VoIP安全迫在眉睫
2005/12/23
VoIP在安全方面的隱患,增加了網(wǎng)絡(luò)風(fēng)險(xiǎn),但同時(shí)��,VoIP自身的特殊性,也可能為其提供防御之道。
VoIP,特別是企業(yè)級(jí)VoIP應(yīng)當(dāng)在安全方面引起人們的注意�����,還是有關(guān)它的威脅基本上屬于一些別有用心的夸大其詞���?這就要看你是在跟誰(shuí)說(shuō)話了。
伯頓集團(tuán)的高級(jí)分析師Irwin Lazar說(shuō):“企業(yè)VoIP安全方面的隱患被人為夸大了����,人們把過(guò)多注意力放在了擔(dān)心遭到攻擊上,而不是放在實(shí)際有可能發(fā)生的問(wèn)題上����。”
思科公司的安全I(xiàn)P通信營(yíng)銷經(jīng)理Roger Farnsworth也認(rèn)為:“VoIP系統(tǒng)至少能夠做到和傳統(tǒng)的語(yǔ)音系統(tǒng)一樣安全��,而未來(lái)的IP技術(shù)和語(yǔ)音應(yīng)用會(huì)使它們變得更安全����。”
但Mark Collier并不完全認(rèn)同���,作為面向傳統(tǒng)電話系統(tǒng)和VoIP的語(yǔ)音管理和安全平臺(tái)廠商SecureLogix公司的CEO����,他表示:“由于IP是VoIP的基礎(chǔ),期望VoIP比電子郵件����、Web或者DNS更安全的想法是根本不現(xiàn)實(shí)的���!彼J(rèn)為���,非常不可靠的IP機(jī)制決定了在其上的任何一種業(yè)務(wù)和應(yīng)用都有可能被輕易地攻擊,而電子郵件�����、Web��、DNS等應(yīng)用已經(jīng)證實(shí)了這一點(diǎn)��,匆忙地從服務(wù)可靠的傳統(tǒng)企業(yè)電話轉(zhuǎn)移到與電子郵件一樣不安全的平臺(tái)�,屬于不明智之舉,現(xiàn)在最大的吸引力不過(guò)是VoIP能夠更多地節(jié)約成本����,而如果說(shuō)安全上有所保障,他認(rèn)為是不可取的����。
僅僅是另一種應(yīng)用
其實(shí)��,企業(yè)VoIP實(shí)質(zhì)上只是IP網(wǎng)絡(luò)上的另一種應(yīng)用���,和電子郵件、Web瀏覽類似�,如今典型的企業(yè)IP電話系統(tǒng)其基本要素包括:(1)呼叫控制服務(wù)器����,它通常運(yùn)行在Linux、Windows或者VxWorks等操作系統(tǒng)上�;(2)VoIP客戶機(jī),或電話機(jī)或軟電話����;(3)VoIP網(wǎng)關(guān),它位于網(wǎng)絡(luò)邊緣���,負(fù)責(zé)在VoIP和公共交換電話網(wǎng)(PSTN)之間進(jìn)行轉(zhuǎn)換��。
這些產(chǎn)品都使用標(biāo)準(zhǔn)的協(xié)議����,通常是國(guó)際電信聯(lián)盟(ITU)的H.323系列協(xié)議,或者因特網(wǎng)工程任務(wù)組(IETF)的會(huì)話初始化協(xié)議(SIP)����,主要用在服務(wù)器與客戶機(jī)上。而媒體網(wǎng)關(guān)控制協(xié)議(MGCP)或Megaco/H.248協(xié)議則用于網(wǎng)關(guān)上����,絕大部分企業(yè)VoIP系統(tǒng)共享數(shù)據(jù)網(wǎng)絡(luò),依賴和其他應(yīng)用相同的路由器和交換機(jī)進(jìn)行語(yǔ)音包傳輸�����,在理想情況下����,還能與其他數(shù)據(jù)應(yīng)用(包括消息傳送)配合工作。
所以�,VoIP系統(tǒng)和其他數(shù)據(jù)應(yīng)用一樣也容易遭到攻擊,至少?gòu)睦碚撋现v是這樣����。面臨的一系列潛在威脅包括:拒絕服務(wù)攻擊、病毒����、蠕蟲(chóng)�、特洛伊木馬�����、數(shù)據(jù)包嗅探���、垃圾郵件和網(wǎng)絡(luò)釣魚(yú)��,還會(huì)遭到垃圾郵件的侵?jǐn)_(例如帶寬被占用時(shí)���,VoIP的效果將大打折扣�����,甚至出現(xiàn)連接中斷現(xiàn)象)��,而且網(wǎng)絡(luò)釣魚(yú)也容易得逞����,只要假冒撥號(hào)人的身份信息,就可以偽裝成某家合法機(jī)構(gòu)的代表?yè)艽騐oIP電話���。
但是VoIP也有其便利之處�����。BorderWare科技公司的技術(shù)副總裁Andrew Graydon說(shuō):“如果我想打100個(gè)電話��,就得撥100次電話或者使用自動(dòng)撥號(hào)器����。但有了IP連接,我可以把一個(gè)WAV文件上傳到巴哈馬群島的一臺(tái)計(jì)算機(jī)上����,按一下鍵,馬上就能發(fā)給2000名員工�������! 而且�����,廠商和分析人士強(qiáng)調(diào)說(shuō)�����,由于IP PBX運(yùn)行在不同的操作系統(tǒng)(通常經(jīng)過(guò)精簡(jiǎn)和加固)上,并結(jié)合使用不斷發(fā)展的標(biāo)準(zhǔn)和更多的專有協(xié)議�,譬如思科的Skinny呼叫控制協(xié)議,從而使VoIP應(yīng)用比通常的數(shù)據(jù)應(yīng)用更難成為攻擊目標(biāo)��。
還有可能面臨的威脅是中間人攻擊(黑客偽裝成SIP代理���,然后記錄所有呼叫活動(dòng))以及信任關(guān)系利用����,例如闖入與VoIP服務(wù)器有著信任關(guān)系的數(shù)據(jù)服務(wù)器��,從而獲得對(duì)VoIP服務(wù)器的訪問(wèn)�;還有話費(fèi)欺詐,主要的做法是通過(guò)闖入語(yǔ)音網(wǎng)關(guān)����,花別人的錢盜打國(guó)際長(zhǎng)途電話�;再有就是竊聽(tīng),如果用戶可以訪問(wèn)網(wǎng)絡(luò)����,并且擁有兩種隨手可得的免費(fèi)工具TCPdump和呼叫偷聽(tīng)器(VOMIT),就能重新組裝基于IP的語(yǔ)音會(huì)話�,把它轉(zhuǎn)換成標(biāo)準(zhǔn)的WAV語(yǔ)音文件���。
此外,VoIP系統(tǒng)常常依賴易受攻擊的應(yīng)用來(lái)正常運(yùn)行�����。Collier說(shuō):“微軟SQL Server遭到了SQL Slammer的攻擊�����,但因?yàn)樗伎频腃all Manager電話服務(wù)器依賴SQL Server����,因此它同樣有可能遭受來(lái)自SQL Slammer的破壞��!
時(shí)延問(wèn)題
與其他應(yīng)用相比��,VoIP也面臨自己的獨(dú)特挑戰(zhàn)��。據(jù)Gartner公司負(fù)責(zé)聯(lián)邦業(yè)務(wù)分析的主管David Fraley聲稱�����,為了達(dá)到和PSTN相媲美的語(yǔ)音質(zhì)量��,單向流量的時(shí)延不得超過(guò)150毫秒,否則用戶體驗(yàn)將非常糟糕����!罢Z(yǔ)音編碼可能占用長(zhǎng)達(dá)30毫秒的時(shí)間�,而橫跨相當(dāng)遠(yuǎn)的距離在公共IP網(wǎng)絡(luò)上傳送的語(yǔ)音呼叫可能占用長(zhǎng)達(dá)100毫秒、甚至125毫秒的時(shí)間��������!倍@還沒(méi)有算上防火墻����、加密和入侵防御等安全措施所帶來(lái)的時(shí)延�。
大多數(shù)主流防火墻并沒(méi)有把VoIP考慮在內(nèi),也沒(méi)有顧及SIP和H.323的一些特殊情況�。譬如說(shuō)�����,SIP至少使用三個(gè)端口號(hào)���,其中只有一個(gè)是靜態(tài)的����;H.323使用端口7和端口11就屬于靜態(tài)端口,從防火墻內(nèi)外開(kāi)始建立會(huì)議時(shí)����,SIP和H.323都使用TCP和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)。這就意味著你必須在標(biāo)準(zhǔn)防火墻上打開(kāi)大量端口���,而這從面臨的威脅角度來(lái)看是相當(dāng)令人頭疼的��,除了包頭里面的IP地址外����,SIP和H.323還嵌入了IP地址�����,所以入站呼叫在防火墻和路由器的傳統(tǒng)NAT設(shè)置上可能會(huì)遇到問(wèn)題�。
運(yùn)營(yíng)商和一些大型企業(yè)可以選用價(jià)格稍微昂貴的設(shè)備,例如會(huì)話邊界控制器(SBC)等�����,來(lái)處理NAT和開(kāi)放端口問(wèn)題。CheckPoint����、Juniper和WatchGuard等各大防火墻和入侵防護(hù)系統(tǒng)廠商出品的較新型防火墻產(chǎn)品也開(kāi)始具有較強(qiáng)的VoIP功能,采用NAT穿透技術(shù)��,就能根據(jù)對(duì)VoIP會(huì)話進(jìn)行嚴(yán)格監(jiān)控�,動(dòng)態(tài)地打開(kāi)及關(guān)閉端口,甚至實(shí)現(xiàn)某些服務(wù)質(zhì)量(QoS)特性����,不過(guò)這往往意味著需要不斷地升級(jí)軟硬件(即追加投資),所以購(gòu)買之前應(yīng)當(dāng)慎重考慮��。
尋找解決之道
鑒于所有這些潛在的威脅和安全漏洞���,VoIP用戶會(huì)不會(huì)很快發(fā)現(xiàn)自己面臨服務(wù)中斷和竊聽(tīng)的困擾��?到目前為止�����,還沒(méi)有出現(xiàn)針對(duì)企業(yè)VoIP系統(tǒng)的破壞性極大的大規(guī)模攻擊,但并不意味著這種安全感狀況會(huì)一直延續(xù),分析人士給出了幾個(gè)令人信服的理由���。
首先�����,大多數(shù)較新的企業(yè)VoIP解決方案是封閉系統(tǒng)�����,語(yǔ)音數(shù)據(jù)包只是在普通局域網(wǎng)上傳送���,而大部分外部流量通過(guò)網(wǎng)關(guān)在PSTN上傳送。Gartner的Fraley說(shuō):“如果你只在局域網(wǎng)上傳送VoIP流量����,就比較容易獲得PSTN音質(zhì)并確保安全�!鞭k公室間的流量通常在受保護(hù)的辦公室到辦公室的連接上進(jìn)行傳送,因此在很多情況下�,保護(hù)內(nèi)部VoIP意味著對(duì)呼叫服務(wù)器、交換機(jī)和網(wǎng)關(guān)的安全進(jìn)行加固����,并且使用合適類型的防火墻和入侵防護(hù)系統(tǒng)對(duì)它們進(jìn)行保護(hù)。
廠商還建議把局域網(wǎng)上的語(yǔ)音流量與數(shù)據(jù)流量進(jìn)行隔離,保護(hù)語(yǔ)音流量遠(yuǎn)離惡意軟件�����、竊聽(tīng)和拒絕服務(wù)攻擊����。如果為語(yǔ)音構(gòu)建獨(dú)立的基礎(chǔ)設(shè)施,VoIP節(jié)省成本的好處就蕩然無(wú)存�����。不過(guò)�,你所用交換機(jī)具有的802.1q特性提供了很多同樣種類的保護(hù),可以把語(yǔ)音和數(shù)據(jù)放在不同的虛擬局域網(wǎng)(VLAN)上�����;而且利用具有語(yǔ)音識(shí)別功能的防火墻以及/或者入侵防護(hù)系統(tǒng)��,保護(hù)語(yǔ)音VLAN與數(shù)據(jù)VLAN之間的交匯點(diǎn)��,譬如消息傳送服務(wù)器��。實(shí)際上���,Cisco提供采用其最新版本的Call Manager的內(nèi)置入侵防護(hù)系統(tǒng)�。
Farnsworth說(shuō):“合理使用VLAN還可以防止偶然的VoIP嗅探行為����!彼终f(shuō)�,現(xiàn)在比較容易針對(duì)語(yǔ)音應(yīng)用采取恰當(dāng)?shù)陌踩胧?
VoIP廠商和安全專家說(shuō),最好避免使用軟電話(即運(yùn)行在PC上的電話軟件)��,而改用IP電話機(jī)����,因?yàn)檐涬娫拵缀醪豢赡芨綦x語(yǔ)音和數(shù)據(jù)。把IP電話機(jī)的IP地址綁定到其媒體訪問(wèn)控制(MAC)地址不失為有助于挫敗IP地址欺詐的一個(gè)好辦法����。有幾種解決方案使用數(shù)字證書用于設(shè)備和服務(wù)器驗(yàn)證,你還可以要求提供口令或者個(gè)人身份識(shí)別號(hào)才能使用IP電話���。對(duì)語(yǔ)音-信令數(shù)據(jù)及VoIP管理交互信息進(jìn)行加密非常重要���;在高度安全的環(huán)境下,甚至有必要對(duì)語(yǔ)音流進(jìn)行加密�。
未來(lái)挑戰(zhàn)
這些觀點(diǎn)在今天很具有針對(duì)性��,也容易實(shí)施�����,但將來(lái)呢�����?隨著各種網(wǎng)絡(luò)工具的不斷出現(xiàn)�,偵聽(tīng)工具及黑客關(guān)注范圍的不斷擴(kuò)展�����,情形又會(huì)如何���?Graydon說(shuō):“最根本的是����,企業(yè)希望利用VoIP節(jié)省國(guó)際長(zhǎng)途電話費(fèi)������!边@意味著�����,用VoIP干線取代ISDN的基群速率接口(PRI)和PSTN干線��,以便把呼叫轉(zhuǎn)發(fā)至離國(guó)際電話目的地比較近的那個(gè)網(wǎng)關(guān)����,成為最終的目標(biāo)所在��。
Graydon說(shuō):“一旦企業(yè)向因特網(wǎng)敞開(kāi)VoIP���,就可能會(huì)給自己的網(wǎng)絡(luò)帶來(lái)可能重大的安全漏洞��!睂(shí)際上�,封閉型企業(yè)VoIP系統(tǒng)的日子已經(jīng)過(guò)去了。Graydon還指出���,電信公司正在把內(nèi)部基礎(chǔ)設(shè)施由銅線上的PSTN改為光纖上的IP���,以減少自身的費(fèi)用,并逐漸使用與其他提供商之間的基于IP的對(duì)等連接��。他說(shuō):“重大的IP融合現(xiàn)象正在這方面悄然出現(xiàn)�!盋ollier同意這番觀點(diǎn),他說(shuō):“一旦MCI(美國(guó)電信運(yùn)營(yíng)商����,編者注)的VoIP網(wǎng)絡(luò)有1000個(gè)客戶在使用,要控制安全威脅將變得異常困難����。”
懷疑人士指出���,避免使用軟電話����、把語(yǔ)音與數(shù)據(jù)完全隔離是不現(xiàn)實(shí)的�。Collier說(shuō):“語(yǔ)音與數(shù)據(jù)的互相聯(lián)系正是所有那些新穎的融合應(yīng)用不斷發(fā)展的方向�����!盝eff Rothel是利用BorderWare公司的VoIP安全解決方案來(lái)提供企業(yè)VoIP服務(wù)的CentricVoice公司的CEO�����,他贊同這種說(shuō)法:“我們計(jì)劃繼續(xù)推出把語(yǔ)音直接集成到企業(yè)數(shù)據(jù)應(yīng)用的軟件層當(dāng)中的眾多服務(wù)����!笔聦(shí)上,Rothel及其他人看到了這股潮流�����,企業(yè)從大大小小的許多提供商購(gòu)買一系列語(yǔ)音服務(wù)和應(yīng)用�,它們統(tǒng)一使用IP和SIP標(biāo)準(zhǔn)。
Rothel聲稱���,傳統(tǒng)的語(yǔ)音提供商不是特別了解潛在的VoIP威脅��!捌渲杏性S多提供商根本不懂?dāng)?shù)據(jù)領(lǐng)域�。它們從未遇到過(guò)導(dǎo)致PSTN交換機(jī)癱瘓的病毒����!
還有一些顛覆性的應(yīng)用,譬如來(lái)自Skype及其他提供商的對(duì)等語(yǔ)音應(yīng)用���������!叭缃癯霈F(xiàn)了一大批并不符合標(biāo)準(zhǔn)的企業(yè)VoIP環(huán)境的VoIP應(yīng)用�����,它們可能會(huì)滲透到企業(yè)當(dāng)中������!盌avid Endler說(shuō)�。此人是入侵防護(hù)系統(tǒng)提供商TippingPoint(現(xiàn)隸屬3Com公司)的安全研究主管兼VoIP 安全聯(lián)盟主席。VoIP 安全聯(lián)盟是由旨在促進(jìn)安全研究的多家VoIP和安全廠商組成的組織����。
懷疑人士還指出,VoIP廠商建議的許多安全措施不是特別實(shí)用�����,也沒(méi)有得到廣泛應(yīng)用��。SecureLogix的Collier說(shuō):“當(dāng)然你可以實(shí)施語(yǔ)音與信令加密以及強(qiáng)驗(yàn)證等機(jī)制,但它們配置起來(lái)是件頭痛的事����。”IT安全提供商Sentegrity公司的CTO Brian Ham說(shuō)�����,當(dāng)前的密鑰交換標(biāo)準(zhǔn)如Diffie-Hellman密鑰協(xié)商協(xié)議擴(kuò)展性不夠好�,無(wú)法應(yīng)用于廣泛實(shí)施VoIP驗(yàn)證和加密機(jī)制:“如果你看一下論壇、公布板和行業(yè)領(lǐng)導(dǎo)者�,就會(huì)發(fā)現(xiàn)大家都在問(wèn):‘我們?nèi)绾尾拍苓M(jìn)行合理的密鑰交換?’”Sentegrity提供自己的輕便型密鑰交換解決方案���。
面臨攻勢(shì)
IP電話系統(tǒng)一直沒(méi)有遭到大規(guī)模的攻擊并不意味著這類攻擊不會(huì)發(fā)生���。BorderWare透露���,呼叫中心和金融機(jī)構(gòu)早已遭到了攻擊����,不過(guò)該公司官員不愿透露這些機(jī)構(gòu)的名字���。
Collier說(shuō):“除非某項(xiàng)技術(shù)得到廣泛部署�、自動(dòng)發(fā)動(dòng)攻擊的工具出現(xiàn)在大眾面前,否則你通常不會(huì)看到大規(guī)模的威脅�。”Endler也認(rèn)為:“隨著應(yīng)用得到更廣泛的部署����,它們會(huì)成為更有吸引力的攻擊對(duì)象�! BorderWare、SecureLogix甚至TippingPoint等VoIP安全廠商已經(jīng)開(kāi)始提供專門的VoIP防火墻和入侵防護(hù)系統(tǒng)����,旨在防范可能會(huì)在將來(lái)影響VoIP的應(yīng)用層漏洞。
最終�,VoIP可能會(huì)開(kāi)始遭到困擾電子郵件、即時(shí)消息及其他PC通信方式的同樣類型的入侵�����。好消息是���,VoIP和安全廠商已開(kāi)始及早處理這些問(wèn)題���。Kuhn說(shuō):“毫無(wú)疑問(wèn)�����,VoIP安全選項(xiàng)功能很快變得越來(lái)越好���。”他又說(shuō)��,語(yǔ)音應(yīng)用和數(shù)據(jù)應(yīng)用相融合的好處如此之大���,安全問(wèn)題不可能阻礙用戶部署它們�����。
Sentegrity的CEO James Largotta也認(rèn)為:“VoIP的想法太棒了�����。一旦部分缺陷得到了解決����,它差不多會(huì)大獲成功����������!
計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)
相關(guān)鏈接: