VoIP 的“防彈衣”
沈陽(yáng)理工大學(xué)通信與網(wǎng)絡(luò)工程中心 馬明
2005/11/15
實(shí)際上��,沒有什么簡(jiǎn)單的解決方法可以有效確保VoIP的絕對(duì)安全�,不過(guò)還是有些辦法可以盡量減小風(fēng)險(xiǎn)���、改進(jìn)整體的安全策略���。
安全問(wèn)題對(duì)語(yǔ)音服務(wù)而言根本不是什么新鮮事。幾十年來(lái)���,傳統(tǒng)電話系統(tǒng)就飽受話費(fèi)欺詐之困擾。如今����,一些企業(yè)出于對(duì)安全問(wèn)題的擔(dān)憂而對(duì)安裝IP語(yǔ)音(VoIP)系統(tǒng)猶豫不決����,而另一些企業(yè)卻在沒有解決安全問(wèn)題的前提下貿(mào)然行事�����。大多數(shù)行業(yè)的分析師估計(jì)���,今年企業(yè)新安裝的語(yǔ)音電話至少有一半將會(huì)是VoIP手機(jī)��,這意味著你可能很快就會(huì)面臨語(yǔ)音安全問(wèn)題��,如果不正視這些問(wèn)題�,你的系統(tǒng)就會(huì)隨時(shí)遭到攻擊��。
說(shuō)到如何有效地確保VoIP 安全���,根本沒有靈丹妙藥�,但必須把這方面的安全作為整體安全策略的一部分來(lái)考慮����。因?yàn)槿缃馰oIP應(yīng)用已成為IP網(wǎng)絡(luò)的一部分�����,如果IP網(wǎng)絡(luò)已經(jīng)落實(shí)了良好的安全措施�,整個(gè)網(wǎng)絡(luò)安全系數(shù)越高�����,那么攻擊者進(jìn)行竊聽�����、發(fā)動(dòng)拒絕服務(wù)(DoS)攻擊或者闖入VoIP系統(tǒng)中的操作系統(tǒng)或者應(yīng)用系統(tǒng)的難度就會(huì)越大����。
一開始就讓安全小組參與VoIP項(xiàng)目也非常重要。語(yǔ)音小組和數(shù)據(jù)小組也根本犯不著卷入地盤之爭(zhēng)����。畢竟,現(xiàn)在它們應(yīng)當(dāng)作為一個(gè)團(tuán)隊(duì)開展工作����。
遵守一系列的嚴(yán)格規(guī)定
主要的VoIP安全策略很簡(jiǎn)單: 首先,在你確保各種VoIP部件和因特網(wǎng)之間沒有任何通信之前�����,不要把這些設(shè)備接入網(wǎng)絡(luò)����。 其次,不要允許與因特網(wǎng)及VoIP系統(tǒng)進(jìn)行聯(lián)系的PC之間有任何通信�。這是因?yàn)椋琍C特別容易受到攻擊�,可能會(huì)被用來(lái)闖入VoIP系統(tǒng),或者對(duì)語(yǔ)音應(yīng)用發(fā)動(dòng)拒絕服務(wù)攻擊�����。它們還會(huì)強(qiáng)行利用VoIP電話從事話費(fèi)欺詐�、暗中竊聽或者冒充他人等勾當(dāng)。
如果你無(wú)法遵守這項(xiàng)策略����,就要確保每個(gè)人都知道其中的風(fēng)險(xiǎn),并且落實(shí)了相應(yīng)的對(duì)策以緩解風(fēng)險(xiǎn)��。這就要求清楚地知道安全��、系統(tǒng)架構(gòu)以及有關(guān)的VoIP協(xié)議���。
要實(shí)施安全策略��,第一步就是把所有VoIP電話放在單獨(dú)的虛擬局域網(wǎng)(VLAN)上����,并且使用不可路由的RFC 1918地址。大多數(shù)VoIP電話都有內(nèi)置的交換機(jī)�,支持802.1p/Q虛擬局域網(wǎng)標(biāo)準(zhǔn)。這樣一來(lái)���,就有可能在桌面系統(tǒng)和距離最近的布線室交換機(jī)之間建立虛擬局域網(wǎng)��,而布線室交換機(jī)可以通過(guò)網(wǎng)絡(luò)進(jìn)行延伸��。
如果語(yǔ)音用戶的PC被接到電話的交換機(jī)上��,你就可以自始至終地讓語(yǔ)音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸�����。記住一點(diǎn): 虛擬局域網(wǎng)無(wú)法彼此聯(lián)系�,除非彼此之間有路由��,所以這是確保語(yǔ)音和數(shù)據(jù)分開的一個(gè)辦法。你還可以使用訪問(wèn)控制列表(ACL)防止虛擬局域網(wǎng)之間進(jìn)行通信���,作為保護(hù)語(yǔ)音的另一道安全層�����。讓語(yǔ)音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸,還可以簡(jiǎn)化為VoIP流量配置服務(wù)質(zhì)量(QoS)����。隨后只是為VoIP虛擬局域網(wǎng)賦予優(yōu)先級(jí)的問(wèn)題而已,如果你通過(guò)路由器傳輸��,仍需要第三層服務(wù)質(zhì)量���。
服務(wù)質(zhì)量通常與確保性能聯(lián)系在一起�,不過(guò)它在安全方面也起到關(guān)鍵作用�。在不同邏輯虛擬局域網(wǎng)上傳輸?shù)恼Z(yǔ)音和數(shù)據(jù)仍使用相同的物理帶寬。這意味著�,即便PC被病毒或者蠕蟲感染、這些PC進(jìn)而向網(wǎng)絡(luò)發(fā)送大批流量�����,VoIP流量仍能夠在共同的物理帶寬上獲得優(yōu)先權(quán),因而就不會(huì)淪為拒絕服務(wù)攻擊的受害者�����。與此同時(shí)�,ACL和防火墻可以阻止VoIP系統(tǒng)訪問(wèn)因特網(wǎng),反之亦然��。
虛擬局域網(wǎng)還可以緩解有人竊聽電話的現(xiàn)象��。如果語(yǔ)音包被人用分析儀獲取���,重放語(yǔ)音就輕而易舉�。IP具有的移動(dòng)性和靈活性使得它容易受到“中間人攻擊”�����,即地址解析協(xié)議(ARP)被用來(lái)強(qiáng)制流量通過(guò)某臺(tái)PC傳輸����,然后就能獲取這些流量。虛擬局域網(wǎng)可以阻止有人從外面發(fā)動(dòng)攻擊�����,但內(nèi)部攻擊比較難以預(yù)防。內(nèi)部人只要把某臺(tái)PC接入墻上的插座�,對(duì)PC進(jìn)行配置,成為VoIP虛擬局域網(wǎng)的一部分�����,就可以發(fā)動(dòng)攻擊�����。要防止這種破壞�����,最好的辦法就是購(gòu)買具有強(qiáng)加密功能的VoIP電話�,而這種方法要奏效���,每只電話都要有加密功能����。
你還需要在電話和通向公共交換電話網(wǎng)絡(luò)(PSTN)的網(wǎng)關(guān)之間進(jìn)行加密�。如今VoIP電話廠商開始把媒體加密和信令加密功能融入各自的設(shè)備當(dāng)中。譬如說(shuō)���,Avaya聲稱它的所有電話現(xiàn)在都支持加密功能; 而北電網(wǎng)絡(luò)公司聲稱���,它的電話很快也具有同樣的功能�。加密還可以挫敗需要對(duì)基礎(chǔ)設(shè)施獲得物理訪問(wèn)權(quán)的其他類型的竊聽��,譬如利用交換機(jī)的端口鏡像�����,或者利用以太網(wǎng)接頭接入某條以太網(wǎng)連接線��。
當(dāng)然�,加密以增加時(shí)延為代價(jià)。這對(duì)普通局域網(wǎng)來(lái)說(shuō)不成問(wèn)題�����,但對(duì)廣域網(wǎng)來(lái)說(shuō)可能會(huì)成問(wèn)題�。要考慮的另一個(gè)因素就是,如果對(duì)電話之間傳輸?shù)男盘?hào)進(jìn)行加密(這在應(yīng)用層實(shí)現(xiàn))��,工作在應(yīng)用層的防火墻就很難對(duì)加密信號(hào)進(jìn)行解密����。
雖然防火墻必不可少����,但別以為它們能夠勝任各項(xiàng)工作��。VoIP協(xié)議很難過(guò)濾�。盡管會(huì)話初始化協(xié)議(SIP)是VoIP信號(hào)傳輸標(biāo)準(zhǔn),但許多廠商采用的卻是專有的信令協(xié)議���,而防火墻必須理解這些協(xié)議�����。
實(shí)時(shí)協(xié)議(RTP)用于傳輸實(shí)際的語(yǔ)音媒體�,不過(guò)有一系列眾多的端口動(dòng)態(tài)分配給了每路呼叫��。信令協(xié)議會(huì)表明應(yīng)使用哪個(gè)RTP端口用于某路呼叫�。一款好的防火墻會(huì)從信令協(xié)議處接到該指示�����,隨后開啟某個(gè)端點(diǎn)的IP地址所必需的那個(gè)端口����。然而����,不是所有的防火墻都具有這種功能�����。有些只是開啟某段范圍的端口��,所以要確保你對(duì)防火墻的運(yùn)行情況了如指掌����。
有些防火墻必須處理專用地址和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),這樣一來(lái)����,保護(hù)VoIP的安全難度就更大了,如果處理的請(qǐng)求是針對(duì)采用專用地址的某個(gè)端點(diǎn)�����,更是如此��。了解信令協(xié)議的防火墻能跟蹤用戶注冊(cè)登記的最新地址���,然后相應(yīng)地為請(qǐng)求安排路由��。Check Point軟件技術(shù)公司聲稱�,其最新款的FireWall-1具有這種功能,可以提供最低程度的安全接入���。
另一個(gè)辦法就是把防火墻放置在專門為IP語(yǔ)音設(shè)計(jì)的VoIP系統(tǒng)前面��。譬如說(shuō)����,Ingate公司的防火墻就是為基于SIP的VoIP系統(tǒng)而設(shè)計(jì)����。Ingate最近宣布,如今其產(chǎn)品已通過(guò)了認(rèn)證���,能夠與Avaya公司的基于SIP的產(chǎn)品協(xié)同工作����。確保你實(shí)施的VoIP系統(tǒng)基于SIP��,那樣以后需要安全選項(xiàng)功能時(shí)不至于只能求助于你現(xiàn)有的VoIP廠商���。
另外還要當(dāng)心�,防火墻可能會(huì)帶來(lái)時(shí)延�,從而成為性能方面的一個(gè)瓶頸。
支持VoIP的服務(wù)器每個(gè)都有各自的操作系統(tǒng)����,而這些操作系統(tǒng)又存在許多相關(guān)漏洞,所以你必須確保把服務(wù)器放到你的網(wǎng)絡(luò)上之前�,它們都已打上了補(bǔ)丁。注意時(shí)時(shí)打上最新補(bǔ)丁����,還要認(rèn)真限制對(duì)它們的訪問(wèn)。每個(gè)IP電話其實(shí)也是一臺(tái)電腦����,有著自己的應(yīng)用軟件和操作系統(tǒng),所以對(duì)你的電話也要采取同樣的防范措施�����,并確保電話帶有良好的補(bǔ)丁管理系統(tǒng)��。
一些例外情況
有些應(yīng)用可能會(huì)讓你考慮打開語(yǔ)音虛擬局域網(wǎng)和數(shù)據(jù)虛擬局域網(wǎng)之間的通信通道��。譬如說(shuō)����,大多數(shù)VoIP廠商提供的桌面客戶系統(tǒng)能夠管理VoIP電話�����,并且提供豐富的用戶狀態(tài)信息�����。許多廠商提供的客戶端還可以讓你監(jiān)控其他系統(tǒng)用戶的電話和即時(shí)通信(IM)狀態(tài)���,并且發(fā)布你自己的狀態(tài)信息。這些特性需要桌面系統(tǒng)和VoIP系統(tǒng)之間進(jìn)行一定的直接聯(lián)系�����,所以你要想辦法安全地實(shí)現(xiàn)這項(xiàng)功能�����。
說(shuō)到這里��,使用防火墻最為穩(wěn)妥�����。做法是��,提供最低程度的接入權(quán)限����,不允許PC在無(wú)意中成為用來(lái)搜尋VoIP系統(tǒng)中存在漏洞的平臺(tái)。但如果蠕蟲占用了網(wǎng)絡(luò)上的大量帶寬�����,PC和布線室之間的連接上所用的這些應(yīng)用就無(wú)法得到保護(hù)���,因?yàn)閿?shù)據(jù)來(lái)自PC��,因而會(huì)在數(shù)據(jù)虛擬局域網(wǎng)上傳輸�����。不過(guò)好消息是�����,VoIP電話的通信將得到保護(hù)���,只要你實(shí)施了服務(wù)質(zhì)量����。但如果你在PC上使用的僅僅是軟電話����,就沒有辦法為PC和布線室交換機(jī)之間的語(yǔ)音包提供服務(wù)質(zhì)量。
如果你的遠(yuǎn)程辦公人員要通過(guò)因特網(wǎng)訪問(wèn)IP PBX����,虛擬專用網(wǎng)(VPN)顯然是防止竊聽的解決辦法。Zultys科技公司等VoIP廠商提供的產(chǎn)品旨在便于通過(guò)VPN訪問(wèn)IP PBX�。Zultys的有些電話可以直接在電話到PBX之間建立一條VPN隧道。北電公司的Contivity VPN PC客戶機(jī)則可以通過(guò)連接的PC��,為其電話建立VPN隧道��。
你最不希望把IP PBX暴露于因特網(wǎng)面前����。如果你提供只能訪問(wèn)相關(guān)端口的功能,而且通過(guò)VPN進(jìn)行驗(yàn)證����,那么就可以盡量減小這個(gè)風(fēng)險(xiǎn)�。當(dāng)然���,你還會(huì)希望在IP PBX和VPN網(wǎng)關(guān)之間安裝一只防火墻,只允許訪問(wèn)被認(rèn)為絕對(duì)有必要的端口���。
另外����,也很有必要落實(shí)相應(yīng)機(jī)制�����,以保護(hù)你的VoIP系統(tǒng)免受針對(duì)應(yīng)用的拒絕服務(wù)攻擊����。如果需要從虛擬局域網(wǎng)進(jìn)行額外的一道驗(yàn)證,應(yīng)當(dāng)不會(huì)面臨來(lái)自外部的重大危害; 但如果有人獲得了訪問(wèn)權(quán)���,從內(nèi)部發(fā)動(dòng)攻擊可能會(huì)是個(gè)問(wèn)題�。譬如說(shuō)�����,利用SIP,發(fā)送大量的“注冊(cè)”請(qǐng)求會(huì)導(dǎo)致服務(wù)器無(wú)力處理請(qǐng)求��。入侵防護(hù)系統(tǒng)(IPS)可以緩解這個(gè)問(wèn)題�����,而如果IPS或者入侵檢測(cè)系統(tǒng)(IDS)能理解SIP�����,就可以檢測(cè)這些攻擊�����。一款好的IPS還能夠防止基于SIP的中間人攻擊��,以免通過(guò)另一個(gè)設(shè)備改變流量傳輸方向�。
可以訪問(wèn)VoIP系統(tǒng)的任何桌面系統(tǒng)都必須加以保護(hù)。如今許多廠商提供集中管理的防火墻以及可以檢查操作系統(tǒng)補(bǔ)丁及病毒更新狀況的軟件����。這對(duì)使用IP軟電話的遠(yuǎn)程辦公人員來(lái)說(shuō)尤為重要。
所以不要被VoIP安全問(wèn)題捆住了手腳�����。有了可靠的IP語(yǔ)音安全策略以及合理搭配的安全工具,沒有理由錯(cuò)過(guò)VoIP具有的諸多優(yōu)點(diǎn)�。
計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)
相關(guān)鏈接: