VoIP也安全
張志剛
2005/03/16
如果實現(xiàn)VoIP���,安全是個需要考慮的重要事項,因為VoIP中的每一節(jié)點都像計算機一樣是可訪問的��。
當遭受DoS攻擊�����、黑客入侵時����,VoIP通常會導致發(fā)生未經(jīng)授權(quán)的免費呼叫、
呼叫竊聽和惡意呼叫重定向等問題�。
針對諸多問題,大力推崇VoIP的思科是如何解決的���?
Cisco精心打造的IP-telephony package可以說是整個Cisco網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)備中最安全的一個�����。測試也表明��,通過這種方法建立的VoIP網(wǎng)絡(luò)能有效抵御熟練黑客的攻擊�����,其拓撲明顯要優(yōu)于許多用戶現(xiàn)在部署的安全選項����,但美中不足的是,構(gòu)建這樣的系統(tǒng)確實有點價格不菲��。
在這樣一個系統(tǒng)中����,可選的組件包括:兩個獨立的PIX防火墻、另一個位于backbone Catalyst 6500刀片上的防火墻�����、在6500中的一個IDS刀片��、一個完全獨立的管理子網(wǎng)和不同安全的管理應(yīng)用系統(tǒng)�。防火墻和IDS部件的價格共計約64萬元。防火墻為桌面帶來了許多實用性很強而且具有高安全級別的特性:一個是信任方-不信任方的概念(不信任方接口總是指向黑客)����;另一個是協(xié)議理解,即只有要求VoIP的特定協(xié)議才被允許��,且請求和響應(yīng)只能在正確的方向才能通過。本測試中還包括其他一些防火墻特性����,例如:VoIP呼叫控制檢查(Stateful inspection of VoIP Call Controll)��、網(wǎng)絡(luò)地址解析(networks address resolution)���、通過防火墻的通道呼叫控制�����、TCP截��。═CP intercept����,他可確保TCP連接的順利完成�,還能防止呼叫管理器上的DoS攻擊,以及對Secure SCCP的支持)�。
作為Cisco IP-telephony package的核心所在,呼叫管理器4.0版可處理呼叫控制�,還包括一些其他新的安全相關(guān)特性。其中最關(guān)鍵之處是VoIP加密�����,本次測試中語音流(RTP,實時傳輸協(xié)議)加密僅僅在Cisco最新的7970 IP phone sets上得到支持�。而基于Windows 2000操作系統(tǒng)的最新呼叫管理器已呈現(xiàn)逐步硬化的趨勢。
另外����,還有一系列強大的網(wǎng)絡(luò)自防御特征也包括在本次被測試的Catalyst IOS版本中,尤其是放在core Catalyst 6500上的IOS 12.2(17b)sxa��,和access Catalyst 4500上的IOS 12.1(20)ew等��,所有這些功能作為安全防御的先鋒���,較之其他任何Cisco拓撲中的組件�,均有效地阻止了攻擊隊伍的行動�,主要還包括:流量警察(police)和committed access rate,對于阻擋攻擊隊伍的DoS攻擊十分成功�����;第二層端口安全���,他可嚴格限制一個端口中MAC地址的數(shù)量����;第二層DHCP偵聽(Dynamic Host Configuration Protocol,動態(tài)主機配置協(xié)議)�����,他可有效阻止動態(tài)主機配置協(xié)議的連續(xù)攻擊�;動態(tài)地址解析協(xié)議檢查��,他能中止ARP(地址解析協(xié)議)感染病毒和對ARP的偵聽攻擊�����,同時還能抵御攻擊隊伍大量更隱蔽的攻擊�����;IP源地址保護(IP Source Guard)���,他能防止偽裝攻擊����;VLAN訪問控制列表�����,可限制到達IP電話的流量等。
CSA(Cisco Security Agent�,Cisco安全代理)是另一個基于主機的防止入侵系統(tǒng)(IPS,intrusion-prevention system)�����,現(xiàn)在作為呼叫管理器IP電話服務(wù)器中集成的一個安全組件��,也出現(xiàn)在Cisco的統(tǒng)一語音郵件服務(wù)器(Unity voice mail server)��,和其他所有貫穿Cisco網(wǎng)絡(luò)拓撲的Win 2000服務(wù)器中��。
Cisco有效的安全措施幾乎應(yīng)用在了全部層上:第二和第三層(Catalyst系列交換機)���,第四和第五層(防火墻和IPS)��,第六層(RTP語音加密流���,目前仍僅限于某些電話),和第七層(基于服務(wù)器的軟件���,如Cisco Security Agent等)��。
經(jīng)過評測部門組織的三天的測試攻擊�,攻擊隊伍在電話通信中沒有發(fā)現(xiàn)明顯的干擾,Cisco VoIP系統(tǒng)的安全性基本經(jīng)受住了考驗�,但也存在幾個瑕疵:首先,黑客隊伍很容易就能在一個IP電話基站連接鏈路中插入一個偵聽器���,從這個有利的位置他們能觀察收集到全部的流量信息細節(jié)�,如協(xié)議�����,地址��,甚至捕捉到RTP��,而這是一種運行在UDP上����,并承載全部VoIP系統(tǒng)上中語音樣本的VoIP協(xié)議��。雖然流入/出VoIP Cisco 7970電話的流量是經(jīng)過加密的128位數(shù)據(jù)���,但攻擊隊伍很容易獲�。黄浯�����,利用放置的偵聽器所收集到的網(wǎng)絡(luò)信息����,黑客能插入他們自己的計算機,因而能進一步訪問語音虛擬LAN�����,并向其他VLAN中的設(shè)備發(fā)送流量�����,但他們不能偽裝成某個IP電話或IP電話的呼叫���。最后���,盡管這是一個跨越多層平臺的有效的安全策略,但所有這些安全部件之間細微的相互關(guān)聯(lián)和正確的安裝是非常令人頭疼的�,如果將Cisco配置的防火墻其雙向都不允許通過流量,這或許很安全�,但并不實用�。任何不當或不正確的設(shè)置�,既便是最好的安全策略也會受到影響。
Cisco VoIP系統(tǒng)拓撲圖
相關(guān)鏈接
VoIP安全級別
作為網(wǎng)絡(luò)管理員可能經(jīng)常要面對諸如此類的問題:“你的IP電話(IP telephony)網(wǎng)絡(luò)能防止黑客的攻擊嗎����?”可能大多數(shù)答案都是肯定的,但這個肯定主要取決于網(wǎng)絡(luò)所使用的是哪個廠商的IP
PBX�。因此更重要的是是否制定了周密的網(wǎng)絡(luò)安全計劃、網(wǎng)絡(luò)和個人資源戰(zhàn)略��,以及額外的安全設(shè)備方面���,投入資金和時間等����。下表是對幾種安全級別的定義�����。
賽迪網(wǎng) 中國信息化(industry.ccidnet.com)
相關(guān)鏈接: