VoIP敲響安全“警鐘” 廠商如何應(yīng)對
2005/11/01
DoS攻擊��、病毒、蠕蟲�����、特洛伊木馬、數(shù)據(jù)包嗅探����、垃圾郵件、網(wǎng)絡(luò)釣魚�、電話費欺詐和偷聽.....企業(yè)VoIP究竟需要敲響安全問題警鐘?還是這些威脅常常是夸大其詞���?問題的答案取決于談話人是誰�����。
Cisco公司安全I(xiàn)P通信營銷經(jīng)理Roger Farnsworth認(rèn)為:“VoIP系統(tǒng)至少同傳統(tǒng)的語音系統(tǒng)一樣安全���,而未來的IP技術(shù)和語音應(yīng)用將使它們變得甚至更安全�!眰鹘y(tǒng)電話系統(tǒng)和VoIP語音管理與安全平臺廠商SecureLogix公司CEO Mark Collier則持不同意見。他說:“在IP作為其基礎(chǔ)的情況下�,預(yù)期VoIP變得比電子郵件、Web或DNS更安全的想法根本不現(xiàn)實������!
那就保留電話吧�����。那么�����,電子郵件呢�����?Web呢�?DNS呢���?任何大腦正常的人�����,有誰會從如磐石般可靠的傳統(tǒng)企業(yè)電話服務(wù)轉(zhuǎn)移到比電子郵件還不安全的平臺上呢��?
多種問題威脅VoIP
事實上��,企業(yè)VoIP實際上只是IP網(wǎng)絡(luò)上的另一種應(yīng)用�。當(dāng)前典型的企業(yè)IP電話系統(tǒng)的主要包括呼叫控制服務(wù)器��、VoIP客戶機(jī)和VoIP網(wǎng)關(guān)���。呼叫控制服務(wù)器一般運行在Linux����、Windows或VxWorks等操作系統(tǒng)上���。VoIP客戶機(jī)或是電話機(jī)或是軟電話�。而VoIP網(wǎng)關(guān)安裝在網(wǎng)絡(luò)邊緣上�����,提供VoIP與PSTN之間的轉(zhuǎn)換服務(wù)����。它們都使用比較標(biāo)準(zhǔn)的協(xié)議――一般要么是國際電信聯(lián)盟的H.323系列協(xié)議,要么是IETF用于服務(wù)器與客戶機(jī)的SIP和用于網(wǎng)關(guān)的MGCP(媒體網(wǎng)關(guān)控制協(xié)議)或Megaco/H.248協(xié)議����。絕大多數(shù)VoIP系統(tǒng)共享數(shù)據(jù)網(wǎng)絡(luò),依靠同樣的路由器和交換機(jī)進(jìn)行語音包傳輸�����,并且完美地與其他數(shù)據(jù)應(yīng)用(包括消息應(yīng)用)連接。
從理論上講��,VoIP系統(tǒng)至少像其他數(shù)據(jù)應(yīng)用一樣易于受到攻擊的威脅���。羅列潛在威脅的清單長得驚人――包括DoS攻擊�����、病毒����、蠕蟲��、特洛伊木馬��、數(shù)據(jù)包嗅探�、垃圾郵件和網(wǎng)絡(luò)釣魚。垃圾郵件�?如果你記得謝絕來電電話目錄(do-not-call-list)出現(xiàn)前的黑暗日子,就可以想象到SPIT(通過Internet電話傳送的垃圾信息)的可能��。BorderWare Technolgies公司技術(shù)副總裁Andrew Graydon說:“假如我想打100個電話����,必須撥100次電話或使用自動撥號器���?墒抢肐P連接�����,我可以將一個WAV文件上載到巴哈馬的一臺計算機(jī)上��,按一個鍵�����,立即將文件發(fā)送2000位雇員���!本W(wǎng)絡(luò)釣魚只需通過假冒主叫方ID信息����,偽裝成一家合法機(jī)構(gòu)的代表來實現(xiàn)。
但是��,廠商和分析人士強(qiáng)調(diào)說����,IP PBX運行在不同的操作系統(tǒng)上(通常是精簡和加固的操作系統(tǒng))����,使用多種仍在演進(jìn)中的標(biāo)準(zhǔn)以及更多的專有協(xié)議(如Cisco的Skinny呼叫控制協(xié)議)����,從而使VoIP應(yīng)用比一般的數(shù)據(jù)應(yīng)用更難成為攻擊的目標(biāo)。
中間人攻擊(黑客偽裝成SIP代理�,記錄所有的呼叫活動)和信任利用(入侵與VoIP服務(wù)器存在信任關(guān)系的數(shù)據(jù)服務(wù)器來獲得對VoIP服務(wù)器的訪問),也具有潛在的威脅����。除此之外,還有電話費欺詐(即入侵語音網(wǎng)關(guān)��,花公司的錢打國際長途電話)���。再有就是偷聽:可以接入網(wǎng)絡(luò)并擁有叫做tcpdump和VOMIT(Voice over Misconfigured Internet Telephones)這兩種免費的�、容易得到的工具的用戶�����,可以重新組裝IP語音談話�����,將它轉(zhuǎn)換為標(biāo)準(zhǔn)WAV文件。
此外��,VoIP系統(tǒng)常常依靠脆弱的應(yīng)用來正常運行����。Collier說:“SQL Slammer攻擊了 Microsoft SQL Server,可是由于Cisco Call Manager電話服務(wù)器依靠SQL服務(wù)器�,因此Slammer也破壞了其中的很多電話服務(wù)器�。”
VoIP自身難題
與其他應(yīng)用相比�����,VoIP也面臨自己的挑戰(zhàn)�。據(jù)Gartner公司聯(lián)邦實踐主任David Fraley說,為了實現(xiàn)收費質(zhì)量的語音���,單向傳輸流的延時不能超過150毫秒����������!罢Z音編碼可占用多達(dá)30毫秒的時間�����,而公共IP網(wǎng)絡(luò)上橫跨美國的合理距離上的語音呼叫可占用多達(dá)100��,甚至125毫秒的時間������!倍@還只是加入防火墻、加密和入侵防御等安全措施之前的延時��。
大多數(shù)主流防火墻沒有考慮VoIP�,它們也不能處理SIP和H.323的一些特有的東西。例如�����,SIP至少使用3個端口號�,其中只有一個是靜態(tài)的。H.323使用只有兩個是靜態(tài)端口�,且都使用TCP和UDP(User Datagram Protocol)。這意味著你必須在標(biāo)準(zhǔn)防火墻上打開大量的端口,而這從威脅暴露角度看是不可接受的����。
除了包頭的IP地址外,SIP和H.323也嵌入了IP地址����,因此進(jìn)入的呼叫會在防火墻和路由器的傳統(tǒng)NAT設(shè)置上遇到問題。
運營商和一些大型企業(yè)利用叫做SBC(會話邊界控制器)的昂貴設(shè)備來處理NAT和開放端口問題��。來自Check Point��、Juniper和WatchGuard等主要防火墻和IPS廠商的較新的防火墻產(chǎn)品����,也已經(jīng)開始變得更具VoIP意識��,采用叫做NAT穿越的技術(shù)��,根據(jù)對VoIP會話的仔細(xì)監(jiān)測來動態(tài)地打開和關(guān)閉端口����,甚至實現(xiàn)某些QoS特性,但是這常常意味著升級硬件和軟件�,并需要在購買時小心謹(jǐn)慎。
尋找解決方案
在存在這些潛在威脅和安全漏洞的情況下,數(shù)量巨大的VoIP用戶不久會發(fā)現(xiàn)自己受到服務(wù)中斷和偷聽的困擾嗎�����?到目前為止����,還沒有出現(xiàn)針對企業(yè)VoIP系統(tǒng)的破壞性、引起公眾廣泛注意的攻擊�����。為什么呢�����?廠商和分析人士提出了幾條有根據(jù)的理由�。
多數(shù)較新的企業(yè)VoIP解決方案是封閉的系統(tǒng),在這種系統(tǒng)中����,分組語音只在LAN上傳送。并且大多數(shù)外部傳輸流經(jīng)過網(wǎng)關(guān)在PSTN上傳送�。Gartner的Fraley說:“如果你只在LAN上傳送VoIP,實現(xiàn)收費質(zhì)量和保持安全性比較容易����!鞭k公室間的傳輸流一般在受保護(hù)的辦公室到辦公室連接上傳送,因此在很多情況下���,保護(hù)內(nèi)部VoIP意味著加強(qiáng)你的呼叫服務(wù)器��、交換機(jī)和網(wǎng)關(guān)���,并利用合適類型的防火墻和IPS保護(hù)它們。
廠商還建議在LAN上將語音與數(shù)據(jù)流隔離�,以保護(hù)語音流不受惡意件、偷聽和DoS攻擊的影響����。為語音構(gòu)建獨立的基礎(chǔ)設(shè)備將抵消VoIP的費用好處。不過�,你交換機(jī)的802.1Q特性提供了很多同樣的保護(hù)�����,這些特性將語音和數(shù)據(jù)放在不同的VLAN上���,利用具有語音意識的防火墻和/或IPS�,保護(hù)語音與數(shù)據(jù)VLAN之間的交匯點,如消息服務(wù)器��。事實上�����,Cisco最近版本的Call Manager提供內(nèi)置的IPS�����。
Farnsworth說:“正確的使用VLAN還將防止偶然的VoIP嗅探�。”他補(bǔ)充說���,將合適的安全措施用于語音應(yīng)用目標(biāo)變得更加容易�����。
VoIP廠商和安全專家說�,最好不要使用軟電話――即運行在PC上的電話軟件――而使用IP電話機(jī)�����,因為軟電話使隔離語音與數(shù)據(jù)變得幾乎不可能�����。將IP電話機(jī)的IP地址與它的MAC(媒體訪問控制)地址建立關(guān)系是幫助減少IP地址欺騙的好辦法。一些解決方案使用數(shù)字證書進(jìn)行設(shè)備和服務(wù)器的認(rèn)證�����,你可以在使用IP電話機(jī)時要求口令或PIN�。關(guān)鍵是加密語音-信令數(shù)據(jù)、VoIP管理互動����,并且在高度安全的環(huán)境中,甚至加密語音流����。
未來挑戰(zhàn)
上述論點目前很有道理,但是未來呢���?Graydon說:“歸根結(jié)底�����,企業(yè)希望利用VoIP節(jié)省國際長途電話費��!边@就是說用VoIP中繼線取代PRI和PSTN中繼線,將呼叫傳送給靠近你的國際電話目的地的網(wǎng)關(guān)�����。Graydon說:“只要企業(yè)向Internet開放VoIP�,就會在自己的網(wǎng)絡(luò)上打開巨大的潛在安全窟窿��!睂嶋H上���,封閉的企業(yè)VoIP系統(tǒng)的日子已經(jīng)過去了���。Graydon還指出,電信公司正在將其內(nèi)部基礎(chǔ)設(shè)備由銅線上的PSTN改變?yōu)楣饫w上的IP來減少自己的費用����,并且正在向與其他提供商的基于IP的對等連接遷移����!昂芏嘀卮蟮腎P融合正在那里悄悄地發(fā)生�����!
Collier對此表示同意。他說:“一旦MCI在他們的VoIP網(wǎng)絡(luò)上擁有1000家客戶��,控制安全威脅將變得更加困難���!
懷疑論者指出,避免使用軟電話和將語音與數(shù)據(jù)完全隔離是不現(xiàn)實的�����。Collier說:“語音與數(shù)據(jù)間的互聯(lián)正是所有那些很酷的融合應(yīng)用未來的演進(jìn)方向�����! CentricVoice公司CEO Jeff Rothel對此表示贊同��。CentricVoice是一家利用來自BorderWare的VoIP安全解決方案提供企業(yè)VoIP服務(wù)的公司��。他說:“我們計劃推出很多將語音直接集成到企業(yè)數(shù)據(jù)應(yīng)用的軟件層中的服務(wù)���!笔聦嵣�����,Rothel和其他人看到了企業(yè)從大小不同的提供商(全都以IP和SIP作為統(tǒng)一的標(biāo)準(zhǔn))購買多種語音服務(wù)和應(yīng)用的未來�。
Rothel聲稱,傳統(tǒng)的語音提供商對潛在的VoIP威脅不特別了解��������!捌渲械暮芏嗵峁┥谈静欢脭(shù)據(jù)世界���。他們從未遇到了讓他們的PSTN交換機(jī)癱瘓的病毒�����!
市場上還有像來自Skype和其他提供商的對等語音應(yīng)用這樣的顛覆性應(yīng)用��。IPS提供商�����、目前成為3Com公司一部分的TippingPoint公司安全研究主管����、VoIP 安全聯(lián)盟主席David Endler說:“現(xiàn)在出現(xiàn)了大量不符合標(biāo)準(zhǔn)的企業(yè)VoIP應(yīng)用����,這些應(yīng)用可能將滲透到企業(yè)中����。” VoIP 安全聯(lián)盟是一家尋找推進(jìn)安全研究的VoIP和安全廠商組成的組織����。
懷疑者還指出,VoIP廠商建議的很多安全措施要么不特別實際��,要么沒有得到廣泛使用����。SecureLogix的Collier說:“毫無疑問,你可以實現(xiàn)語音和信令加密和強(qiáng)認(rèn)證�,但是它們配置起來十分困難�!盜T安全提供商Sentegrity公司CTO Brian Ham說,當(dāng)前的密鑰交換標(biāo)準(zhǔn)��,如Diffie Hellman密鑰協(xié)議���,不能很好地擴(kuò)展用于大范圍的VoIP認(rèn)證和加密:“如果你關(guān)注一下論壇����、公布板和行業(yè)領(lǐng)導(dǎo)者,就會發(fā)現(xiàn)所有人都在問:‘我們怎樣能進(jìn)行合適的密鑰交換��?’”
只是因為一直沒有出現(xiàn)引起公眾廣泛注意的針對IP電話的攻擊��,這并不意味著它們不會發(fā)生�。BorderWare透露說����,呼叫中心和金融機(jī)構(gòu)已遭遇了攻擊,但BorderWare官員不想透露他們的名字����。
Collier說:“在一項技術(shù)得到廣泛部署,出現(xiàn)可供大眾自動發(fā)動攻擊的工具之前�����,你一般不會看到廣泛傳播的威脅�������! Endler也認(rèn)為:“隨著應(yīng)用得到更廣泛的部署,它們成為更具誘惑力的目標(biāo)����。” BorderWare����、SecureLogix,甚至TippingPoint等VoIP安全廠商開始提供針對未來可能影響VoIP的應(yīng)用層攻擊的專門的VoIP防火墻和IPSec�����。
VoIP最終可能開始遭受困擾電子郵件���、即時消息和其他類型的入侵����。好消息是VoIP和安全廠商已開始及早著手解決這些問題��。Kuhn說:“毫無疑問�,VoIP安全選擇將很快變得越來越好�����!彼a(bǔ)充說,融合語音和數(shù)據(jù)應(yīng)用的好處那么大�����,安全問題不可能阻止它們的部署�。
計算機(jī)世界網(wǎng)(www.ccw.com.cn)
相關(guān)鏈接: