation Tools Miscellaneous Tools Tool Tutorials and Presentations

第九章 VoIP網路安全防護 參考資料 「安全資訊管理.ppt」。 「 http://www.voipsa.org/」, VOIPSA。 「http://www.voip-news.com:80/」, VoIP-NEWS。 「Security Challenge and Defense in VoIP Infrastructures 」, Butcher, D., Xiangyang Li, Jinhua Guo, IEEE Transactions on Systems, Man, and Cybernetics, Part C: Applications and Reviews, 2007。 「 Strategies to Keep Your VoIP Network Secure」, Wesley Chou, IT Professional, Volume 9, Issue 5, Sept.-Oct. 2007 Page(s):42 – 46。