所有圖片來(lái)自于互聯(lián)網(wǎng),部分筆者自己制作
我們?cè)倏纯垂舻氖侄。攻擊的?lèi)型包括各個(gè)層級(jí):
當(dāng)然,攻擊者肯定會(huì)從網(wǎng)絡(luò)安全意識(shí)最薄弱的用戶(hù)下手。在這個(gè)調(diào)查中,中國(guó)是幾個(gè)調(diào)查國(guó)家中最容易被攻擊成功的國(guó)家之一,安全意識(shí)相當(dāng)?shù)。難道是人傻錢(qián)多還是安全意識(shí)淡?還是抱著僥幸心理在運(yùn)行。
攻擊者根據(jù)網(wǎng)絡(luò)環(huán)境的不同,使用的攻擊手段也不同。即時(shí)非常強(qiáng)悍的網(wǎng)絡(luò)也很難防范一些特別的攻擊手段(TDos,telphone Dos攻擊使用最多)。AT&T都對(duì)這些攻擊發(fā)怵。最好不要暴露設(shè)備的公網(wǎng)IP地址,使用SBC的拓?fù)潆[藏功能。
另外,根據(jù)AlbertoDainotti做過(guò)一個(gè)掃描分析,通過(guò)不同的SIP頭和響應(yīng)機(jī)制獲取了多個(gè)國(guó)家地區(qū)的3百萬(wàn)個(gè)SIP網(wǎng)絡(luò)地址。雖然,這個(gè)報(bào)告是幾年前的,但是仍然可以說(shuō)明很多SIP網(wǎng)絡(luò)的安全問(wèn)題,當(dāng)然,目前的掃描工具更加強(qiáng)大,便捷。比較新的掃描工具具有更快的掃描時(shí)間,準(zhǔn)確性和發(fā)送包的方式更加強(qiáng)大快速。
This 12-day scan originated from approximately 3 million distinct IP addresses, and used a heavily coordinated and unusually covert scanning strategy to try to discover and compromise VoIP-related (SIP server) infrastructure.
http://www.caida.org/publications/papers/2012/analysis_slash_zero/analysis_slash_zero.pdf
<section style="margin: 0px; padding: 0px; max-width: 100%; color: rgba(0, 0, 0, 0.5); font-family: -apple-system-font, BlinkMacSystemFont, " helvetica="" neue",="" "pingfang="" sc",="" "hiragino="" sans="" gb",="" "microsoft="" yahei="" ui",="" yahei",="" arial,="" sans-serif;="" font-size:="" 15px;="" letter-spacing:="" 0.544px;="" text-align:="" justify;="" box-sizing:="" border-box="" !important;="" overflow-wrap:="" break-word="" !important;"="">
通過(guò)以上所介紹的這些相關(guān)背景。用戶(hù)更應(yīng)該注意安全方面的問(wèn)題。SBC必須馬上需要考慮的安全解決方案。
部署SIP網(wǎng)絡(luò)環(huán)境,首先要考慮部署SBC;部署安全穩(wěn)定易用的SBC環(huán)境,F(xiàn)reeSBC是“不二”的選擇。---------Mr.Right
現(xiàn)在,筆者通過(guò)一些調(diào)查報(bào)告來(lái)分享目前SIP軟交換,媒體服務(wù)器,SIP終端話機(jī),IP攝像頭,VOS的部署狀態(tài)。一些軟交換和IPPBX某些處于裸奔狀態(tài)。一些SIP終端和IP攝像頭也充分暴露了其登錄的信息。這些軟交換,IPPBX和SIP終端都發(fā)布在不同國(guó)家和地區(qū)。這里需要說(shuō)明幾點(diǎn):
