VoIP安全:挑戰(zhàn)與對(duì)策
馬云飛
2005/05/24
Jupiter研究公司最近數(shù)據(jù)預(yù)計(jì)�����,到2010年�����,美國(guó)的VoIP用戶(hù)將達(dá)1200萬(wàn),屆時(shí)VoIP的安全性將是業(yè)界面臨的主要問(wèn)題之一��。而最近“VoIP安全聯(lián)盟”的正式成立����,也向公眾傳達(dá)了這樣一個(gè)理念:VoIP并非絕對(duì)安全可靠,業(yè)界需要在其安全性方面做出更多努力��。
由于VoIP基于可同時(shí)承載語(yǔ)音�、數(shù)據(jù)和其它流量的統(tǒng)一網(wǎng)絡(luò)架構(gòu),可在顯著減少用戶(hù)語(yǔ)音與數(shù)據(jù)通信服務(wù)開(kāi)銷(xiāo)的同時(shí)��,提供傳統(tǒng)PBX系統(tǒng)無(wú)法比擬的諸多新型服務(wù)�����,因而這一技術(shù)在商業(yè)與家庭消費(fèi)領(lǐng)域得到了越來(lái)越廣泛的應(yīng)用。Insight調(diào)研公司今年四月初發(fā)布的一份市場(chǎng)研究報(bào)告預(yù)計(jì)��,受商業(yè)應(yīng)用的驅(qū)動(dòng)�,2005年全球VoIP市場(chǎng)將有望達(dá)820億美元,并將在2007年進(jìn)一步增至1965億美元���。
但不幸的是�����,VoIP在融合了傳統(tǒng)PBX系統(tǒng)與數(shù)據(jù)網(wǎng)絡(luò)二者優(yōu)勢(shì)的同時(shí)�,也同樣將這兩種系統(tǒng)固有的安全風(fēng)險(xiǎn)全部系于一身����。與基于PSTN電話(huà)網(wǎng)絡(luò)的傳統(tǒng)PBX系統(tǒng)相比,VoIP語(yǔ)音流量大多通過(guò)公共Internet網(wǎng)絡(luò)進(jìn)行傳輸�,因而除了會(huì)遭遇存在于傳統(tǒng)PBX系統(tǒng)中的非法搭線偵聽(tīng)等安全風(fēng)險(xiǎn)外�,還面臨著病毒、DoS(Denial-of-Service)拒絕服務(wù)攻擊等數(shù)據(jù)網(wǎng)絡(luò)常見(jiàn)的安全威脅�����。尤其是在VoIP技術(shù)開(kāi)始大舉進(jìn)軍商業(yè)應(yīng)用領(lǐng)域的今天,VoIP的安全問(wèn)題顯得尤為突出���。今年年初以來(lái)�����,見(jiàn)諸報(bào)端的VoIP相關(guān)安全事件已然超過(guò)了2004年以前所有年份的總和�。
那么�����,VoIP技術(shù)面臨的安全威脅究竟有哪些���?用戶(hù)與運(yùn)營(yíng)商應(yīng)當(dāng)采取什么樣的安全防范措施���?VoIP解決方案的效果如何、能否勝任企業(yè)的應(yīng)用��?下面就讓我們從VoIP系統(tǒng)的基礎(chǔ)架構(gòu)入手對(duì)這些問(wèn)題進(jìn)行一下簡(jiǎn)要分析���。
安全:VoIP之軟肋
VoIP系統(tǒng)基礎(chǔ)架構(gòu)主要由專(zhuān)用交換機(jī)系統(tǒng)����、網(wǎng)關(guān)、代理��、注冊(cè)和定位服務(wù)器��、以及用于撥打IP主干網(wǎng)的IP電話(huà)等組件構(gòu)成�。
其中的每一組件,無(wú)論這一組件是基于嵌入式系統(tǒng)的IP電話(huà)終端�����、還是運(yùn)行商業(yè)操作系統(tǒng)的VoIP服務(wù)器�,都包含有運(yùn)行軟件的處理器,都像網(wǎng)絡(luò)中的其它計(jì)算機(jī)設(shè)備一樣�����,是可尋址和訪問(wèn)的���,也都使用TCP/IP堆棧���。這意味著在VoIP系統(tǒng)架構(gòu)中,每一節(jié)點(diǎn)都如同數(shù)據(jù)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)一樣��,極易成為黑客攻擊的目標(biāo)�����,或者作為實(shí)施內(nèi)部網(wǎng)絡(luò)攻擊的跳板�;也意味著黑客可以利用VoIP語(yǔ)音基礎(chǔ)架構(gòu)本質(zhì)上是數(shù)據(jù)網(wǎng)絡(luò)的特性,實(shí)施針對(duì)語(yǔ)音通信系統(tǒng)的攻擊����。
