SIP安全问题一直是整个IP通信行业非常重要的话题。SIP通信平台更多连接了SIP电话终端,IP摄像头,媒体服务器和计费系统。一旦某个环节出现问题都可能导致数据泄密,恶意盗打,系统被攻击等问题。特别是现在基于云平台的呼叫中心和IPPBX越来越多,一旦平台瘫痪,整个业务环境都受到影响。根据前几年一个网络安全公司的调查数据,大部分的安全问题和部署SIP本身相关。首先,让我们看看损失了多少钱。
所有图片来自于互联网,部分笔者自己制作
我们再看看攻击的手段。攻击的类型包括各个层级:
当然,攻击者肯定会从网络安全意识最薄弱的用户下手。在这个调查中,中国是几个调查国家中最容易被攻击成功的国家之一,安全意识相当淡薄。难道是人傻钱多还是安全意识淡薄?还是抱着侥幸心理在运行。
攻击者根据网络环境的不同,使用的攻击手段也不同。即时非常强悍的网络也很难防范一些特别的攻击手段(TDos,telphone Dos攻击使用最多)。ATT都对这些攻击发怵。最好不要暴露设备的公网IP地址,使用SBC的拓扑隐藏功能。
另外,根据AlbertoDainotti做过一个扫描分析,通过不同的SIP头和响应机制获取了多个国家地区的3百万个SIP网络地址。虽然,这个报告是几年前的,但是仍然可以说明很多SIP网络的安全问题,当然,目前的扫描工具更加强大,便捷。比较新的扫描工具具有更快的扫描时间,准确性和发送包的方式更加强大快速。
This 12-day scan originated from approximately 3 million distinct IP addresses, and used a heavily coordinated and unusually covert scanning strategy to try to discover and compromise VoIP-related (SIP server) infrastructure.
http://www.caida.org/publications/papers/2012/analysis_slash_zero/analysis_slash_zero.pdf
通过以上所介绍的这些相关背景。用户更应该注意安全方面的问题。SBC必须马上需要考虑的安全解决方案。
部署SIP网络环境,首先要考虑部署SBC;部署安全稳定易用的SBC环境,FreeSBC是不二的选择。---------Mr.Right
现在,笔者通过一些调查报告来分享目前SIP软交换,媒体服务器,SIP终端话机,IP摄像头,VOS的部署状态。一些软交换和IPPBX某些处于裸奔状态。一些SIP终端和IP摄像头也充分暴露了其登录的信息。这些软交换,IPPBX和SIP终端都发布在不同国家和地区。这里需要说明几点:
- 笔者特别对某些敏感IP地址做了屏蔽,如果有暴露,请用户或厂家及时修复。造成任何损失,笔者不承担任何责任。
- 数据来自于第三方安全网络工具获取的数据,非笔者恶意获取。
- 数据来自于实时数据,统计数据可能不太准确。
- 如果需要删除数据,请及时联系。
- 数据仅说明公开的一些技术参数作为统计数据来源,不构成入侵系统的依据,笔者不承担任何法律责任。
笔者通过以下数据对不同地区,不同国家,不同平台和不同产品的统计数据来说明网络安全的重要性,主要是提醒用户,增加安全意识。更多关于SIP技术方面的内容,关注siplab:SIP技术分享实践
1 Asterisk IP地址,国家,端口等数据信息
Asterisk在不同国家和地区使用运营商和端口示例。
Asterisk使用量发布:
SIP服务器IP部署状态:
IP地址:
尽管我们一直提醒用户,修改SIP端口地址,但是仍然有很多Asterisk用户使用5060来作为SIP的默认端口。端口:
还有很多Elastix用户在裸奔,虽然这个项目已经关闭。
2 FreeSWITCHIP地址,国家,端口等数据信息
FreeSWITCH用户主要分布在美国和中国:
基于云平台的FreeSWITCH运营商IP地址和运营商名称,谷歌和亚马逊使用量比较多。
同样的问题,很多FreeSWITCH也仍然使用5060作为SIP端口来使用,这样可能导致很多安全问题。
使用UDP的用户比例比TCP的比例高很多:
中国用户示例:
3 亿联SIP终端IP地址状态
Yealink是目前行业内非常有竞争力的厂家,其销售的SIP终端话机遍及全世界。从SIP终端的暴露的地址就可以看出市场发布情况。美国和南非SIP终端部署量比较高。运营商也是比较有名的运营商。
主要的SIP产品型号发布包括:
4 潮流SIP终端和网关状态分布
潮流SIP终端产品和网关等IP分布情况,主要用户是美国和西班牙用户。
主要的用户和产品型号包括UCM和网关:
5、方位IP话机分布状态
英国,墨西哥,美国客户比较多。运营商也非常强悍,有著名的BT,沃达丰等。
6、IP摄像头IP地址等状态数据
基本上都是来自于中国的摄像头产品,来自于中国目前的几个大的运营商。
7、VOSIP部署发布状态
很多中国用户和国外的用户使用VOS来部署SIP线路等业务。VOS2009和3000的用户量相对也比较大。中国,美国,香港有非常多的用户,阿里巴巴平台是主要的部署平台。
包括其版本和客户信息:
VOS3000主要部署在中国,香港,韩国等地方,阿里云,中国移动等部署其服务器。
8、WebRTC部署状态数据
WebRTC和证书相关的数据发布情况,比较惊人的是WebRTC部署用户中国和美国比例很高。
9、宝利通SIP话机状态分布
Poly确实是大牌公司,其用户分布主要集中在美国,巴西,加拿大和中国地区。
10、开源软交换KamalioIP地址,端口状态
Kamailio是目前主流的SIP软交换,基于kamailio结合Asterisk或者FreeSWITCH媒体服务器可以开发很多比较大型的企业应用服务,包括呼叫中心,IPPBX,WebRTC呼叫等高并发处理架构。美国,德国和中国具有非常高比例的用户量:
同样很多仍然使用5060端口:
11 开源软交换Kamalio IP地址,端口状态
OpenSIPs是开源软交换系统,和kamailio实现的功能基本类似。但是在最近几年,Kamailio支持了比opensips更多的功能。在美国,中国和巴西,加拿大有很多opensips的用户。在中国的部署中,我们看到阿里云仍然是主流的部署平台。
腾讯云部署OpenSIPs的用户也很多:
总结:
笔者针对目前存在的在公网裸奔的SIP软交换,终端,摄像头和IP话机等数据做了分享,提示用户在公网部署SIP网络需要注意很多安全问题,同时一定要具有非常高的安全控制机制。SBC的拓扑隐藏功能是非常重要的手段之一,外网攻击者看不到IPPBX/呼叫中心的地址,只能看到外网SBC地址,因此大大增加了安全机制。FreeSBC可以轻松和目前的开源媒体服务器实现对接支持,实现拓扑隐藏。具体如何模拟SBC和IPPBX,外网注册的环境,读者可以阅读:如何搭建一个完整免费的边界会话控制器(SBC)测试场景
特别提醒读者,在公网环境中,一些用户仍然没有对其设备进行有效管理,一直使用默认的端口。这些IP地址和端口都是被攻击对象,因此,提醒用户一定要注意公网部署的安全性问题,避免用户设备在公网裸奔,最后导致不可挽回的损失。
参考资料:
http://www.caida.org/publications/papers/2012/analysis_slash_zero/analysis_slash_zero.pdf
SIPlab@知识星球学习SIP语音相关技术
关注微信公众号:asterisk-cn,获得有价值的Asterisk行业分享
Asteriskfreepbx,FreeSBC技术文档:www.freepbx.org.cn
融合通信商业解决方案,协同解决方案首选产品:www.hiastar.com
Asterisk/FreePBX中国合作伙伴,官方qq技术分享群(3000人):589995817