- 筆者特別對(duì)某些敏感IP地址做了屏蔽,如果有暴露,請(qǐng)用戶(hù)或廠家及時(shí)修復(fù)。造成任何損失,筆者不承擔(dān)任何責(zé)任。
- 數(shù)據(jù)來(lái)自于第三方安全網(wǎng)絡(luò)工具獲取的數(shù)據(jù),非筆者惡意獲取。
- 數(shù)據(jù)來(lái)自于實(shí)時(shí)數(shù)據(jù),統(tǒng)計(jì)數(shù)據(jù)可能不太準(zhǔn)確。
- 如果需要?jiǎng)h除數(shù)據(jù),請(qǐng)及時(shí)聯(lián)系。
- 數(shù)據(jù)僅說(shuō)明公開(kāi)的一些技術(shù)參數(shù)作為統(tǒng)計(jì)數(shù)據(jù)來(lái)源,不構(gòu)成入侵系統(tǒng)的依據(jù),筆者不承擔(dān)任何法律責(zé)任。
筆者通過(guò)以下數(shù)據(jù)對(duì)不同地區(qū),不同國(guó)家,不同平臺(tái)和不同產(chǎn)品的統(tǒng)計(jì)數(shù)據(jù)來(lái)說(shuō)明網(wǎng)絡(luò)安全的重要性,主要是提醒用戶(hù),增加安全意識(shí)。更多關(guān)于SIP技術(shù)方面的內(nèi)容,關(guān)注siplab:SIP技術(shù)分享實(shí)踐
1、Asterisk IP地址,國(guó)家,端口等數(shù)據(jù)信息
Asterisk在不同國(guó)家和地區(qū)使用運(yùn)營(yíng)商和端口示例。
Asterisk使用量發(fā)布:
SIP服務(wù)器IP部署狀態(tài):
IP地址:
盡管我們一直提醒用戶(hù),修改SIP端口地址,但是仍然有很多Asterisk用戶(hù)使用5060來(lái)作為SIP的默認(rèn)端口。端口:
還有很多Elastix用戶(hù)在裸奔,雖然這個(gè)項(xiàng)目已經(jīng)關(guān)閉。
2、FreeSWITCHIP地址,國(guó)家,端口等數(shù)據(jù)信息
FreeSWITCH用戶(hù)主要分布在美國(guó)和中國(guó):
基于云平臺(tái)的FreeSWITCH運(yùn)營(yíng)商IP地址和運(yùn)營(yíng)商名稱(chēng),谷歌和亞馬遜使用量比較多。
同樣的問(wèn)題,很多FreeSWITCH也仍然使用5060作為SIP端口來(lái)使用,這樣可能導(dǎo)致很多安全問(wèn)題。
使用UDP的用戶(hù)比例比TCP的比例高很多:
中國(guó)用戶(hù)示例:
3、億聯(lián)SIP終端IP地址狀態(tài)
Yealink是目前行業(yè)內(nèi)非常有競(jìng)爭(zhēng)力的廠家,其銷(xiāo)售的SIP終端話機(jī)遍及全世界。從SIP終端的暴露的地址就可以看出市場(chǎng)發(fā)布情況。美國(guó)和南非SIP終端部署量比較高。運(yùn)營(yíng)商也是比較有名的運(yùn)營(yíng)商。
主要的SIP產(chǎn)品型號(hào)發(fā)布包括:
4、潮流SIP終端和網(wǎng)關(guān)狀態(tài)分布
潮流SIP終端產(chǎn)品和網(wǎng)關(guān)等IP分布情況,主要用戶(hù)是美國(guó)和西班牙用戶(hù)。
主要的用戶(hù)和產(chǎn)品型號(hào)包括UCM和網(wǎng)關(guān):
5、方位IP話機(jī)分布狀態(tài)
英國(guó),墨西哥,美國(guó)客戶(hù)比較多。運(yùn)營(yíng)商也非常強(qiáng)悍,有著名的BT,沃達(dá)豐等。
6、IP攝像頭IP地址等狀態(tài)數(shù)據(jù)
基本上都是來(lái)自于中國(guó)的攝像頭產(chǎn)品,來(lái)自于中國(guó)目前的幾個(gè)大的運(yùn)營(yíng)商。
7、VOSIP部署發(fā)布狀態(tài)