由于一個(gè)完整的VoIP電話(huà)呼叫需要由建立呼叫的交換信令信息和承載實(shí)際語(yǔ)音呼叫的媒體流兩個(gè)部分組成。因此�,要保證VoIP呼叫的安全,就必須同時(shí)確保這兩個(gè)組成部分的安全�����。但由于信令和媒體流的路徑是相互分離的���,需要利用VoIP技術(shù)實(shí)現(xiàn)這兩部分之間的邏輯連接��。而且���,通常情況下,通過(guò)Internet傳輸?shù)腣oIP流量是未經(jīng)加密的��,這都在無(wú)形中加大了VoIP的不安全因素,導(dǎo)致VoIP呼叫極易被攔截和偵聽(tīng)��。借助SIP與IP地址欺詐�,黑客甚至可以偵聽(tīng)到某一SIP服務(wù)器或特定用戶(hù)群體的所有語(yǔ)音呼叫。
同時(shí)���,與數(shù)據(jù)網(wǎng)絡(luò)一樣�����,易遭受DoS攻擊和病毒侵襲是VoIP在安全方面的最大軟肋���,黑客可以通過(guò)向企業(yè)用戶(hù)的SIP服務(wù)器發(fā)送大量虛假請(qǐng)求的方式,輕易實(shí)施DoS攻擊��,使企業(yè)用戶(hù)的VoIP系統(tǒng)瞬間陷入癱瘓�,從而可能會(huì)使企業(yè)用戶(hù)錯(cuò)失業(yè)務(wù)機(jī)會(huì),蒙受慘重?fù)p失�。而針對(duì)安全性較差的VoIP組件的DoS攻擊則可能導(dǎo)致虛假語(yǔ)音服務(wù)請(qǐng)求,顯著降低網(wǎng)絡(luò)性能�����,甚至造成語(yǔ)音和數(shù)據(jù)通信的整體癱瘓�����。
VoIP在安全方面的另一大威脅主要來(lái)自于語(yǔ)音網(wǎng)關(guān)。語(yǔ)音網(wǎng)關(guān)被入侵后����,將會(huì)導(dǎo)致未經(jīng)授權(quán)的免費(fèi)呼叫���、用于非法目的呼叫竊聽(tīng)和惡意呼叫重定向等問(wèn)題���。
另外,某些VoIP漏洞還可被利用來(lái)對(duì)位于被稱(chēng)為DMZ非防護(hù)區(qū)中的服務(wù)器和主機(jī)發(fā)動(dòng)跳轉(zhuǎn)攻擊�。更為嚴(yán)重的是,這類(lèi)漏洞還可以作為攻擊內(nèi)部LAN關(guān)鍵性商業(yè)組件的跳板和入口���。
就總體來(lái)看�,可以將VoIP系統(tǒng)安全問(wèn)題劃分為兩大類(lèi)����,一類(lèi)是語(yǔ)音網(wǎng)絡(luò)架構(gòu)的安全,包括網(wǎng)絡(luò)內(nèi)用作IP PBX系統(tǒng)的服務(wù)器的安全���。另一類(lèi)是VoIP語(yǔ)音會(huì)話(huà)內(nèi)容的安全�。前者主要涉及VoIP運(yùn)營(yíng)商,而后者更多地針對(duì)VoIP用戶(hù)����。下面就讓我們從這兩個(gè)方面具體分析一下VoIP系統(tǒng)面臨的安全威脅。
用戶(hù)面臨安全威脅
大多數(shù)情況下����,黑客攻擊VoIP系統(tǒng)的動(dòng)機(jī)與攻擊傳統(tǒng)電話(huà)服務(wù)是基本類(lèi)似的,不外乎以下幾個(gè)方面:通過(guò)話(huà)費(fèi)欺詐�����、盜取身份認(rèn)證信息等手段獲取經(jīng)濟(jì)利益���,或者通過(guò)干擾或中斷用戶(hù)正常的VoIP語(yǔ)音通信服務(wù)進(jìn)行惡作劇�����。這類(lèi)攻擊曾在固定電話(huà)和移動(dòng)電話(huà)服務(wù)領(lǐng)域?qū)乙?jiàn)不鮮��。另外一些攻擊類(lèi)型則曾在計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域司空見(jiàn)慣�。從某種意義上來(lái)說(shuō)���,IP電話(huà)實(shí)質(zhì)上就是運(yùn)行VoIP應(yīng)用的計(jì)算機(jī)�,同樣擁有操作系統(tǒng)和文件系統(tǒng),使用IP協(xié)議���,運(yùn)行數(shù)據(jù)管理與語(yǔ)音應(yīng)用��。而某些基于PC的軟電話(huà)則干脆利用軟件將PC機(jī)變成一部IP電話(huà)��。在這種模式下,如若PC機(jī)感染了能夠偵聽(tīng)LAN流量的特洛伊木馬病毒�,語(yǔ)音呼叫就很容易被竊聽(tīng)。因此�����,這類(lèi)設(shè)備也同樣需要防范非法訪問(wèn)����、特權(quán)升級(jí)和系統(tǒng)失誤、病毒�,以及針對(duì)TCP、IP��、ICMP��、ARP等協(xié)議的DoS攻擊等����。
大體而言���,VoIP用戶(hù)面臨的安全威脅主要表現(xiàn)為以下四個(gè)方面:
一、語(yǔ)音流量被偵聽(tīng)
呼叫信令包在SIP服務(wù)器與SIP電話(huà)間交換時(shí)�,可能會(huì)導(dǎo)致VoIP用戶(hù)身份、PIN識(shí)別碼���、SIP電話(huà)號(hào)碼等身份認(rèn)證信息泄漏��,從而使攻擊者可以利用用戶(hù)的帳戶(hù)信息與密碼更改用戶(hù)的呼叫設(shè)置�����,這其中如更改用戶(hù)的呼叫計(jì)劃����、刪除用戶(hù)的語(yǔ)音郵件信息或改變呼叫轉(zhuǎn)移號(hào)碼等��。同時(shí)���,攻擊者還可以通過(guò)截取語(yǔ)音流量包的方式竊聽(tīng)用戶(hù)的語(yǔ)音會(huì)話(huà)�,從中竊取敏感商業(yè)信息或個(gè)人隱私信息等����。
二�、身份與話(huà)費(fèi)欺詐
竊取用戶(hù)帳戶(hù)與密碼信息后�����,攻擊者可能會(huì)冒用用戶(hù)身份進(jìn)行大量語(yǔ)音通話(huà)����,導(dǎo)致用戶(hù)蒙受高額話(huà)費(fèi)損失。同時(shí)�,攻擊者還能夠向特定終端發(fā)送SIP控制包��,將用戶(hù)當(dāng)前的語(yǔ)音呼叫重定位至不同的設(shè)備��,使用戶(hù)無(wú)法與呼叫目標(biāo)通話(huà)���。
三��、IP電話(huà)呼叫被篡改
目前�,大多數(shù)用戶(hù)的VoIP系統(tǒng)尚無(wú)可靠的信息或身份認(rèn)證機(jī)制���,在這種情況下�����,別有用心的攻擊者將能夠通過(guò)截取RTP包的方式篡改用戶(hù)的會(huì)話(huà)內(nèi)容���,并將篡改后的語(yǔ)音流量包發(fā)送至呼叫接收方����。
四���、DoS攻擊或病毒發(fā)作
如同針對(duì)TCP(SYN���、RST)的控制包攻擊一樣,黑客可以通過(guò)發(fā)起針對(duì)VOIP信令協(xié)議����、SIP的DoS攻擊,使VOIP設(shè)備被大量請(qǐng)求阻塞�����,導(dǎo)致語(yǔ)音呼叫服務(wù)中斷或處于虛假忙狀態(tài)���。與計(jì)算機(jī)設(shè)備一樣���,Volp設(shè)備感染病毒后也會(huì)出現(xiàn)系統(tǒng)性能顯著下降�����,甚至崩潰問(wèn)題�。
運(yùn)營(yíng)商的安全風(fēng)險(xiǎn)
除了傳統(tǒng)固定電話(huà)運(yùn)營(yíng)商和移動(dòng)電話(huà)運(yùn)營(yíng)商經(jīng)常遭遇的話(huà)費(fèi)欺詐��、系統(tǒng)認(rèn)證信息被盜取以及服務(wù)中斷等問(wèn)題外��,VoIP運(yùn)營(yíng)商面臨的安全威脅還包括眾多數(shù)據(jù)網(wǎng)絡(luò)遺傳下來(lái)的風(fēng)險(xiǎn)因素�。這其中如VoIP架構(gòu)中的呼叫管理系統(tǒng)、IP電話(huà)交換機(jī)�、路由器和語(yǔ)音網(wǎng)關(guān)等計(jì)算機(jī)網(wǎng)絡(luò)類(lèi)軟件與設(shè)備還面臨著非法接入、特權(quán)升級(jí)和系統(tǒng)濫用�����、病毒和DoS攻擊等�。而提供在線支付與服務(wù)規(guī)劃管理的運(yùn)營(yíng)商���,則還會(huì)面臨賬戶(hù)與數(shù)據(jù)庫(kù)系統(tǒng)的安全問(wèn)題�����。
Flood攻擊����、賬戶(hù)盜用、非法IP電話(huà)接入對(duì)于VoIP運(yùn)營(yíng)商而言都無(wú)異于一場(chǎng)噩夢(mèng)����,而且通常會(huì)引致與用戶(hù)在計(jì)費(fèi)方面的爭(zhēng)議,不但會(huì)使運(yùn)營(yíng)商蒙受損失�����,而且可能會(huì)導(dǎo)致客戶(hù)關(guān)系的惡化����。
VoIP運(yùn)營(yíng)商面臨的另一大安全威脅是在面臨災(zāi)難性事件時(shí),很難提供緊急電信服務(wù)�����。美國(guó)部分VoIP運(yùn)營(yíng)商明確表示不提供“911”等緊急呼叫服務(wù)����,另有部分VoIP運(yùn)營(yíng)商則推薦將VoIP作為唯一語(yǔ)音通信途徑的用戶(hù)保留一部移動(dòng)電話(huà)作為應(yīng)急之用�����。如在美國(guó)得克薩斯州���,就曾發(fā)生過(guò)一對(duì)老年夫婦遭遇入室搶劫時(shí),他們的女兒試圖通過(guò)家中的VoIP電話(huà)撥打911求救����,卻只能聽(tīng)到“這項(xiàng)服務(wù)尚未開(kāi)通的留言提示”的悲劇。
許多涉及SIP呼叫信令���、RTP語(yǔ)音信息傳遞和RTCP控制協(xié)議的安全漏洞既可以危及運(yùn)營(yíng)商���,也可以危及VoIP用戶(hù)。與IP電話(huà)一樣�����,VoIP呼叫服務(wù)器也同樣能夠被非授權(quán)呼叫控制包實(shí)施Flood攻擊���。攻擊者可以對(duì)VoIP運(yùn)營(yíng)商的基礎(chǔ)架構(gòu)與Internet協(xié)議發(fā)起全面攻擊,諸如語(yǔ)音郵件等VoIP應(yīng)用被攻擊后���,可能會(huì)導(dǎo)致合法用戶(hù)無(wú)法發(fā)送語(yǔ)音郵件信息�����。
幾種常見(jiàn)的VoIP部署模式示意
VoIP攻擊主要利用IP電話(huà)協(xié)議
VoIP安全 點(diǎn)擊之誰(shuí)動(dòng)了我的VoIP安全
文 飛天 云飛
在VoIP的情況下�,話(huà)音也是和數(shù)據(jù)應(yīng)用一樣,也是一個(gè)個(gè)的“包”���,同樣也將遭受各種病毒和黑客攻擊的困擾����。語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)的融合增加了網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)�����。對(duì)于數(shù)據(jù)網(wǎng)絡(luò)的攻擊手段都會(huì)出現(xiàn)在語(yǔ)音和數(shù)據(jù)融合的網(wǎng)絡(luò)中��,例如拒絕服務(wù)攻擊等�。Avaya公司的一位安全顧問(wèn)表示:“一旦進(jìn)入VoIP時(shí)代,那么當(dāng)前數(shù)據(jù)網(wǎng)絡(luò)所存在的安全隱患將全部轉(zhuǎn)移到互聯(lián)網(wǎng)通話(huà)中����!睂(duì)于IP網(wǎng)絡(luò)安全可靠性能的懷疑制約了IP電話(huà)的發(fā)展����。
普遍認(rèn)為��,影響VoIP安全性的主要因素有以下幾條:(1)產(chǎn)品本身���。目前VoIP技術(shù)最常用的話(huà)音建立和控制信令是H.323和SIP協(xié)議,總體上都是開(kāi)放的協(xié)議體系����。而開(kāi)放的體系就容易受到病毒和惡意攻擊的影響。(2)基于開(kāi)放端口的DoS(拒絕服務(wù))攻擊�����。攻擊者向服務(wù)器發(fā)送相當(dāng)多數(shù)量的帶有虛假地址的服務(wù)請(qǐng)求�����,但因?yàn)樗幕貜?fù)地址是虛假的����,服務(wù)器將等不到回傳的消息,直至所有的資源被耗盡��。VoIP已有很多知名的端口�,像1719、5060等���。最近NISCC(UK
National Infrastructure Security Co-ordi-nation Center)報(bào)道的一個(gè)VoIP的安全漏洞:“市場(chǎng)上很多采用H.323協(xié)議的VoIP系統(tǒng)在H.245建立過(guò)程中都存在漏洞�����,容易在1720端口上受到DoS的攻擊����,導(dǎo)致從而系統(tǒng)的不穩(wěn)定甚至癱瘓”�����。(3)服務(wù)竊取��。雖然IP話(huà)機(jī)不能通過(guò)并線的方式撥打電話(huà)�,但通過(guò)竊取使用者IP電話(huà)的登錄密碼同樣能夠獲得話(huà)機(jī)的權(quán)限。這就如同在一根普通模擬話(huà)機(jī)線上又并接了一個(gè)電話(huà)一樣�����。(4)流媒體的偵聽(tīng)����。一個(gè)典型的VoIP呼叫需要信令和流媒體兩個(gè)建立的步驟����,RTP/RTCP是在基于包的網(wǎng)絡(luò)上傳輸?shù)葧r(shí)話(huà)音信息的協(xié)議����。由于協(xié)議本身是開(kāi)放的,即使是一小段的流媒體都可以被重放出來(lái)而不需要前后信息的關(guān)聯(lián)�。如果有人在數(shù)據(jù)網(wǎng)絡(luò)上通過(guò)Sniffer的方式記錄所有信息并通過(guò)軟件加以重放,會(huì)引起員工對(duì)話(huà)音通信的信任危機(jī)����。
為了保證IP電話(huà)的安全性,最合適的辦法是采用IPSec方式來(lái)加密����。IPSec允許IP包用ESP(Encapsulated Security
