SIP安全問題一直是整個IP通信行業非常重要的話題。SIP通信平臺更多連接了SIP電話終端,IP攝像頭,媒體服務器和計費系統。一旦某個環節出現問題都可能導致數據泄密,惡意盜打,系統被攻擊等問題。特別是現在基于云平臺的呼叫中心和IPPBX越來越多,一旦平臺癱瘓,整個業務環境都受到影響。根據前幾年一個網絡安全公司的調查數據,大部分的安全問題和部署SIP本身相關。首先,讓我們看看損失了多少錢。
所有圖片來自于互聯網,部分筆者自己制作
我們再看看攻擊的手段。攻擊的類型包括各個層級:
當然,攻擊者肯定會從網絡安全意識最薄弱的用戶下手。在這個調查中,中國是幾個調查國家中最容易被攻擊成功的國家之一,安全意識相當淡薄。難道是人傻錢多還是安全意識淡薄?還是抱著僥幸心理在運行。
攻擊者根據網絡環境的不同,使用的攻擊手段也不同。即時非常強悍的網絡也很難防范一些特別的攻擊手段(TDos,telphone Dos攻擊使用最多)。ATT都對這些攻擊發怵。最好不要暴露設備的公網IP地址,使用SBC的拓撲隱藏功能。
另外,根據AlbertoDainotti做過一個掃描分析,通過不同的SIP頭和響應機制獲取了多個國家地區的3百萬個SIP網絡地址。雖然,這個報告是幾年前的,但是仍然可以說明很多SIP網絡的安全問題,當然,目前的掃描工具更加強大,便捷。比較新的掃描工具具有更快的掃描時間,準確性和發送包的方式更加強大快速。
This 12-day scan originated from approximately 3 million distinct IP addresses, and used a heavily coordinated and unusually covert scanning strategy to try to discover and compromise VoIP-related (SIP server) infrastructure.
http://www.caida.org/publications/papers/2012/analysis_slash_zero/analysis_slash_zero.pdf
通過以上所介紹的這些相關背景。用戶更應該注意安全方面的問題。SBC必須馬上需要考慮的安全解決方案。
部署SIP網絡環境,首先要考慮部署SBC;部署安全穩定易用的SBC環境,FreeSBC是不二的選擇。---------Mr.Right
現在,筆者通過一些調查報告來分享目前SIP軟交換,媒體服務器,SIP終端話機,IP攝像頭,VOS的部署狀態。一些軟交換和IPPBX某些處于裸奔狀態。一些SIP終端和IP攝像頭也充分暴露了其登錄的信息。這些軟交換,IPPBX和SIP終端都發布在不同國家和地區。這里需要說明幾點:
- 筆者特別對某些敏感IP地址做了屏蔽,如果有暴露,請用戶或廠家及時修復。造成任何損失,筆者不承擔任何責任。
- 數據來自于第三方安全網絡工具獲取的數據,非筆者惡意獲取。
- 數據來自于實時數據,統計數據可能不太準確。
- 如果需要刪除數據,請及時聯系。
- 數據僅說明公開的一些技術參數作為統計數據來源,不構成入侵系統的依據,筆者不承擔任何法律責任。
筆者通過以下數據對不同地區,不同國家,不同平臺和不同產品的統計數據來說明網絡安全的重要性,主要是提醒用戶,增加安全意識。更多關于SIP技術方面的內容,關注siplab:SIP技術分享實踐
1 Asterisk IP地址,國家,端口等數據信息
Asterisk在不同國家和地區使用運營商和端口示例。
Asterisk使用量發布:
SIP服務器IP部署狀態:
IP地址:
盡管我們一直提醒用戶,修改SIP端口地址,但是仍然有很多Asterisk用戶使用5060來作為SIP的默認端口。端口:
還有很多Elastix用戶在裸奔,雖然這個項目已經關閉。
2 FreeSWITCHIP地址,國家,端口等數據信息
FreeSWITCH用戶主要分布在美國和中國:
基于云平臺的FreeSWITCH運營商IP地址和運營商名稱,谷歌和亞馬遜使用量比較多。
同樣的問題,很多FreeSWITCH也仍然使用5060作為SIP端口來使用,這樣可能導致很多安全問題。
使用UDP的用戶比例比TCP的比例高很多:
中國用戶示例:
3 億聯SIP終端IP地址狀態
Yealink是目前行業內非常有競爭力的廠家,其銷售的SIP終端話機遍及全世界。從SIP終端的暴露的地址就可以看出市場發布情況。美國和南非SIP終端部署量比較高。運營商也是比較有名的運營商。
主要的SIP產品型號發布包括:
4 潮流SIP終端和網關狀態分布
潮流SIP終端產品和網關等IP分布情況,主要用戶是美國和西班牙用戶。
主要的用戶和產品型號包括UCM和網關:
5、方位IP話機分布狀態
英國,墨西哥,美國客戶比較多。運營商也非常強悍,有著名的BT,沃達豐等。
6、IP攝像頭IP地址等狀態數據
基本上都是來自于中國的攝像頭產品,來自于中國目前的幾個大的運營商。
7、VOSIP部署發布狀態
很多中國用戶和國外的用戶使用VOS來部署SIP線路等業務。VOS2009和3000的用戶量相對也比較大。中國,美國,香港有非常多的用戶,阿里巴巴平臺是主要的部署平臺。
包括其版本和客戶信息:
VOS3000主要部署在中國,香港,韓國等地方,阿里云,中國移動等部署其服務器。
8、WebRTC部署狀態數據
WebRTC和證書相關的數據發布情況,比較驚人的是WebRTC部署用戶中國和美國比例很高。
9、寶利通SIP話機狀態分布
Poly確實是大牌公司,其用戶分布主要集中在美國,巴西,加拿大和中國地區。
10、開源軟交換KamalioIP地址,端口狀態
Kamailio是目前主流的SIP軟交換,基于kamailio結合Asterisk或者FreeSWITCH媒體服務器可以開發很多比較大型的企業應用服務,包括呼叫中心,IPPBX,WebRTC呼叫等高并發處理架構。美國,德國和中國具有非常高比例的用戶量:
同樣很多仍然使用5060端口:
11 開源軟交換Kamalio IP地址,端口狀態
OpenSIPs是開源軟交換系統,和kamailio實現的功能基本類似。但是在最近幾年,Kamailio支持了比opensips更多的功能。在美國,中國和巴西,加拿大有很多opensips的用戶。在中國的部署中,我們看到阿里云仍然是主流的部署平臺。
騰訊云部署OpenSIPs的用戶也很多:
總結:
筆者針對目前存在的在公網裸奔的SIP軟交換,終端,攝像頭和IP話機等數據做了分享,提示用戶在公網部署SIP網絡需要注意很多安全問題,同時一定要具有非常高的安全控制機制。SBC的拓撲隱藏功能是非常重要的手段之一,外網攻擊者看不到IPPBX/呼叫中心的地址,只能看到外網SBC地址,因此大大增加了安全機制。FreeSBC可以輕松和目前的開源媒體服務器實現對接支持,實現拓撲隱藏。具體如何模擬SBC和IPPBX,外網注冊的環境,讀者可以閱讀:如何搭建一個完整免費的邊界會話控制器(SBC)測試場景
特別提醒讀者,在公網環境中,一些用戶仍然沒有對其設備進行有效管理,一直使用默認的端口。這些IP地址和端口都是被攻擊對象,因此,提醒用戶一定要注意公網部署的安全性問題,避免用戶設備在公網裸奔,最后導致不可挽回的損失。
參考資料:
http://www.caida.org/publications/papers/2012/analysis_slash_zero/analysis_slash_zero.pdf
SIPlab@知識星球學習SIP語音相關技術
關注微信公眾號:asterisk-cn,獲得有價值的Asterisk行業分享
Asteriskfreepbx,FreeSBC技術文檔:www.freepbx.org.cn
融合通信商業解決方案,協同解決方案首選產品:www.hiastar.com
Asterisk/FreePBX中國合作伙伴,官方qq技術分享群(3000人):589995817