很多中國(guó)用戶(hù)和國(guó)外的用戶(hù)使用VOS來(lái)部署SIP線路等業(yè)務(wù)。VOS2009和3000的用戶(hù)量相對(duì)也比較大。中國(guó),美國(guó),香港有非常多的用戶(hù),阿里巴巴平臺(tái)是主要的部署平臺(tái)。
包括其版本和客戶(hù)信息:
VOS3000主要部署在中國(guó),香港,韓國(guó)等地方,阿里云,中國(guó)移動(dòng)等部署其服務(wù)器。
8、WebRTC部署狀態(tài)數(shù)據(jù)
WebRTC和證書(shū)相關(guān)的數(shù)據(jù)發(fā)布情況,比較驚人的是WebRTC部署用戶(hù)中國(guó)和美國(guó)比例很高。
9、寶利通SIP話機(jī)狀態(tài)分布
Poly確實(shí)是大牌公司,其用戶(hù)分布主要集中在美國(guó),巴西,加拿大和中國(guó)地區(qū)。
10、開(kāi)源軟交換KamalioIP地址,端口狀態(tài)
Kamailio是目前主流的SIP軟交換,基于kamailio結(jié)合Asterisk或者FreeSWITCH媒體服務(wù)器可以開(kāi)發(fā)很多比較大型的企業(yè)應(yīng)用服務(wù),包括呼叫中心,IPPBX,WebRTC呼叫等高并發(fā)處理架構(gòu)。美國(guó),德國(guó)和中國(guó)具有非常高比例的用戶(hù)量:
同樣很多仍然使用5060端口:
11 開(kāi)源軟交換Kamalio IP地址,端口狀態(tài)
OpenSIPs是開(kāi)源軟交換系統(tǒng),和kamailio實(shí)現(xiàn)的功能基本類(lèi)似。但是在最近幾年,Kamailio支持了比opensips更多的功能。在美國(guó),中國(guó)和巴西,加拿大有很多opensips的用戶(hù)。在中國(guó)的部署中,我們看到阿里云仍然是主流的部署平臺(tái)。
騰訊云部署OpenSIPs的用戶(hù)也很多:
總結(jié):
筆者針對(duì)目前存在的在公網(wǎng)裸奔的SIP軟交換,終端,攝像頭和IP話機(jī)等數(shù)據(jù)做了分享,提示用戶(hù)在公網(wǎng)部署SIP網(wǎng)絡(luò)需要注意很多安全問(wèn)題,同時(shí)一定要具有非常高的安全控制機(jī)制。SBC的拓?fù)潆[藏功能是非常重要的手段之一,外網(wǎng)攻擊者看不到IPPBX/呼叫中心的地址,只能看到外網(wǎng)SBC地址,因此大大增加了安全機(jī)制。FreeSBC可以輕松和目前的開(kāi)源媒體服務(wù)器實(shí)現(xiàn)對(duì)接支持,實(shí)現(xiàn)拓?fù)潆[藏。具體如何模擬SBC和IPPBX,外網(wǎng)注冊(cè)的環(huán)境,讀者可以閱讀:如何搭建一個(gè)完整免費(fèi)的邊界會(huì)話控制器(SBC)測(cè)試場(chǎng)景
特別提醒讀者,在公網(wǎng)環(huán)境中,一些用戶(hù)仍然沒(méi)有對(duì)其設(shè)備進(jìn)行有效管理,一直使用默認(rèn)的端口。這些IP地址和端口都是被攻擊對(duì)象,因此,提醒用戶(hù)一定要注意公網(wǎng)部署的安全性問(wèn)題,避免用戶(hù)設(shè)備在公網(wǎng)裸奔,最后導(dǎo)致不可挽回的損失。
參考資料:
http://www.caida.org/publications/papers/2012/analysis_slash_zero/analysis_slash_zero.pdf
SIPlab@知識(shí)星球?qū)W習(xí)SIP語(yǔ)音相關(guān)技術(shù)
關(guān)注微信公眾號(hào):asterisk-cn,獲得有價(jià)值的Asterisk行業(yè)分享
Asteriskfreepbx,F(xiàn)reeSBC技術(shù)文檔:www.freepbx.org.cn
融合通信商業(yè)解決方案,協(xié)同解決方案首選產(chǎn)品:www.hiastar.com
Asterisk/FreePBX中國(guó)合作伙伴,官方qq技術(shù)分享群(3000人):589995817