Payload)方式來(lái)加密,在IP包頭增加了AH(Authentication Header)頭來(lái)驗(yàn)證數(shù)據(jù)包的完整性���。從最大程度上抵御來(lái)自網(wǎng)絡(luò)的攻擊����,尤其對(duì)于語(yǔ)音�����、數(shù)據(jù)和視頻環(huán)境來(lái)說(shuō)更合適。但僅為了IP電話(huà)的安全來(lái)建立IPSec的架構(gòu)是不經(jīng)濟(jì)的����,系統(tǒng)過(guò)于復(fù)雜��,成本也過(guò)高�����。
當(dāng)然�,為了確保VoIP系統(tǒng)的安全,各種安全解決方案固然不可或缺�����,但僅僅依靠這類(lèi)方案還是不夠的���,還需要從以下幾個(gè)方面加以關(guān)注:
一��、慎重選擇VoIP協(xié)議����。當(dāng)前,冠以“VoIP”的協(xié)議有多種��,每種VoIP協(xié)議都各有其優(yōu)缺點(diǎn)����,使用安全性能更好的協(xié)議有助于消除額外的風(fēng)險(xiǎn)和攻擊因素。
二�����、停用不必要的協(xié)議�。在現(xiàn)有的各種協(xié)議中,有大量尚未被發(fā)現(xiàn)的安全漏洞��。因此����,為了減少被攻擊的機(jī)率,應(yīng)盡量不要啟用不必要和未用過(guò)的協(xié)議與服務(wù)
三����、周密考慮VoIP組件遭遇攻擊的可能性。包括IP電話(huà)和終端在內(nèi)的VoIP組件都是運(yùn)行于硬件平臺(tái)之上的軟件系統(tǒng)���,因此VoIP基礎(chǔ)架構(gòu)中的每一組件都如同計(jì)算機(jī)一樣可以被訪問(wèn)����,因而都有遭受攻擊的可能。
四��、將VoIP與其它IP架構(gòu)分而治之���。將VoIP與其它IP架構(gòu)進(jìn)行物理或邏輯隔離���、分別進(jìn)行管理是增強(qiáng)VoIP系統(tǒng)安全的一種有效措施���。
五����、對(duì)遠(yuǎn)程操作進(jìn)行認(rèn)證�����。VoIP終端可以進(jìn)行遠(yuǎn)程升級(jí)和管理�����,要確保這類(lèi)操作只能基于合法用戶(hù)和合法地址�,并部署一個(gè)能夠進(jìn)行服務(wù)管理的遠(yuǎn)程系統(tǒng)。
六、將VoIP服務(wù)器與內(nèi)部網(wǎng)絡(luò)隔離�����。部分安全設(shè)備不能完全識(shí)別VoIP信令命令�,因此,它們可能會(huì)打開(kāi)動(dòng)態(tài)通信端口���,使網(wǎng)絡(luò)遭受跳轉(zhuǎn)攻擊的威脅�,并可能使攻擊者入侵內(nèi)部LAN中的其他核心業(yè)務(wù)組件��。
七��、確保VoIP安全系統(tǒng)能夠?qū)νㄐ哦丝谶M(jìn)行跟蹤����。
八、使用NAT(Network Address Translation)網(wǎng)絡(luò)地址翻譯�����。NAT網(wǎng)絡(luò)地址翻譯可將內(nèi)部IP地址轉(zhuǎn)換為能夠?qū)崿F(xiàn)Internet路由的全球唯一IP地址���,并能夠?qū)崿F(xiàn)內(nèi)部IP地址的隱藏��。
九�、使用可對(duì)VoIP進(jìn)行安全檢查的解決方案。用于VoIP系統(tǒng)的安全解決方案應(yīng)能夠?qū)oIP流內(nèi)部進(jìn)行檢查����,分析呼叫狀態(tài)并檢查服務(wù)內(nèi)容,確保所有參數(shù)的一致性和有效性���。
VoIP安全 點(diǎn)擊之無(wú)線VoIP:明日安全挑戰(zhàn)
文 馬云飛
當(dāng)前���,基于無(wú)線LAN的移動(dòng)數(shù)據(jù)應(yīng)用在企業(yè)領(lǐng)域得到了很大成功,許多企業(yè)用戶(hù)逐漸意識(shí)到了WLAN在提高工作效率方面的巨大作用���,并相繼著手開(kāi)始部署更多WLAN應(yīng)用,其中�,基于無(wú)線LAN的語(yǔ)音服務(wù)—VoWLAN(Voice
over WLAN)就是其中最重要的應(yīng)用之一。InStat/MDR調(diào)研公司的一項(xiàng)針對(duì)358家WLAN商業(yè)用戶(hù)的調(diào)查顯示��,有半數(shù)以上的用戶(hù)正著手或計(jì)劃為其現(xiàn)有WLAN網(wǎng)絡(luò)增加VoWLAN服務(wù)����。
但如同WLAN應(yīng)用的安全問(wèn)題曾在業(yè)界備受關(guān)注一樣,在現(xiàn)行WLAN網(wǎng)絡(luò)中引入VoIP服務(wù)��,也同樣面臨著比常規(guī)VoIP服務(wù)更多的安全挑戰(zhàn)。
VoWLAN系統(tǒng)的安全也主要體現(xiàn)在兩個(gè)方面�����,即語(yǔ)音呼叫的安全性和系統(tǒng)防御DoS攻擊的能力�����。為此�����,必須確保無(wú)線LAN內(nèi)身份驗(yàn)證與包流量的安全性�����。同時(shí)�����,在WLAN內(nèi)���,語(yǔ)音流量還必須確保與其它流量類(lèi)型分離��,并對(duì)訪問(wèn)網(wǎng)絡(luò)主干的語(yǔ)音設(shè)備進(jìn)行嚴(yán)格限制�,以確保語(yǔ)音流量只能到達(dá)諸如VoIP網(wǎng)關(guān)等特定目的地,避免黑客利用VoWLAN應(yīng)用入侵企業(yè)數(shù)據(jù)資源����。
在目前WLAN采用的各種加密機(jī)制中,由于WPA等基于可變密鑰的加密模式在不同接入點(diǎn)之間需要重新建立安全會(huì)話(huà)��,會(huì)出現(xiàn)明顯延遲�����,導(dǎo)致出現(xiàn)語(yǔ)音呼叫中斷���,因而不能適應(yīng)語(yǔ)音應(yīng)用的需要�。
而WEP(wired equivalent privacy) 有線等效私密協(xié)議主要依賴(lài)于預(yù)先存儲(chǔ)于各個(gè)接入點(diǎn)的靜態(tài)密鑰實(shí)現(xiàn)數(shù)據(jù)加密�。這種加密模式雖可以較好地解決會(huì)話(huà)延遲問(wèn)題,但由于WEP協(xié)議用于數(shù)據(jù)流量的底層密鑰易被破解����,因而對(duì)于企業(yè)應(yīng)用而言�,WEP協(xié)議的安全性是不夠的。而且由于WEP是一種靜態(tài)加密協(xié)議��,因此�,在更換密鑰時(shí)�����,每一接入點(diǎn)的密鑰都需要相應(yīng)進(jìn)行更改�����。
為了解決安全性與語(yǔ)音應(yīng)用性能之間的矛盾����,業(yè)內(nèi)又研發(fā)了新的802.11i標(biāo)準(zhǔn)����。這一標(biāo)準(zhǔn)是基于MAC層的安全標(biāo)準(zhǔn),可提供包流量與身份驗(yàn)證的安全性�。其中的身份驗(yàn)證功能主要源自802.1x協(xié)議。802.1x協(xié)議并不提供密碼認(rèn)證�����,而是提供架構(gòu)認(rèn)證�、以及提供基于擴(kuò)展身份認(rèn)證協(xié)議的密鑰管理功能,這一協(xié)議可使網(wǎng)絡(luò)中的服務(wù)器為每一WLAN客戶(hù)端提供動(dòng)態(tài)密鑰��。
由于802.11i標(biāo)準(zhǔn)支持的密碼與身份認(rèn)證提供了一個(gè)用于WLAN保護(hù)的層�,因而也在一定程度上增加了語(yǔ)音流量的復(fù)雜性�����。如基于服務(wù)器的身份認(rèn)證將會(huì)增加建立語(yǔ)音呼叫的延遲�,而基于WEP���、WPA或AES的密碼驗(yàn)證則增加了包括語(yǔ)音流量在內(nèi)的所有包的延遲���。因此,為了最大限度地減少VoWLAN系統(tǒng)的延遲時(shí)間����,最好的解決方案是將身份與密碼認(rèn)證集成到硬件中。
VoIP安全 點(diǎn)擊之VoIP安全方案:誰(shuí)比誰(shuí)差多少
文 馬云飛 王艷寧
由于受到諸多現(xiàn)實(shí)問(wèn)題的掣肘�����,與面向單純的數(shù)據(jù)網(wǎng)絡(luò)或PSTN網(wǎng)絡(luò)的安全解決方案相比����,VoIP安全解決方案的研發(fā)面臨著更大的挑戰(zhàn),不僅要實(shí)現(xiàn)安全性能與服務(wù)性能的最佳平衡��,還要兼顧到執(zhí)法部門(mén)的監(jiān)管問(wèn)題����。同時(shí),由于VoIP安全解決方案產(chǎn)品市場(chǎng)起步不久��,不夠成熟���,尚缺乏有影響的專(zhuān)業(yè)VoIP安全解決方案供應(yīng)商�。目前市場(chǎng)上的VoIP安全解決方案大多出自思科��、Avaya等數(shù)據(jù)網(wǎng)絡(luò)設(shè)備供應(yīng)商以及SonicWALL等少數(shù)專(zhuān)業(yè)安全廠商之手����,產(chǎn)品類(lèi)型也相對(duì)有限,這些解決方案各有其優(yōu)缺點(diǎn)�����,用戶(hù)可以根據(jù)自己的安全需求酌情選擇��。
幾類(lèi)VoIP安全解決方案優(yōu)缺點(diǎn)概覽
解決方案類(lèi)型 優(yōu)點(diǎn) 缺點(diǎn)
無(wú)防火墻(或無(wú)針對(duì) 不影響IP語(yǔ)音應(yīng)用 1����、網(wǎng)絡(luò)安全無(wú)保障。2、終端需要公共
VoIP應(yīng)用的防火墻) 性能�����。 IP地址�����。3�、終端可隨意訪問(wèn)。
可繞過(guò)防火墻的網(wǎng)絡(luò) 無(wú)需更動(dòng)或升級(jí)防 開(kāi)放端口安全無(wú)保障���,VoIP設(shè)備仍不
地址轉(zhuǎn)換解決方案 火墻����。 安全�����。不支持對(duì)稱(chēng)性NAT[IETFTURN]���。
(如STUN [IETF-STUN]) 僅支持UDP��,不支持H.323或SIP�����?赡
不支持RTCP。
會(huì)話(huà)邊界控制 無(wú)需更動(dòng)或升級(jí)防 應(yīng)用有限制�����。主要面向服務(wù)供應(yīng)商�。
火墻。 需要進(jìn)行額外的管理�����。每一網(wǎng)絡(luò)都
需要安裝客戶(hù)端軟件�,可能會(huì)成為
VoIP應(yīng)用瓶頸。由于采用集中控制模
式��,VoIP安全主要由運(yùn)營(yíng)商而非用戶(hù)
自行控制����。
完全VoIP代理 無(wú)需更動(dòng)或升級(jí)防 代理仍易受攻擊。每一種VoIP協(xié)議需
火墻���。 要獨(dú)立代理�。代理需置于防火墻之后。
需要成對(duì)部署以增強(qiáng)可靠性��。增加了
延遲����,可能會(huì)成為系統(tǒng)瓶頸。
SonicWALL狀態(tài)數(shù)據(jù) 易于使用-‘即插 前三代防火墻不支持
包變換 即保護(hù)’(plug and
protect)技術(shù)�����;不需
要額外的設(shè)備-利
用現(xiàn)有的第四代
SonicWALL防火墻��;
支持多種VoIP協(xié)議
VoIP安全 點(diǎn)擊之OKI應(yīng)對(duì)VoIP安全
文 本報(bào)記者 飛天 洪飛
VoIP安全問(wèn)題一直是業(yè)界十分關(guān)注的話(huà)題��,而且也是一個(gè)逃避不開(kāi)的關(guān)鍵問(wèn)題��。針對(duì)VoIP的安全���,沖電氣軟件技術(shù)(江蘇)有限公司上海分公司總經(jīng)理池上晶子指出����,從總體上看���,VoIP安全問(wèn)題主要還是由VoIP的互操作性��、兼容性問(wèn)題以及VoIP網(wǎng)絡(luò)本身的安全性問(wèn)題所造成的�����。
所謂的兼容性問(wèn)題主要是現(xiàn)在的眾多廠商采用不同的標(biāo)準(zhǔn)協(xié)議而不兼容����,而目前許多供應(yīng)商的H.323v1-4兼容性只是紙面上的兼容�,需要進(jìn)一步努力才能保證系統(tǒng)完全互操作。
另外���,VoIP網(wǎng)絡(luò)還具有開(kāi)放性以及IP分組網(wǎng)本身的脆弱性�����。針對(duì)脆弱的VoIP組件����,DoS攻擊會(huì)用虛假的語(yǔ)音通信擁塞網(wǎng)絡(luò)����,從而降低網(wǎng)絡(luò)性能或者直接導(dǎo)致語(yǔ)音和數(shù)據(jù)通信的中止。此外�����,如果PC感染了截獲LAN通信包的特洛伊木馬病毒,基于PC的Softphone就會(huì)非常容易遭到竊聽(tīng)�,所以從某種程度上說(shuō),VoIP也正在使語(yǔ)音通信面臨與數(shù)據(jù)通信一樣的安全威脅����。
VoIP設(shè)備是一種網(wǎng)絡(luò)設(shè)備,設(shè)備的操作系統(tǒng)安全情況當(dāng)然也直接會(huì)影響到整個(gè)VoIP系統(tǒng)的安全��。在目前的VoIP發(fā)展中���,大多數(shù)用戶(hù)和廠商考慮最多的是如何改善話(huà)音質(zhì)量以及如何同現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)的融合��,而較少考慮到VoIP的安全��。
針對(duì)市場(chǎng)的現(xiàn)狀���,OKI在其推出的最新IP呼叫中心產(chǎn)品CTstage和VoIP領(lǐng)域的產(chǎn)品IVG中,都采用了SIP協(xié)議�����,SIP協(xié)議廣泛的兼容性決定了其具有很好的互操作性��。針對(duì)病毒攻擊與人為攻擊這兩種情況,OKI目前主要采取了以下措施:
針對(duì)病毒攻擊,OKI產(chǎn)品具備了Email病毒檢測(cè)功能���,可以實(shí)時(shí)進(jìn)行檢測(cè)����,一旦發(fā)現(xiàn)情況���,立刻以Email的方式報(bào)告信息�����,還可以根據(jù)客戶(hù)需要配備不同安全級(jí)別的防火墻,并且定期通過(guò)服務(wù)器進(jìn)行更新���,把病毒感染的機(jī)會(huì)降到了最低�。
針對(duì)人為攻擊, OKI的產(chǎn)品通過(guò)設(shè)置了兩級(jí)訪問(wèn)密碼(普通用戶(hù)及超級(jí)用戶(hù)級(jí))等方式,加強(qiáng)訪問(wèn)權(quán)限控制�����,減少系統(tǒng)信息的外泄, 增加系統(tǒng)安全性�。
但是,不管怎樣說(shuō)���,VoIP的安全問(wèn)題對(duì)通信界來(lái)說(shuō)還是一個(gè)值得繼續(xù)研究開(kāi)發(fā)的課題�����,OKI也正在為之持續(xù)努力���。
VoIP安全 點(diǎn)擊之Juniper解決VoIP安全之道
文 本報(bào)記者 陳翔 飛天
隨著VoIP繼續(xù)從小眾市場(chǎng)向主流市場(chǎng)發(fā)展���,黑客攻擊VoIP設(shè)施可能存在的漏洞只是一個(gè)時(shí)間問(wèn)題。因?yàn)閂oIP是建立在IP協(xié)議的基礎(chǔ)上����,而且它有時(shí)要路由公共互聯(lián),所以自然就和使用同一媒介的傳統(tǒng)數(shù)據(jù)通信一樣具有安全風(fēng)險(xiǎn)�。
在清楚了解VoIP網(wǎng)絡(luò)構(gòu)成之后,Juniper網(wǎng)絡(luò)公司用分層式防御策略來(lái)保護(hù)核心�、外圍和客戶(hù)端設(shè)備。分層防御主要圍繞三個(gè)因素進(jìn)行:對(duì)訪問(wèn)網(wǎng)絡(luò)者進(jìn)行認(rèn)證授權(quán)��;控制機(jī)制�����;和保護(hù)各個(gè)組件的技術(shù)����。前兩個(gè)目標(biāo)可以通過(guò)正式的安全審核達(dá)到��,在審核中我們識(shí)別相關(guān)操作人員�,并定義安全特權(quán)來(lái)執(zhí)行特定任務(wù)�。
第三項(xiàng)任務(wù),也就是保護(hù)一個(gè)由應(yīng)用服務(wù)器和設(shè)備組成的核心網(wǎng)絡(luò)�,則與保護(hù)一個(gè)內(nèi)部局域網(wǎng)(LAN)類(lèi)似。由于網(wǎng)絡(luò)是基于IP的����,它很容易遭遇所有已知的IP攻擊風(fēng)險(xiǎn),例如�����,OS弱點(diǎn)�、DoS/DDoS或其他任何攻擊類(lèi)型��。
另外����,企業(yè)還應(yīng)考慮部署一個(gè)入侵檢測(cè)和防御系統(tǒng)(IDP/IPS)以監(jiān)控應(yīng)用流量。IDP與防火墻不同���,它能檢測(cè)至第7層的數(shù)據(jù)包流量�。為管理員和Web服務(wù)器提供了Web界面的VoIP應(yīng)用是蠕蟲(chóng)經(jīng)常攻擊的一個(gè)目標(biāo)。IDP可以通過(guò)丟棄從網(wǎng)絡(luò)來(lái)的數(shù)據(jù)包��,利用不同的方法檢測(cè)攻擊�����,阻止惡意流量到達(dá)Web服務(wù)器�����。
外圍層也常有各種網(wǎng)關(guān)設(shè)施���。通常服務(wù)器會(huì)提供用戶(hù)注冊(cè)���,識(shí)別VoIP進(jìn)入流量,并將呼叫轉(zhuǎn)移至目標(biāo)地址���。
和保護(hù)其他IP網(wǎng)絡(luò)一樣��,Juniper網(wǎng)絡(luò)公司在VoIP安全方面也是從最佳安全實(shí)踐著手����。首先,必須清楚地知道所有的組件�,包括服務(wù)器、IP協(xié)議�、進(jìn)程和用戶(hù)。然后���,利用風(fēng)險(xiǎn)分析模型識(shí)別可能具有的風(fēng)險(xiǎn)�����。最后�,選擇合適的技術(shù)或方法減輕風(fēng)險(xiǎn)�����。
賽迪網(wǎng)
中國(guó)信息化(industry.ccidnet.com)
相關(guān)鏈接: