深度檢測(cè)防火墻:VOIP網(wǎng)絡(luò)安全的基石
陸耀光 2005/06/03
SonicWALL大中華區(qū)銷(xiāo)售總經(jīng)理
陸耀光加入SonicWALL已有4年時(shí)間�����。作為大中華區(qū)銷(xiāo)售總經(jīng)理�����,陸耀光負(fù)責(zé)本地區(qū)的總體業(yè)務(wù)開(kāi)發(fā)工作���,包括制定銷(xiāo)售和市場(chǎng)戰(zhàn)略以及管理技術(shù)團(tuán)隊(duì)�。陸耀光成功地將SonicWALL在本地區(qū)的業(yè)務(wù)發(fā)展到數(shù)百萬(wàn)美元�,同時(shí)在中國(guó)樹(shù)立起SonicWALL的品牌形象。
加入SonicWALL之前����,陸耀光擔(dān)任朗訊科技公司的地區(qū)銷(xiāo)售經(jīng)理��,負(fù)責(zé)企業(yè)市場(chǎng)數(shù)據(jù)網(wǎng)絡(luò)銷(xiāo)售工作�。在朗訊之前��,陸耀光擔(dān)任3Com公司的銷(xiāo)售經(jīng)理����。陸耀光在IT行業(yè)有10多年的銷(xiāo)售和市場(chǎng)經(jīng)驗(yàn),特別專(zhuān)注于數(shù)據(jù)網(wǎng)絡(luò)和數(shù)據(jù)安全技術(shù)�����。
陸耀光畢業(yè)于香港理工大學(xué)�,獲得電子工程學(xué)位。
摘要:本文討論了與安全VoIP網(wǎng)絡(luò)部署相關(guān)的問(wèn)題和復(fù)雜性���,然后詳細(xì)介紹了SonicWALL公司的完全VoIP解決方案�。
內(nèi)容
- 與VoIP和網(wǎng)絡(luò)安全性相關(guān)的問(wèn)題
- 現(xiàn)有VoIP安全性解決方案
摘要
對(duì)于希望通過(guò)采用網(wǎng)絡(luò)電話(VoIP)技術(shù)來(lái)降低通信成本的企業(yè)來(lái)說(shuō)�,語(yǔ)音和數(shù)據(jù)融合的網(wǎng)絡(luò)相關(guān)的安全風(fēng)險(xiǎn)不容忽視。通話費(fèi)用的降低�����、集中管理和快速部署等好處顯而易見(jiàn),因此VoIP安全性和網(wǎng)絡(luò)完整性方面的問(wèn)題經(jīng)常被忽略�����。
在VoIP網(wǎng)絡(luò)中����,有大量的目標(biāo)會(huì)受到潛在的威脅��,呼叫服務(wù)器以及相應(yīng)的操作系統(tǒng)�����、VoIP電話及軟件����,甚至VoIP電話呼叫本身都容易受到攻擊。
本文討論了與安全VoIP網(wǎng)絡(luò)部署相關(guān)的問(wèn)題和復(fù)雜性��,然后詳細(xì)介紹了SonicWALL公司的完全VoIP解決方案��,特別是SonicWALL創(chuàng)新的狀態(tài)數(shù)據(jù)包變換技術(shù)���。
與VoIP和網(wǎng)絡(luò)安全性相關(guān)的問(wèn)題
在VoIP網(wǎng)絡(luò)中����,防火墻*的傳統(tǒng)角色正在發(fā)生本質(zhì)上的變革。過(guò)去�,防火墻在VoIP環(huán)境中不影響VoIP的使用就可以了。因?yàn)閂oIP要求因特網(wǎng)上基于IP的資源是可預(yù)測(cè)的�、靜態(tài)可用的,但防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能給VoIP網(wǎng)絡(luò)帶來(lái)了障礙�����。通過(guò)“pin-holing”和其它技術(shù)����,安全供應(yīng)商已經(jīng)找到了適應(yīng)VoIP基礎(chǔ)設(shè)施、保證互操作的方法�。
然而,隨著網(wǎng)絡(luò)威脅越來(lái)越復(fù)雜���,防火墻在VoIP環(huán)境中的角色也從“保證通暢”演化為全面支持和保護(hù)整個(gè)基礎(chǔ)設(shè)施�����。從IP電話���、軟電話和無(wú)線通信設(shè)備等最終用戶終端��,到H.323關(guān)守和SIP代理服務(wù)器等基礎(chǔ)設(shè)施設(shè)備����,企業(yè)范圍的VoIP部署涉及范圍越來(lái)越寬�。簡(jiǎn)單拒絕服務(wù)(DoS)攻擊的目的是影響IP語(yǔ)音基礎(chǔ)設(shè)施的可用性,而全面的應(yīng)用層攻擊則主要針對(duì)VoIP協(xié)議本身������?傊�����,威脅的確存在����,并且在不斷增長(zhǎng)。
對(duì)于成功的VoIP實(shí)施���,有三個(gè)關(guān)鍵因素必須考慮:
- VoIP安全性
- VoIP網(wǎng)絡(luò)互操作性和協(xié)議支持
- VoIP供應(yīng)商互操作性
下面的章節(jié)討論了這幾個(gè)方面����。
*在本文中,“防火墻”一詞用來(lái)指任何為VoIP網(wǎng)絡(luò)提供外圍安全功能的安全設(shè)備����。實(shí)際上,現(xiàn)代安全設(shè)備已經(jīng)超過(guò)了狀態(tài)檢查防火墻���,采用深度數(shù)據(jù)包檢測(cè)技術(shù)大大增強(qiáng)了安全能力�����。
VoIP安全性
VoIP安全性包括許多方面���,但對(duì)于任何部署都必須考慮的主要因素包括接入、可用性和實(shí)現(xiàn)�����。
接入
VoIP呼叫容易受到會(huì)話劫持和中間人攻擊��。沒(méi)有適當(dāng)?shù)陌踩胧����,攻擊者可以截取VoIP呼叫并修改呼叫參數(shù)/地址。這就為電話欺騙��、身份竊取、呼叫重定向和其它攻擊打開(kāi)了大門(mén)�。
即使不修改VoIP數(shù)據(jù)包,攻擊者也可以竊聽(tīng)到通過(guò)VoIP網(wǎng)絡(luò)傳輸?shù)碾娫捊徽�。如果VoIP數(shù)據(jù)包無(wú)保護(hù)地通過(guò)因特網(wǎng)傳輸,攻擊者就有機(jī)會(huì)獲得所包含的信息�����。
對(duì)于標(biāo)準(zhǔn)的公共交換電話網(wǎng)絡(luò)(PSTN)連接�����,截取對(duì)話需要物理上接觸電話線或者小型交換機(jī)(PBX)�����。但對(duì)于通常是通過(guò)公共因特網(wǎng)和TCP/IP協(xié)議傳輸?shù)脑捯?數(shù)據(jù)網(wǎng)絡(luò)來(lái)說(shuō)��,并沒(méi)有提供類(lèi)似電話線的“物理線路”安全性��。通過(guò)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施的某些部分(如VoIP網(wǎng)關(guān)的出入口)訪問(wèn)和監(jiān)視網(wǎng)絡(luò)業(yè)務(wù)流��,攻擊者可以獲取并重組VoIP數(shù)據(jù)包���。利用公開(kāi)可以獲得的工具�,如Vomit(http://vomit.xtdnet.nl)�����,可以將這些數(shù)據(jù)包轉(zhuǎn)換為.wav文件��,這樣攻擊者就可以竊聽(tīng)��,甚至錄制并重放通話內(nèi)容�。
可用性
VoIP網(wǎng)絡(luò)的可用性也是一個(gè)重要問(wèn)題。PSTN網(wǎng)絡(luò)的可用性達(dá)到99.999% - 攻擊者要想影響其可用性必須物理上訪問(wèn)電話交換機(jī)或切斷電話線����。然而,對(duì)于沒(méi)有保護(hù)的VoIP網(wǎng)絡(luò)��,針對(duì)關(guān)鍵點(diǎn)的簡(jiǎn)單拒絕服務(wù)(DoS)攻擊就可以削弱或者中斷話音和數(shù)據(jù)通信��。
VoIP網(wǎng)絡(luò)對(duì)于DoS攻擊特別敏感��,例如:
- 畸形請(qǐng)求DoS - 可以利用精心編制的協(xié)議請(qǐng)求來(lái)利用已知的漏洞�����,從而導(dǎo)致服務(wù)部分或全部中斷���������?梢岳眠@種方法導(dǎo)致目標(biāo)崩潰���,也可以用來(lái)控制目標(biāo)。
- 針對(duì)媒體的DoS - VoIP媒體由實(shí)時(shí)協(xié)議(RTP)數(shù)據(jù)包承載��,因此容易受到攻擊����。例如,網(wǎng)絡(luò)阻塞型攻擊���,或者是削弱或破壞終端設(shè)備(電話或網(wǎng)關(guān))實(shí)時(shí)處理數(shù)據(jù)包的能力���。
如果攻擊者能夠訪問(wèn)網(wǎng)絡(luò)中媒體傳輸經(jīng)過(guò)的部分���,那么只需要簡(jiǎn)單地注入大量媒體數(shù)據(jù)包或者高服務(wù)質(zhì)量(QoS)優(yōu)先級(jí)的數(shù)據(jù)包就可以擾亂合法媒體數(shù)據(jù)包的傳輸�。
- 基于負(fù)載的DoS - DoS攻擊并不一定需要利用畸形數(shù)據(jù)包才能達(dá)到目的�����。向目標(biāo)發(fā)送大量合法請(qǐng)求很容易就會(huì)使設(shè)計(jì)不好的系統(tǒng)癱瘓。
甚至不需要發(fā)送實(shí)際的VoIP請(qǐng)求�����,利用TCP SYN Flood這樣的DoS攻擊就可以使設(shè)備在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)無(wú)法接收呼叫��。
實(shí)現(xiàn)問(wèn)題
VoIP涉及大量標(biāo)準(zhǔn)�����,如會(huì)話初始化協(xié)議(SIP)�����、H.323��、媒體網(wǎng)關(guān)控制協(xié)議(MGCP)和H.248����。這些復(fù)雜的標(biāo)準(zhǔn)會(huì)由于軟件實(shí)現(xiàn)中的缺陷或錯(cuò)誤而留下漏洞。對(duì)于PSTN��,電話是簡(jiǎn)單的“啞終端”-
所有邏輯和智能都在PBX中����。對(duì)于攻擊者來(lái)說(shuō)�,破壞PSTN網(wǎng)絡(luò)的訪問(wèn)可以使用的手段并不多�����。
然而對(duì)于VoIP���,目前影響操作系統(tǒng)和應(yīng)用的錯(cuò)誤�����、缺陷和漏洞也同樣適用于VoIP設(shè)備��。不要忘記���,目前許多VoIP呼叫服務(wù)器和網(wǎng)關(guān)設(shè)備都使用了脆弱的Windows和Linux操作系統(tǒng)�?纯从嘘P(guān)H.323[CERT-H.323]或SIP[CERT
- SIP]的CERT建議就可以了解已經(jīng)發(fā)現(xiàn)如此大量的漏洞以及受到影響的十多家供應(yīng)商的名單。
VoIP網(wǎng)絡(luò)互操作性和協(xié)議支持
VoIP比基于TCP/UDP的標(biāo)準(zhǔn)應(yīng)用更為復(fù)雜���。由于VoIP信令和協(xié)議的復(fù)雜性,而且當(dāng)防火墻利用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)修改源地址和源端口信息時(shí)引入的不一致性��,因此VoIP有效地通過(guò)防火墻比較困難。原因有幾個(gè)���。
- VoIP工作時(shí)采用兩組協(xié)議 - 信令(在客戶和VoIP服務(wù)器)和媒體(客戶間)����。每個(gè)對(duì)話中媒體協(xié)議(RTP/RTCP)所使用的端口/IP地址是由信令協(xié)議動(dòng)態(tài)協(xié)商的���。防火墻需要?jiǎng)討B(tài)跟蹤和維護(hù)這一信息��,在適當(dāng)?shù)臅r(shí)候?yàn)闀?huì)話安全地打開(kāi)所選擇的端口并適時(shí)關(guān)閉它們�����。
- 多個(gè)媒體端口通過(guò)信令會(huì)話動(dòng)態(tài)協(xié)商;媒體端口的協(xié)商內(nèi)容包含在信令協(xié)議的凈荷中(IP地址和端口信息)����。防火墻需要深入檢測(cè)每個(gè)數(shù)據(jù)包來(lái)獲得所需要的信息并動(dòng)態(tài)維持會(huì)話�����,因此需要防火墻具備額外的處理能力�����。
- 源和目標(biāo)IP地址嵌入在VoIP信令數(shù)據(jù)包中。支持NAT的防火墻對(duì)數(shù)據(jù)包在IP頭一級(jí)進(jìn)行IP地址和端口轉(zhuǎn)換���。更為不利的是��,全對(duì)稱NAT防火墻經(jīng)常調(diào)整其N(xiāo)AT綁定���,而且為了保護(hù)內(nèi)部網(wǎng)絡(luò),可能會(huì)隨時(shí)關(guān)閉允許外部數(shù)據(jù)包進(jìn)入的針孔通道�,從而使得服務(wù)供應(yīng)商無(wú)法向內(nèi)部網(wǎng)絡(luò)的客戶發(fā)送呼叫請(qǐng)求。
- 為有效地支持VoIP��,NAT防火墻需要在數(shù)據(jù)包通過(guò)防火墻時(shí)進(jìn)行深度數(shù)據(jù)包檢測(cè)并轉(zhuǎn)換嵌入的IP地址和端口信息����。
- 防火墻還必須能夠處理由不同VoIP系統(tǒng)所使用的不同消息格式組成的信令協(xié)議組。實(shí)際上�����,兩家供應(yīng)商采用了同樣的協(xié)議組并不意味著他們之間就可以互操作����。
VoIP供應(yīng)商互操作性
有些VoIP供應(yīng)商的產(chǎn)品所實(shí)現(xiàn)的協(xié)議與基于RFC的標(biāo)準(zhǔn)VoIP協(xié)議有少量不同���,并不是所有都完全符合或兼容標(biāo)準(zhǔn)��。而且����,有些供應(yīng)商采用了所謂“標(biāo)準(zhǔn)兼容的”專(zhuān)用VoIP協(xié)議。由于這一原因�,防火墻能夠與盡量廣泛的VoIP終端設(shè)備和呼叫服務(wù)器實(shí)現(xiàn)互操作就非常重要。
最后�����,每家供應(yīng)商都應(yīng)當(dāng)保證與其它供應(yīng)商的設(shè)備是兼容的�。SonicWALL在這方面投入了大量的時(shí)間和精力。SonicWALL設(shè)備可互操作的部分設(shè)備名單在本文檔后面列出��。
現(xiàn)有VoIP安全性解決方案
目前有多種針對(duì)VoIP基礎(chǔ)設(shè)施安全保障方法�。下表簡(jiǎn)要概述了主要的方法。
SonicWALL解決方法
SonicWALL公司的完全VoIP解決方案為VoIP基礎(chǔ)設(shè)施提供了無(wú)與倫比的安全性���,基于標(biāo)準(zhǔn)的VoIP兼容性��,以及與全球大多數(shù)主要VoIP網(wǎng)關(guān)和通信設(shè)備的互操作性�����。
所有SonicWALL TZ 170 和 PRO 系列 (Gen 4) 安全設(shè)備都支持本文所描述的全面VoIP安全防護(hù)能力���。這一點(diǎn)非常重要��,因?yàn)閂oIP網(wǎng)絡(luò)的總體安全性取決于網(wǎng)絡(luò)中最脆弱的鏈路�����,這些地方需要最高水平的保護(hù)��,甚至在家庭辦公和個(gè)人通信設(shè)備方面也是如此�����。
SonicWALL安全設(shè)備基于SonicOS版或增強(qiáng)版固件�����,具有內(nèi)建的VoIP能力�。利用SonicWALL增強(qiáng)版����,用戶可以獲得更多呼叫監(jiān)控和報(bào)告功能�,以及更多更全面的服務(wù)質(zhì)量(QoS)支持(例如����,進(jìn)入方向帶寬管理)。
圖 1.
SonicWALL VoIP 解決方法
SonicWALL VoIP解決方案的核心包括以下方面(將在本文后面的章節(jié)詳細(xì)描述):
- 在整個(gè)VoIP呼叫期間的狀態(tài)數(shù)據(jù)包檢測(cè)和變換
- 安全性
- VoIP入侵防御�、防病毒�、內(nèi)容過(guò)濾
- VoIP over WLAN,支持全面的威脅預(yù)防功能
- 檢測(cè)并丟棄畸形惡意數(shù)據(jù)包
- 強(qiáng)制‘封閉’VoIP網(wǎng)絡(luò) – 防止非授權(quán)呼叫
- 架構(gòu)
- 支持流式媒體和組播應(yīng)用
- 任意設(shè)備組合可以位于任何區(qū)域(H.323 和 SIP 端點(diǎn)�����、H.323 關(guān)守��、H.323 多點(diǎn)控制單元����、SIP代理和重定向服務(wù)器)
- 網(wǎng)守和代理可以位于網(wǎng)絡(luò)的任何位置,甚至在DMZ區(qū)
- 全對(duì)稱NAT
- 豐富的報(bào)告
- 呼叫跟蹤
- ‘異���!瘮(shù)據(jù)包日志
- 簡(jiǎn)化問(wèn)題排除和調(diào)試過(guò)程
SonicWALL VoIP安全性
SonicWALL公司功能強(qiáng)大的深度檢測(cè)技術(shù)為在VoIP基礎(chǔ)設(shè)施中的所有點(diǎn)檢測(cè)和強(qiáng)化業(yè)務(wù)流管理提供了一種靈活的框架����。
VoIP服務(wù)器和端點(diǎn)
- 業(yè)務(wù)流合法性
對(duì)通過(guò)防火墻的每個(gè)VoIP信令和媒體數(shù)據(jù)包進(jìn)行狀態(tài)檢測(cè)可保證所有業(yè)務(wù)流的合法性��。對(duì)于攻擊者來(lái)說(shuō),攻擊所使用的主要方法就是利用特殊編制的數(shù)據(jù)包來(lái)窺探和利用軟硬件實(shí)現(xiàn)的缺陷��,從而導(dǎo)致目標(biāo)設(shè)備出現(xiàn)緩沖區(qū)溢出等問(wèn)題�����。SonicWALL能夠在奇異或非法數(shù)據(jù)包到達(dá)目標(biāo)之前檢測(cè)到它們并將其丟棄����。
- 對(duì)VoIP協(xié)議的應(yīng)用層保護(hù)
SonicWALL入侵檢測(cè)服務(wù)(IPS)能夠?yàn)閂oIP協(xié)議應(yīng)用層提供全面保護(hù)。IPS集成了一個(gè)可配置的超高性能掃描引擎����,配合動(dòng)態(tài)更新和擁有1900多攻擊和漏洞簽名的數(shù)據(jù)庫(kù),可以保護(hù)網(wǎng)絡(luò)免受最復(fù)雜的木馬和變形威脅的影響����。SonicWALL已經(jīng)利用一系列VoIP相關(guān)的簽名來(lái)擴(kuò)展其IPS簽名數(shù)據(jù)包,可以防止惡意業(yè)務(wù)流到達(dá)受保護(hù)的VoIP電話和服務(wù)器�。
Figure 2 SonicWALL IPS GUI
- DoS 和 DDoS攻擊保護(hù)
防止DoS和DDoS攻擊,如SYN Flood����、Ping of Death以及LAND(IP)攻擊。這些攻擊會(huì)造成網(wǎng)絡(luò)或服務(wù)癱瘓�。
- 驗(yàn)證采用TCO的VoIP信令數(shù)據(jù)包的順序����。不允許失序或在窗口外重傳的數(shù)據(jù)包���。
- 在每一TCP會(huì)話中采用隨機(jī)TCP順序號(hào)(在連接建立時(shí)由加密隨機(jī)數(shù)生成器生成)并驗(yàn)證數(shù)據(jù)流���,防止重放和數(shù)據(jù)插入攻擊。
- SYN Flood保護(hù)保證了攻擊者無(wú)法通過(guò)打開(kāi)多個(gè)TCP/IP連接(并未完全建立 – 通常是采用欺騙源地址)來(lái)使服務(wù)器過(guò)載�。
- 狀態(tài)監(jiān)控
狀態(tài)監(jiān)控保證數(shù)據(jù)包(即使表面上看起來(lái)正確)符合目前所關(guān)聯(lián)的VoIP連接的狀態(tài)。
- SonicWALL防病毒
SonicWALL防病毒產(chǎn)品保護(hù)軟電話客戶免受基于病毒的威脅�,同時(shí)自動(dòng)強(qiáng)制應(yīng)用病毒定義DAT文件����。這大大縮短了整個(gè)網(wǎng)絡(luò)的防病毒策略管理所需要的時(shí)間,并降低了成本����。
VoIP會(huì)話
- 無(wú)縫支持加密媒體
一些VoIP設(shè)備可以利用加密來(lái)保護(hù)VoIP會(huì)話期間交換的媒體數(shù)據(jù),防止竊聽(tīng)和重放�。
- 強(qiáng)認(rèn)證和加密
SonicWALL公司的點(diǎn)到點(diǎn)(site-to-site)和遠(yuǎn)程移動(dòng)用戶IPSec VPN經(jīng)過(guò)了ICSA認(rèn)證,為遠(yuǎn)程用戶���、遠(yuǎn)程辦公人員和分支機(jī)構(gòu)訪問(wèn)網(wǎng)絡(luò)資源提供了經(jīng)濟(jì)可靠和安全的遠(yuǎn)程訪問(wèn)通道�����。配置健壯的認(rèn)證服務(wù)�����,可以利用公共密鑰基礎(chǔ)設(shè)施(PKI)和數(shù)字證書(shū)為因特網(wǎng)VPN用戶提供強(qiáng)大的認(rèn)證機(jī)制�。
為保護(hù)不支持加密媒體傳輸?shù)腣oIP設(shè)備,IPSec VPN提供了完全的解決方案���,可保證VoIP呼叫的私密性���。
VoIP網(wǎng)絡(luò)
- 無(wú)線局域網(wǎng)上的VoIP ( VoIP over WLAN)
SonicWALL利用其分布式無(wú)線解決方案將完全的VoIP安全性擴(kuò)展到附屬的無(wú)線網(wǎng)絡(luò)。無(wú)論是利用內(nèi)置802.11無(wú)線功能的TZ 170系列�,還是配合使用PRO系列設(shè)備和SonicPoint
802.11a/b/g智能接入點(diǎn),利用無(wú)線網(wǎng)絡(luò)的VoIP設(shè)備可以擁有與SonicWALL設(shè)備后面有線網(wǎng)絡(luò)上的VoIP設(shè)備一樣的所有安全特性和優(yōu)點(diǎn)�����。
- 通過(guò)帶寬管理保證可用性和呼叫質(zhì)量
帶寬管理(包括入和出兩個(gè)方向)可保證時(shí)間敏感的VoIP業(yè)務(wù)流所需要的帶寬�����。通過(guò)連續(xù)監(jiān)控和管理可用的帶寬,SonicWALL可以保證VoIP設(shè)備享有呼叫所需要的帶寬�。
- WAN冗余和負(fù)載平衡
WAN冗余和負(fù)載平衡允許利用一個(gè)接口做為輔助或備份WAN端口。輔助WAN端口可采用簡(jiǎn)單的主/被(active/passive)設(shè)置��,僅在主WAN端口故障和/或不可用時(shí)業(yè)務(wù)流才會(huì)路由到這個(gè)端口��。輔助WAN端口還可采用更為動(dòng)態(tài)的(active/active)配置��,出口業(yè)務(wù)流被分配到主和輔WAN端口�����,以提供更大的吞吐能力�����。
- 高可用性
SonicWALL硬件故障切換能力可在系統(tǒng)故障時(shí)保證可靠連接的連接����,從而保障了高可用性����。
ChinaByte(e.chinabyte.com)
相關(guān)鏈接: