您的位置: 网界网 > 周报全文 > 正文

[周报全文]道魔之战——浅析H.323视频会议系统的安全性问题

2004年07月26日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:道魔之战——浅析H.323视频会议系统的安全性问题

标签
    道魔之战

    ——浅析H.323视频会议系统的安全性问题

    ■ 茗子


    伴随视频会议系统建设高潮的来临,其安全问题也愈来愈受到用户的关注。可以想象,如果视频会议系统存在安全隐患,从而被黑客或者是非授权的用户非法侵入会议或是窃取管理者的口令,最终得以控制会议、窃听会议内容甚至非法记录会议内容,其后果将不堪设想。那么,视频会议系统中常见的安全隐患在哪里?又当如何应对呢?

    魔高三尺

    操作系统和传输网络的安全漏洞

    目前,仍有很多视频会议产品基于Windows、Linux等常见操作系统进行开发,而这些操作系统本身的一些安全漏洞使得这些产品在安全性方面先天不足。黑客和病毒利用操作系统本身的漏洞可以很容易侵扰系统,影响系统最终的可靠性。

    另一方面,传输网络担负着视频会议各类信息流的传送,一旦传输数据被监听或是采用的网络传输介质(电缆、光缆)存在潜在的不安全因素,都将直接影响到最终的安全性。

    H.323协议难以穿越防火墙

    目前,绝大部分组织和企业通过使用防火墙来确保自己网络的安全性。通常,根据防火墙限定进出网络的数据包类型和流量(这种限定可以基于源IP地址、目的IP地址或端口号等包过滤规则)以达到保障网络安全的目的。然而,基于IP的语音和视频通信的H.323协议,却要求各端点之间使用IP地址和端口号来建立数据通信通道。由此,矛盾出现了。为了建立端点间的连接,系统必须随时侦听网络呼叫,而防火墙却被配置为过滤掉任何不请自到的数据包。网络管理者为了允许语音和视频通信,将不得不开放防火墙上的大多数端口,当然,这样做的后果也使得防火墙失去了原先的存在意义。 

    会议管理软件存在隐患

    对于会议的管理,目前仍有许多视频会议产品使用80端口,这就使得非授权的用户可以很容易的通过这一开放端口获得会议控制权。此后,攻击者甚至还可以生成一个简单的编程脚本从而让任何人都得以远程进入系统。

    道高两丈

    使用嵌入式操作系统以及加密设备和VPN技术

    与Windows、Linux等常见的操作系统相比较,厂商自主开发的专用嵌入式操作系统具有更强的稳定性和抗侵袭性,可以从根本上减少外来的侵袭概率以保证系统的稳定性。

    在视频会议产品前端安置加密机或者直接使用加密网卡可以提高在传输过程中的安全性。加密设备可直接提供加密能力,从而实现用户的身份验证以及防止未经授权的数据访问和恶意攻击。

    此外,VPN技术作为当前在IP网络上提供安全通信的方法之一,企业用户还可以使用VPN技术组建视频会议系统(+微信关注网络世界),让各节点间传输的数据均通过底层加密并通过专用的隧道路由传输,这样就能有效地隔绝来自外部网络的攻击,避免信息在传输过程中泄漏。

    使用支持H.323协议的防火墙软件和专用管理软件

    与其他多媒体信息协议不同,H.323的大部分控制信息使用ASN.1编码模式,这种编码模式非常复杂,即使是相同版本的同一应用在连接相同的目的地址时,也会使用不同的选项。 这使得相同成员在数据流中却得到了不同的偏移量。

    为了提取其中的有用信息(如内嵌的IP地址和端口号),需要对用ASN.1编码过的数据包进行仔细的解码,并以此对于H.323协议的数据包进行详细的分析,从而可以检测H.323协议通信过程中动态分配的一些端口。这样做的结果是,在防火墙的规则中,只须打开几个H.323的熟知端口,其他通信过程中动态分配的端口在需要时防火墙会临时打开,在不需要时就会立刻关闭。不仅提高了防火墙的安全性,而且也不会受到网络地址转换的影响。

    同时,使用厂商特别开发的视频会议专用管理软件,也可以有效避免基于传统的IE管理方式所带来的安全隐患。 

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]