《CSI/FBI计算机犯罪和安全报告(2005年版)》曾经指出内部人员滥用行为依然是企业安全的重大威胁。这里的内部人员是指那些对企业网络已经有一定级别的访问权限的人员,包括员工、合约方、合作伙伴和客户等。很显然,企业对内部人员的信任度越高,他们的恶意行为带来的后果也就越严重。
随后的一些章节,我们将会从内部攻击者的角度展开论述。然而在本章,我们将从潜在VoIP黑客是从企业外部展开攻击这个角度来描述。换句话说,这个黑客既不是一个对企业心怀不满的可以访问企业内网的员工,也不是一个能完全掌握网络的恶意系统管理员。
读者完全可以大胆地假设黑客的首要任务就是远程地获取内部网络访问权限,从而发起本书后半部分阐述的更复杂的攻击。对千一个黑客而言,获取内部网络访问权限通常是很简单的,网络踩点仍是有助千开展本书后半部分阐述的更加高级的攻击的最有效的工作。 贯穿本书始终,我们一次又一次地强调VoIP支撑系统的安全的重要性。由千VoIP系统对传统的数据网络的安全依赖性,黑客通过攻陷可信的主机或者服务器从而访问VoIP网络,也就不是什么不寻常的事了。
确立攻击范围
VoIP网络可以部署在一个有限的地理区域内,也可以部署在多个区域中,在这种情形下,用户就可以从办公室、家中或马路上进行VoIP呼叫了。绝大多数VoIP技术都具备良好的扩展性,并可以在各种情景下进行部署,这样一来,首先确立要进行的攻击行为的范围和目标就显得尤为重要了。假设这些模拟攻击的目标只是为了加固分公司中的VoIP服务,而完全忽略了公司总部的VoIPPBX的安全漏洞,这就将会变成没有意义的行为。要在前期理清所有VoIP安全依赖的基础也是非常困难的。无论付出多少时间和精力,网络踩点有时只能描绘出一部分网络场景。一些网络关键部分将会在后续的扫描和枚举阶段而逐渐浮出水面。
企业的大量信息通常就公开放在它的网站上。当然,这些信息通常是用一种中性的口吻来描述的,因为它们的主要目的是用来提高来访者的认知度、促进来访者了解公司、提高来访者购买的机会。不幸的是,这些信息也能够给攻击者提供重要的相关信息,而凭借这些实际的场景信息,攻击者可以通过进行社交攻击,从而入侵到企业网络。下列类型的数据能够提供有用的提示或者成为黑客发起攻击的出发点。
•公司组织架构和公司位置信息
•帮助和技术支持
•招聘信息
•电话总机号码及分机号码
组织架构和公司位置信息
了解公司中人员的名字,有助千猜测用户账号,并且可以顺便通过社会工程学攻击进一步获取其他信息。绝大多数公司和大学会在它们的网站上提供公司信息或教职员信息板块,如图。
公司总部及分支机构的位置信息有助千了解VoIP呼叫双方的流量信息。这些信息同样有助千在办公楼内攻击承载千无线网络的VoIP流量。Goole和Microsoft都提供了在线的卫星图像工具,如下图所示,这些图像能够帮助那些方向感不佳的黑客。
帮助和技术支持
一些网站,特别是大学网站,经常为它们的VoIP用户提供在线的知识库或者FAQ。FAQ可能包含大量的宝贵信息,包括电话类型,默认的语音邮箱PIN号码或者基千Web的网络管理的远程接入链接,如下图所示。
为什么要在意这些呢?黑客可以和几个免费的在线的漏洞数据库对照这丁点的有价值的信息,以断定这些系统是否存在安全漏洞。当然,SecurityFocus.com在关千CiscoIPPhone7960的漏洞信息列表中,说明了以前发现的一些涌洞,并且还给出了如何利用这些漏洞的信息,如图1-7所示。
SecurityFocus分类收集的包括CiscoIPPhone7960在内的很多产品的漏洞
即使大学确保给所有的电话终端打上了最新的固件补丁,黑客依然能够找到那些为数不多的逃过管理员视线的设备。在第二部分"VoIP网络攻击“中,描述了让所有VoIP设备以及基础设施升级到最新版本固件所面临的挑战。
招聘列表
企业网站上的招聘列表中包含了大量的关千企业相关技术应用的珍贵信息。例如,下面是从一个实际的招聘列表中选出的片段,招聘VoIP系统架构师充分说明了公司中部署了AvayaVoIP系统。
RequiredTechnicalSkills:
Minimum3-5yearsexperienceinthemanagementandimplementationofAvayatelephonesystems/voicemails
*AdvancedprogrammingknowledgeoftheAvayaCommunicationServersand
voicemails.
所需的技能:
至少3-5年的Avaya电话系统/语音信箱系统管理和实现的经验。
关于AvayaCommunicationServers以及语音信箱系统的高级编程知识。
电话总机号码及分机号码
只是在公司的网站上简单地发现一个电话号码,并不会泄露大量的关于在用的VoIP系统的信息。然而,综合考虑内部人员数量及分机号码等,则有助于以后的攻击。例如,很典型地,在一些分支机构所在的办公区中的分机号码前,总是有相同的一位或两位的前缀。要通过网络找到所要的电话号码的一个简单的方法就是利用Google:
111..999-1000..9999site:www.example.com
这样就会返回超过70页的以XXX-XXXX为格式的电话号码结果。为进一步优化搜索结果,在搜索确切的电话交换系统时,可以加上区号信息,如:877111..999-1000..9999si七e:www.exarnple.com
这样就只会返回3个搜索结果。
一旦获取到几个总机号码之后,就可以在工作时间之外的时间拨打。绝大多数VoIP系·---统都有自动话务播报的功能,也就是在上班时或者下班时, 播放预先做好的录音信息来应答来电。这也不是什么高深的学问,许多录音信息中的词语及声音对每一个VoIP设备商来说是唯一的。只是听一下设备商默认的应答信息、提示等候的音乐及语音信箱提示音等, 黑客有时候就可能锁定运行的VoIP系统的范围。为了帮助读者了解这些,我们在本书的网站上(http://www.hac灿ngvoip.com)提供了一些录制好的语音信息。例如,基于Asterisk开发的开源系统Trixbox(http://www.trixbox.org)在默认的情况下,会以一个如下的女声来应答未接的电话"Thepersonatextensionx-x-x-xisunavailable.Pleaseleaveyourmessageafterthetone.Whendone,pleasehanguporpress thepoundkey.[beep,;]能接通。请在响一声之后进行留言。随后请挂机或者按#键")。
公共访问网站的对策
正如前面介绍的那样,一个公共访问的网站上的信息本身都是无害的,除非黑客盯上了这些信息。实际上,前面所述的信息通常很难也没有理由进行管制,尤其是网站管理者确实需要经常更新这些信息。我们的最佳建议就是尽量少地在招聘描述及在线帮助中,提到应用系统的技术信息(包括默认密码)。
'GoogleVoIP攻击
如今,互联网搜索引擎的最大好处之一就是它们具有的揭开互联网上最复杂的事务的无限潜能。同样,互联网搜索引擎的最大威胁之一,也是它们具有的揭开互联网上最复杂的事务的无限潜能。就应用搜索引擎技术进行黑客攻击方面,已经有了一些专著,如Syngress出版社2004年出版的JohnnyLong的GoogleHackingforPenetrationTesters。当对一个VoIP网络进行踩点时,黑客可以有多种方法来利用搜索引擎提供的服务,如Google的高级功能。盯住下面这些类型的搜索结果,通常可以发现企业VoIP网络的丰富的细节信息:
•VoIP设备商的新闻稿及案例研究
•简历信息
•邮件列表及本地用户组列表
•基于Web的VoIP登录方式
VoIP设备商的新闻稿及案例研究
在允许的情况下,VoIP设备商通常会对成功的大型案例发布新闻稿,通常还会包括客户对这些案例的评价。另外,许多VoIP设备商的网站上通常包括一些案例研究,并会详细描述在客户中部署的具体产品及其版本 。把搜索的范围限制到VoIP 设备商的站点或许会在一个这样的案例研究中有重大发现。例如,在Google中输入:
site:avaya.corn case study或者site:avaya.com[目标公司名称]
简历信息
如同职位信息描述一样,简历中也会包含大量对黑客有用的信息。一些创造性的搜索关键词能够从简历中发现特别有用的信息,例如:
“负责安全咨询、VPN建设及VoIP支持,包括与Cisco7920IP电话配套的CallManager安装部署“
“成功安装并部署了北电MeridianPBX及语音信箱系统”
邮件列表及本地用户组列表
对第一次接触并想学习VoIP 技术的网络管理员来说,如今的技术邮件列表和用户支持论坛实在是无价的资源。通常,一个管理员出千好心,为了从在线社区中获取帮助,会泄露大量的技术细节。在某些情况下,管理员或许会公开共享他的配置文件,以指导他人启 用一项难以摆弄的功能。例如,下面的例子中就泄露了部署的VoIPPBX及应用的话机类型:
你好:
我们刚在加州圣荷西的办公室中部署了新的IPOffice406系统。我在IT部门并负责管理这个系统。我们有本地VAR一年的全部技术支持,然而这也是他们在IPOffice方面的第一个项目,他们也处在学习过程中。
目前我们的主要问题是:
1)Avaya系统中没有提供通过人员点击拨号目录这一功能。本地VAR解释Avaya16黑客大熙光:VoIP安全机密与解决方案承诺下周就会解决好。
2)对DSSC数字用户信令——译者注)按钮编程会导致系统崩溃。本地VAR解释说Avaya声称这是一个已知的问题并且正在解决中。现在,我想要实现的功能(举个例子),就是我能够接听我助理的分机,并且我希望此时是我的分机在振铃。在我们以前的NEC系统上,在电话上有一个灯能够实现此功能。VAR解释我们必须要用DSS,但是有如下两个问题:(1)电话并没有真正地振铃,话路只是闪断;(2)应用DSS系统会崩溃,或者如VAR所说实际上是板卡崩溃。
3)当我们想添加分机或者更新配置时,不得不重启系统。到目前为止,Merge选项仍然不起作用(该选项将配置更改更新到系统中,并不重新启动译者注)。
4)4412D+电话机是不错,但是它们和底座不是很配套,并且,有时会让话机处千摘机状态!
我们使用的系统有三个30端口的D-term模块和两个模拟模块。同时,我们还有VoicemailPro及PhoneManagerLite。如果还需要我提供其他信息,请告诉我。如果有其他论坛或者网站我可以参考,请不吝赐教,感激不尽。多谢!
设备商组织的国内或是区域性的会议, 使用它们设备的企业通常都会参加。虽然这些会议只是对那些付了钱的部分客户开放,但有时,也能从网上找到免费资料或者会议日程,而这些对于网络踩点来说,是很有帮助的。作为一个起点,将搜索引擎瞄准下列比较好的用户支持网站。
基于Web的VoIP登录方式
绝大多数VoIP提供一个Web方式的管理界面,用户可以通过这个界面修改个人设置,如语音信箱、PIN、呼叫前转,等等。这些系统通常说来,不应该暴露到互联网上,以免遭到针对密码的暴力破解攻击,或者更严重的,把WebServer的漏洞也暴露到了互联网上。然而,找到这些网站对搜索引擎来说是小事。例如,许多CiscoCallManager系统提供的用户自助修改设置的网站通常是这样的"http://www.example.com/ccmuser/logon.asp"。在Google中输入下面的关键字将会搜到暴露到互联网上的CallManager系统。
绝大多数VoIP提供一个Web方式的管理界面,用户可以通过这个界面修改个人设置,如语音信箱、PIN、呼叫前转,等等。这些系统通常说来,不应该暴露到互联网上,以免遭到针对密码的暴力破解攻击,或者更严重的,把WebServer的漏洞也暴露到了互联网上。然而,找到这些网站对搜索引擎来说是小事。例如,许多CiscoCallManager系统提供的用户自助修改设置的网站通常是这样的"http://www.example.com/ccmuser/logon.asp"。在Google中输入下面的关键字将会搜到暴露到互联网上的CallManager系统。
inurl:"ccmuser/logon.asp"或者是将搜索进一步定位到一个确切的目标:inurl:"ccmuser /logon .asp" site:exa mple .com
.许多CiscoIP电话在安装时,会同时有一个为管理或者系统诊断而设的Web界面。在Google中输入如下关键字:
inurl:"NetworkConfiguration"cisco
一些这样的Web界面也会暴露到互联网上,在点击搜索结果的缓存链接时,会泄露一些非常有用的信息,如图1-8所示的是那些没有密码保护的TFfP服务器地址。
一个暴露到互联网上的VoIP网络设置界面,包括TFrP服务器IP地址、CallManager服务器和路由器等信息
Asterisk或许是当前应用的最流行的开源IPPBX软件。应用Google,同样可以发现一些基千Web方式的Asterisk管理端,如下所示:
intitle:"FlashOperator Panel"-ext:php-wiki-ems-inurl:asternic-inurl:sip intitle:ANNOUNCE -inur l:lists
-在Google黑客数据库项目(GoogleHackingDatabase,GHDB,http://johnny.山ackstuff.com)中可以找到更多通用的针对网络设备的搜索关键字。如果IP电话被置千默认的没有设置密码的状态,任何人都可以用浏览器访问它,并能进行流量监听。若是此IP电话与其他电话通过HUB连接在一起,那将是十分危险的。
GoogleHacking对策
前面所讲的所有GooleHae灿ng的例子都可以稍作调整,用千读者的公司,仅仅是将公司名加到搜索引擎关键字中,或者是在搜索中加入网站信息以锁定搜索范围(例如,加入"site:mycompany.com")。如果能够提前发现暴露到互联网上的VoIP设备Web登录界面,则能够大大减少那些对黑客来说是最容易实现的目标, 至少要修改那些确实需要从互联网接入的VoIP设备Web登录界面的默认密码。对千绝大多数情况,并没有合适的理由解释为什么VoIP电话或者PBX需要暴露到互联网上。
当前有一些服务能够监控GooleHacking状况,像Cyveilance(www.cyveilance.com)或者BayTSP(www.baytsp.com)等组织会按照每天、每周、每月的频次提供公司的网站等的安全状况,包括"GooleHae灿ng"的暴露程度等。
每一个上网的企业都要依赖DNS服务,把网站浏览者和外部邮件路由到正确的地方。
DNS是一个分布式的数据库系统,它把IP地址映射为主机名。除DNS之外,也存在一些地域性的公共组织来管理IP地址的分配,例如:
•APNIC(http://www.apnic.net)负责亚太地区IP地址分配
•ARIN(http://www.arin.net)负责北美、南美及非洲部分地区IP地址分配
•LACNIC(http://www.lacnic.net) 负责拉丁美洲和加勒比海地区IP地址分配
•RIPE(http://www.ripe.net) 负责欧洲、中东,以及部分亚洲和非洲地区IP地址分配
•AfriNIC(http://www.afrinic.net)负责非洲剩余地区的IP地址分配
以是通用的地址(如webmaster@example.com),而无需应用个人邮箱(如billy2@pegasusmail-mx.example.com)。DNS暴力查询能够暴露一个公司的大量信息,仅仅只是因为一些胀务器的命名方式,例如,一个服务器不是命名为"callmanager.example.com",而是考虑其他一些更保订的名字,像"cm.example.com",或者是更晦涩的名字。在DNS服务器上关闭匿名区域传送(ZoneTransfer)功能是非常重要的,这样,黑客就不能匿名下载所有的DNS数据库。启用DNS服务器上的事务签名(TransactionSignature,TSIG)功能,仅仅允许可信的主机进行区域传送。在DNS服务器上,也不应该应用HINFO(HostInformation)备注信息,这些字段提供了目标主机的大量信息。同样的,大多服务提供商目前能够提供匿名的DNS服务选项,这样,可以向那些虎视眈眈的人群隐藏个性化的细节信息,当然,这样的功能是需要付费的。
