五大難題拷問IP電話安全
2005/04/25
“可以隨意撥打�、竊聽隨時會發(fā)生�����、正常通話有可能被拒絕……”越來越多運營商和企業(yè)所青睞的IP電話�,正為安全所困。但面對無法信任的防火墻���,我們還能有什么樣的選擇��?
由于基礎設施成本及使用成本較低�����,越來越多的電信公司和客戶開始嘗試IP電話��。日前���,信息產(chǎn)業(yè)部綜合規(guī)劃司發(fā)布的1~2月份通信行業(yè)分析報告顯示,在長途電話業(yè)務中�,IP電話通話時長已經(jīng)占長途電話通話時長的45.7%。
不過����,在搭建IP電話網(wǎng)絡時,安全是非常重要的問題�,F(xiàn)今的應用層軟件防火墻,由于廠商�、用戶、產(chǎn)品等方面受五大難題的制約��,很難為網(wǎng)絡管理員提供相應的安全性和可靠性方面的保障���。
難題一:廠商重犯10多年前的錯誤
網(wǎng)絡安全領域的斗爭從來就沒有停止過��,只不過斗爭的前沿時常從OSI協(xié)議棧的一層轉移到另外一層而已����。幾年前網(wǎng)橋和路由器為安全問題所困擾的情況,現(xiàn)在同樣發(fā)生在IP電話網(wǎng)絡身上�。
近期,許多剛成立不久的公司紛紛發(fā)表調(diào)查報告�����,報告聲稱�����,盡管目前特定于具體應用的防火墻越來越多����,但它們檢測到的應用層蠕蟲和病毒的數(shù)量正在不斷增加。與此同時���,各防火墻廠商都在緊鑼密鼓地研發(fā)更智能化并帶深度包檢測(Deep Packet Inspection����,DPI)功能的安全設備。我們知道���,DPI功能將使得網(wǎng)絡管理員能夠配置數(shù)字位匹配模式�����,用以匹配和鑒別特定的數(shù)據(jù)報。
然而�,恐怕這些防火墻廠商正在犯著10多年前以太網(wǎng)網(wǎng)橋制造商就曾經(jīng)犯過的錯誤。那時候�����,為了對抗路由器�,網(wǎng)橋制造商引入了能按位模式來轉發(fā)數(shù)據(jù)報的所謂智能網(wǎng)橋,他們宣稱這些智能網(wǎng)橋融合了路由器的優(yōu)點同時擯棄了路由器的缺點�����。也許他們說的沒錯�����,但事實是����,配置這些智能網(wǎng)橋的門檻實在太高了�����,如果你沒有博士級的智商��,恐怕很難能有機會弄明白這些智能網(wǎng)橋的配置細節(jié)�。
現(xiàn)在看來�����,DPI的實現(xiàn)似乎避免不了與這些智能網(wǎng)橋相同的命運���。目前多數(shù)DPI引擎的缺省設置是不分青紅皂白地把所有外部數(shù)據(jù)通通拒之門外���,因此表面上看起來好像確實提供了強有力的安全防護,然而對管理員來說�����,真正的挑戰(zhàn)在于如何配置這些引擎���,使其具有識別數(shù)據(jù)的能力;如何可以讓它過濾掉那些無用或帶攻擊性的數(shù)據(jù)�����,而只讓真正有用的數(shù)據(jù)進來����。對于很多防火墻管理員來說,這個任務顯得很是艱巨����。
即使對那些經(jīng)驗豐富的工程師來說,這也是非常大的挑戰(zhàn)��。Nokia的產(chǎn)品概念工程師Wayne Fiori在談到DPI時直言“感覺不太好”����。他說���,“我們有一個內(nèi)部應用需要用到防火墻���,我最終把所謂的智能應用給徹底關了,它實在是礙手礙腳�����,它缺省地把所有的數(shù)據(jù)都給擋住了,這不是添亂嘛�����,那時候我簡直要瘋了�����!
先把易用性放在一邊�。很難想象通用防火墻軟件廠商能保證自己的軟件能夠實現(xiàn)各種紛繁的IP語音(Voice over IP��,VoIP)標準和協(xié)議��。即使是那些做專用防火墻的公司在處理各種標準���、RFC�����、VoIP相關的重要草案時�,也是相當頭疼����。所以�,通用防火墻公司很難像那些專用防火墻公司一樣����,又快又省地及時支持新標準,更不用說那些標準的擴展了����。
碰到這些情況時,網(wǎng)絡管理員該如何抉擇呢����?對于通話量較低并且對IP電話要求比較簡單的情況,升級通用防火墻加入DPI支持是個可行的方案�����;另一方面��,對高通話量的情況����,通常需要把VoIP數(shù)據(jù)轉移到專用的防火墻上�����,只有一種情況例外,就是如果防火墻軟件廠商和IP專用分組交換機(IP PBX)廠商在技術上有合作的話��,可以做到讓通用DPI防火墻更好地支持IP PBX的特殊功能�����,那么通用防火墻也有可能應付高通話量的要求����。
另外,部署專用安全設備可能可以比較快地解決問題��,提供所謂的“單項優(yōu)勢”(best-of-breed)安全防護���。但這也意味著�����,你要管理和維護更多的專業(yè)設備�����,從長期來看會造成成本的增加����。
如果網(wǎng)絡管理員和防火墻廠商恰好是DPI追隨者的話,應該說也還是很有盼頭的�。基本上����,改進DPI防火墻軟件人機交互功能的方式有兩種:其一是通過內(nèi)部開發(fā)改進完善;另一種則是通過收購那些剛起步的專用防火墻軟件公司���,并融合它們的技術優(yōu)勢�。
問題二:用戶投資難以應對安全現(xiàn)狀
由于目前已知的IP電話攻擊并不多見��,所以想說服CEO們和預算管理人員在IP電話安全方面增加資金投入還是有一定難度的����,網(wǎng)絡管理員們應該會認同這一點。然而就在今年1月份���,英國國家基礎建設安全響應中心(NISCC)報導他們發(fā)現(xiàn)了目前被普遍認為是在分組網(wǎng)上支持語音�����、圖像和數(shù)據(jù)業(yè)務最成熟的H.323協(xié)議的多個漏洞�����,而其中又以負責建立IP電話連接的H.225.0子協(xié)議里問題最多�����。如果漏洞遭到攻擊�,結果可能造成惡意代碼的執(zhí)行或是拒絕服務(DoS)攻擊��。
會話啟動協(xié)議(Session Initiation Protocol���,SIP)的情況也好不到哪里去����。2003年2月�����,國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心(CERT)報導了SIP協(xié)議棧中的一個漏洞����。利用該漏洞,攻擊者將有機會獲得非法訪問特權�����,發(fā)起DoS攻擊,造成系統(tǒng)不穩(wěn)等問題�����。
從原理上說���,利用漏洞可以發(fā)起各種類型的攻擊���。比如一旦網(wǎng)關被黑客攻破,IP電話不用經(jīng)過認證就可隨意撥打��,未經(jīng)保護的語音通話有可能遭到攔截和竊聽����,而且可以被隨時截斷。黑客利用重定向攻擊可以把語音郵件地址替換成自己指定的特定IP地址�,為自己打開秘密通道和后門,等等��。
與此同時���,其他流行的攻擊手段也會對網(wǎng)絡語音環(huán)境造成巨大的威脅���,除了DoS和DDoS攻擊外,如果PC中了特洛伊木馬的話���,竊聽就隨時可能發(fā)生����。類似地��,亂序語音數(shù)據(jù)報(比如媒體數(shù)據(jù)報在會話數(shù)據(jù)報之前被接收到)和過長的電話號碼都可能為緩沖區(qū)溢出攻擊打開方便之門��,而VoIP濫用(類似垃圾郵件)則可以通過不停播打同一號碼使該號碼陷于癱瘓���。
另一個復雜的問題是��,如果在防火墻之上同時運行網(wǎng)絡地址轉換(NAT)服務的話�����,外呼請求可能就無法正常工作���。雖然NAT能夠轉換語音數(shù)據(jù)報中IP層和傳輸層的源地址與端口號,但NAT并不理會語音數(shù)據(jù)報中其他更底層的源地址信息��。所以,對VoIP來說這意味著主叫方的地址將是個內(nèi)部地址��,而被叫方在試圖建立通話時則會被導向錯誤的源地址����。
當涉及到外部呼叫者時,VoIP面臨的安全挑戰(zhàn)就愈加復雜了���。典型的情況是��,對于一個公司搭建的IP電話網(wǎng)絡來說��,防火墻只認可從該網(wǎng)絡內(nèi)部發(fā)起的會話請求���。然而對IP電話來說,公司外部的人也可能需要打電話進來�����。對于內(nèi)部用戶來說�����,為他們安裝VPN客戶端是個暫時的解決方案。但長遠來說這肯定不夠���,外部呼叫者可能是個陌生人�,所以不可能為他們預裝VPN客戶端���。
問題三:防火墻產(chǎn)品缺陷明顯
為了對抗針對IP電話的攻擊,防火墻必須要更智能�、更高效地檢驗進來的數(shù)據(jù)報里與SIP相關的信息。對此����,不同的防火墻廠商采取了不同的方案。但大體來看���,各方案或多或少都存在一些問題(詳見下表)���。
對于具有全狀態(tài)檢測(stateful-inspection)功能的防火墻來說,它本身并不具有應付應用層攻擊的防護能力��,這種防火墻在傳輸層對數(shù)據(jù)進行檢查�,它首先跟蹤從公司IP電話網(wǎng)絡出去的會話連接,然后利用這些信息來決定哪些外部數(shù)據(jù)是安全的�����,可以進入公司網(wǎng)絡。
基于代理的防火墻如TIS的Guantlet��,具有在應用層對具體應用進行安全保護的能力���。它的工作方式是首先檢測從外部進來的會話連接���,分析其所使用的協(xié)議,然后掐斷該外部連接�,最后從自己這方重新發(fā)起一個到對方的新連接。這種防火墻雖然能直接在應用層對不同的具體應用提供相應的保護�,但它是以犧牲性能為條件的,并且需要對每個具體應用進行特別調(diào)整��。
沒有任何一款VoIP防火墻(包括全狀態(tài)檢測防火墻)是純粹工作在網(wǎng)絡層和傳輸層的�����,最起碼它們也要利用應用層網(wǎng)關(ALG)在網(wǎng)絡層��、傳輸層和應用層查找地址信息并進行相應修改�����。ALG對終端設備來說是透明的,所以在處理SIP時����,它們并不會向請求連接一方發(fā)送TRYING消息。
有些防火墻在處理SIP數(shù)據(jù)報時會利用DPI查看數(shù)據(jù)報更細節(jié)的信息���,比如在應用層檢查數(shù)據(jù)報是否符合標準格式�,這樣����,這些基于DPI的防火墻就能防住某些緩沖區(qū)溢出攻擊�。實現(xiàn)該功能的廠商有Cisco、NetScreen和WatchGuard����。
基于代理的防火墻位處主叫方和被叫方中間,截取兩端的通話信號和媒體流��,這些設備工作方式類似SIP代理服務器���,只不過它們同時還能進行協(xié)議正確性校驗和檢查�����。邊界會話控制器(Session Border Controllers�����,SBC)是一種被眾多運營商用于連接VoIP服務和支持QoS的設備����,它們也屬于基于代理的防火墻這一類。很多制造SBC的廠商同時也為企業(yè)提供類似的防火墻產(chǎn)品�。
問題四:應用層過于復雜
每種防火墻實現(xiàn)方案都面臨著諸如應用層復雜性、性能�����、價格以及數(shù)據(jù)加密的問題��。
顯然��,如果通話數(shù)據(jù)被加密的話���,防火墻是沒法對數(shù)據(jù)進行檢查的���。而基于代理的防火墻可能可以繞過這個問題,但同時又造成其他的安全隱患���。因為此類防火墻位于通話兩端的信號和媒體流之間����,通話方會“認為”他們已經(jīng)和對方建立了直接的安全對話,但實際上他們只是和防火墻建立了安全會話����,因此基于代理的防火墻實際上有著潛在的不安全因素。
應用層的復雜性又是一個問題����。有些基于代理的防火墻自詡其有強大的檢查校驗數(shù)據(jù)報SIP正確性的能力,但我們恐怕不能盡信其言�����。SIP是一個極端復雜的協(xié)議���,涉及到60多個RFC和標準草案,僅僅是準確實現(xiàn)這些紛繁的特性和功能就足以把這些防火墻廠商壓得喘不過氣來�����。
SIP還具有極強的擴展性�,許多廠商在此基礎上進行了很多專有的擴展��。如果沒有這些廠商的支持的話����,是幾乎不可能對其功能和正確性進行檢查的����,所以在購買此類產(chǎn)品之前建議進行認真細致的試用和評估。
絕大多數(shù)防火墻廠商的產(chǎn)品只實現(xiàn)了一小部分SIP的RFC和標準草案����,而且廠商對這類事實一般都秘而不宣。
然而SIP也僅僅只是眾多IP電話協(xié)議中的一個而已����。Nortel、Avaya和Cisco在連接電話終端和它們的IP PBX時都使用了其專有的基于H.323協(xié)議的變種協(xié)議�����。目前市場上有許多H.323協(xié)議的變種�,媒體網(wǎng)關控制協(xié)議(MGCP和MEGACO)也不例外。為了進行企業(yè)電話客戶端和這些IP PBX的安全防護�����,對防火墻來說,支持這些專有H.323變種協(xié)議就顯得相當重要�����。
然而�����,僅僅只是能支持這些協(xié)議還遠遠不夠�����,網(wǎng)絡管理員還非常重視防火墻部署時的簡易性�。美國勞倫斯·利弗莫爾國家實驗室安全應急主管Jon Diaz就說“我研究過DPI的實現(xiàn),但問題是���,要具有很多相關的專業(yè)知識才可能弄明白整個配置過程��。”
問題五:性價比阻礙應用推廣
現(xiàn)在來談談性能和價格問題���。Check Point的Besser宣稱說��,實現(xiàn)DPI并不會對防火墻的性能造成太大的影響�。我們知道,如果防火墻要對通話內(nèi)容進行檢查的話�����,那么整個過程必須要以非��?斓乃俣冗M行����,否則會對通話造成負面影響。IP語音與HTTP類型的連接不同�����,IP語音的信號量極大��,如果DPI防火墻廠商拿不出什么絕招的話�,那么在應用層對數(shù)據(jù)進行檢查肯定會對防火墻性能造成極大的影響。
即使是Nokia的防火墻也很難同時支持2000個VoIP用戶����。Nokia的說法是: 在協(xié)調(diào)VoIP用戶數(shù)和通過防火墻的會話數(shù)上他們還沒有成熟的測試方案。
目前防火墻最大的問題可能是會對通話質量造成影響�����。“防火墻的存在會造成一些語音延遲和不穩(wěn)定等問題�������! 為加拿大政府安裝VoIP系統(tǒng)的IT主管Michel Labelle說道�����,“防火墻并沒有意識到傳統(tǒng)的服務質量(QoS)問題��,所以避免不了對通話質量造成影響������!
解決方案也有,但產(chǎn)品的價格就要高出許多���。確切數(shù)字不好說���,不過作為參考�,Nokia的能同時支持200個網(wǎng)絡通話的IP 1260安全平臺價格為6萬美元�����。
基于代理的防火墻由于不需要那么多的硬件支持�����,所以相對來說價格較低��。比如Jasomi PeerPoint的企業(yè)版支持600個注冊用戶和100個同時通話的用戶���,起價為12000美元。
放棄防火墻���?
由于目前沒有任何一個防火墻方案能完美地解決VoIP安全問題�����,因此有些安全專家認為在應用層這個級別可能最好的處理辦法就是完全放棄防火墻���。RTFM安全咨詢公司的主管兼?zhèn)鬏攲影踩═LS)工作小組副主席Eric Rescorla認為,防火墻并不如想象的那么好�,“看看電子郵件應用中蠕蟲是如何突破防火墻的吧。”
Dynamicsoft公司的CTO和SIP創(chuàng)建者之一Jonathan Rosenberg也贊同這種觀點����,他在一封電子郵件里寫道“防火墻廠商必須要非常熟悉SIP和其他IP電話協(xié)議,這樣才能保證它們產(chǎn)品的質量�����,而實際上它們做不到這一點����,結果就是當一個新的應用或協(xié)議出現(xiàn)時,在部署它們的時候你不得不尋求廠商的幫助��。這種情況完全體現(xiàn)不出網(wǎng)絡的主要優(yōu)點���!
Rosenberg建議采用一種新的模式,即防火墻不用理會SIP和其他應用層協(xié)議����。他說,現(xiàn)在一些客戶端技術如簡單UDP穿越NAT協(xié)議(STUN)��、交互式連通建立方式(ICE)�����、通過中繼方式穿越NAT技術(TURN),它們使得防火墻不需要處理SIP就能讓IP通話穿過防火墻���。這些協(xié)議和技術為客戶端獲取NAT和防火墻所使用的外部傳輸層地址提供了途徑。
Rosenberg相信那些開發(fā)基于SIP的應用的開發(fā)人員會比較傾向于支持該協(xié)議���,而網(wǎng)絡管理員就不一定了�。過去的經(jīng)驗表明�����,安全問題從來都是很棘手的���,開發(fā)人員并不總是愿意或者說并不總是有能力在開發(fā)的時候完全解決安全問題�。而從CERT和NISCC發(fā)布的安全報告來看�����,我們也沒什么理由期待SIP開發(fā)人員會與眾不同����。(譯/春雷)
VoIP如何部署防火墻
盡管當今絕大多數(shù)公司的VoIP網(wǎng)絡都是不對外開放的�����,但仍然有必要在企業(yè)內(nèi)部部署VoIP防火墻��。越來越多的攻擊開始時是從VoIP網(wǎng)絡內(nèi)部發(fā)起�,對此進行防衛(wèi)是必不可少的��。作為對策���,第一步可以將所有網(wǎng)絡語音數(shù)據(jù)隔離在虛擬局域網(wǎng)中���,與此同時在可信任的域內(nèi)部署代理和網(wǎng)閘同樣很重要。
對于帶DPI的全狀態(tài)檢測防火墻���,部署過程是一個在不受信任的網(wǎng)絡和受信任的企業(yè)之間的隔離帶里的防火墻端口上安裝SIP代理的過程�����。而實現(xiàn)了SIP背對背用戶代理的防火墻則有所不同��,因為它們的功能類似代理服務器����,用戶代理(User Agent)可以在上面注冊。這類防火墻可以和全狀態(tài)檢測防火墻一起部署在隔離帶中�����,只要使用不同的端口即可��,或者單獨部署在公司網(wǎng)絡的其他地方���。
除了技術實現(xiàn)細節(jié)之外,網(wǎng)絡管理員也要留意協(xié)議問題����。由于絕大多數(shù)IP PBX在和其他設備終端連接時使用了專有協(xié)議、SIP或H.323中繼�����,所以在部署時很可能需要廠商的直接支持��。
計算機世界網(wǎng)(www.ccw.com.cn)
相關鏈接: