• 免費索取FreeSWITCH電子書 

　　VoIP安全的話題是非常重要的一個話題，對于FreeSWITCH系統(tǒng)來說相當(dāng)重要。安全策略包括主動防御策略和被動防守策略。在FreeSWITCH中，主動防御策略包括對SIP和RTP實行多種類型的加密技術(shù)來防止篡改和竊聽通話。在FreeSWITCH中的被動防守策略通過結(jié)合其他開源的網(wǎng)絡(luò)工具來防止從未知道源地址過來的惡意的數(shù)據(jù)傳輸，防止網(wǎng)絡(luò)濫用和電話盜打。當(dāng)用戶的系統(tǒng)是生成系統(tǒng)時，非常必要使用一些開源的VOIP工具配合FreeSWITCH工作。

　　這一章節(jié)我們分成四個部分來逐一介紹：

　　· 網(wǎng)絡(luò)的層次保護

　　· 撥號信令

　　· 保護語音

　　· 保護密碼

　　網(wǎng)絡(luò)的層次保護

　　大部分搞惡意攻擊的家伙使用開放的網(wǎng)絡(luò)端口侵入到內(nèi)部的VOIP網(wǎng)絡(luò)。他們查找比較弱的秘密來獲得軟件的bug，利用內(nèi)部的設(shè)置來控制電話系統(tǒng)的配置和通話路由。最終目的是獲得電話盜打，通話竊聽，或竊取系統(tǒng)信息（例如郵箱的語音留言）。

　　因為網(wǎng)絡(luò)是用戶系統(tǒng)的入口，對用戶網(wǎng)絡(luò)的設(shè)置要格外小心，用戶可以利用FreeSWITCH的功能來進一步保護系統(tǒng)。

　　分離接口和限制數(shù)據(jù)流量

　　在開放的網(wǎng)絡(luò)中，SIP是經(jīng)常遭受惡意攻擊的一個技術(shù)。大部分情況下，那些攻擊者通過對5060端口發(fā)送UDP包來掃描IP地址段，然后查看服務(wù)器的響應(yīng)。一旦他們發(fā)現(xiàn)了服務(wù)器端的響應(yīng)，攻擊者將瘋狂測試通常使用的密碼然后呼出。在大部分環(huán)境中，攻擊者通過虛假注冊或其他數(shù)據(jù)包來攻擊服務(wù)器，導(dǎo)致服務(wù)器不能正常工作。

　　保護FreeSWITCH最簡單的辦法是通過分離SIP接口，強制防火墻或IPTables路由表來支持不同的接口。

　　就像用戶在上一個章節(jié)學(xué)習(xí)的，F(xiàn)reeSWITCH 支持用戶在同一個系統(tǒng)中設(shè)置不同的Sofia SIP接口，通過不同的地址和端口來接收和發(fā)送SIP數(shù)據(jù)流量。通過這樣的設(shè)置可以增加額外的一層對安全性和穩(wěn)定性的保護。

　　從安全的角度來看，Sofia SIP profiles配置了默認(rèn)的contexts支持呼入的呼叫。那些contexts 可以默認(rèn)支持嚴(yán)格限定的撥號規(guī)則。如果用戶把限定的contexts和保護工作和相關(guān)的SIP profile，用戶將嚴(yán)格限制某些人發(fā)送SIP盜打信息進入到用戶系統(tǒng)，即使用戶偶然創(chuàng)建了錯誤的配置文件，也不會對系統(tǒng)安全造成很大影響。

　　另外，每個Sofia SIP profile 可以支持一個不同的ACL列表。通過這樣的方法，用戶可以配置更加嚴(yán)格的限制措施應(yīng)對IP地址和一些控制不是非常嚴(yán)格的內(nèi)網(wǎng)地址。

　　從穩(wěn)定性和性能來說，已知的事實是，在FreeSWITCH設(shè)計中，每個Sofia SIP接口是一個分離的線程。這表示，每個線程可以有各自的端口和IP地址，如果有人用戶對系統(tǒng)干涉的話，獨立的線程可以幫助用戶把這個干擾降低到最少程度。但是，這不是一個萬無一失的方法來保護用戶系統(tǒng)，如果被攻擊時，可能這樣的方法對用戶有所幫助。

　　舉例設(shè)置-簡單方式

　　最簡單的設(shè)置中，系統(tǒng)有一個接口，運營商可以通過這個接口來連接到用戶端，對應(yīng)另外一個接口，這個用戶電話可以輕松使用。大部分惡意的攻擊是通過端口掃描5060發(fā)現(xiàn)用戶正在這個端口接收和響應(yīng)SIP數(shù)據(jù)流量。在這里，攻擊者會使用各種認(rèn)證方式的組合來發(fā)現(xiàn)漏洞，直到發(fā)現(xiàn)一個生效的端口，或肆意不停測試那個端口。如果用戶使用ACL限定了這個IP地址，修改端口號碼為一個任意的端口，僅允許從運營商來到呼入，用戶可立馬防止攻擊者訪問系統(tǒng)，即使這個攻擊者獲得了正確的用戶名和密碼，也不會非常輕松地訪問系統(tǒng)。

　　以下條例顯示用戶如何設(shè)置一個默認(rèn)環(huán)境的FreeSWITCH系統(tǒng)：

　　另外一個辦法是，用戶使用特別的和非常不同的端口，這樣攻擊者可能非常困難對系統(tǒng)進行攻擊。另外，用戶可以使用防火墻來限定一個僅支持運營商的端口，開放其他的端口給終端電話。

　　未完待續(xù)······

• 免費索取FreeSWITCH電子書