首頁>>>技術>>>VoIP

誰來“護法”VoIP

清華大學網絡中心 陳曉峰 2006/10/20

  VoIP原本應該是一炮走紅,以壓倒性的優(yōu)勢迅速取代傳統(tǒng)業(yè)務的新技術,但是VoIP的發(fā)展沒有人們預期得那么快。除了政策、使用習慣與方便程度、互聯(lián)網發(fā)展是VoIP大規(guī)模應用的桎梏外,各個層面的安全問題也是運營商引入VoIP的一個顧慮。

  安全從四點開始

  互聯(lián)網應用系統(tǒng)中一直令人頭疼的垃圾郵件、網絡釣魚式攻擊和拒絕服務攻擊一樣會影響VoIP系統(tǒng)。因此,VoIP安全應該分為平臺安全、傳輸網的安全、承載協(xié)議安全和部署安全四個方面。

  平臺安全

  VoIP服務器必須架設在一定的操作系統(tǒng)、數(shù)據庫和應用服務器平臺上,因此DDos攻擊、漏洞攻擊,這種傳統(tǒng)的攻擊對于VoIP系統(tǒng)的安全性影響也存在。利用DDos攻擊,黑客造成服務器業(yè)務處理能力下降而無法正常進行業(yè)務,目前應對這種安全問題能夠通過購買前置防攻擊硬件來進行過濾。業(yè)界評價較好的思科CallManager電話服務器以來SQLServer進行數(shù)據存儲,而SQLServer的漏洞也成為了CallManager電話服務器的漏洞。這種安全的最大問題在于,黑客能夠進行話費詐欺,竊取客戶資料。使用Unix,Solaris這些穩(wěn)定操作系統(tǒng)平臺與軟件并且及時地進行在線升級,是運營商能夠采取的有效的防范辦法。

  通信層面的安全

  由于VoIP以互聯(lián)網為載體進行語音和信令的傳遞,其傳輸途徑安全性相比電信網絡要低很多。傳統(tǒng)的電信網絡基本屬于私有網絡,采用七號信令進行業(yè)務管理,很少有非法監(jiān)聽,因此電信網絡是一個相對較為安全可靠的通信網絡。而互聯(lián)網的分布式自治特點從它的誕生開始就一直受到安全的困擾,網絡中的黑客、特工、間諜等無數(shù)雙眼睛盯著網絡上傳輸?shù)臄?shù)據包,國際流量尤其嚴重。國內各大網絡運營商的互聯(lián)互通也開始產生了不安全的因素,現(xiàn)在各個運營商在互聯(lián)互通接口、城域網出口進行業(yè)務分析已經不是秘密;ヂ(lián)網安全研究一直都是一個熱點,目前能夠對網絡傳輸信息進行反監(jiān)聽的方法只有各種形式的加密。但是加密也不是一勞永逸的方法,首先加密需要開銷,越難攻破的加密方式需要處理的計算就越多,進而影響VoIP性能,另外VoIP加密也存在部署的問題。

  協(xié)議安全

  目前流行的VoIP承載協(xié)議都是以國際標準為基礎的,這樣的協(xié)議在尋找VoIP落地代理商、國際出口時不需要轉化網關,可以方便的進行研發(fā)和部署。國內使用的SIP、MGCP/H.248和H.323協(xié)議基本都是明文傳輸信息,網絡監(jiān)聽設備很容易監(jiān)聽到使用這些協(xié)議的VoIP呼叫,而且非常容易分出用戶名、密碼、主叫被叫號碼、網關地址等信息。

  采取一些成熟的加密方式,例如3DES、SSH、AES等,可以非常有效的組織網絡探針對于信息的分析,VoIP采取這些加密從技術角度來說是容易實現(xiàn)的。不過目前VoIP傳輸協(xié)議加密的非常少,遵從國際標準,互聯(lián)互通是VoIP很少使用加密方式的原因。

  VoIP協(xié)議的檢測方法研究也是VoIP安全問題的一大心病。SKYPE購買了一種較為私有的語音壓縮協(xié)議,而且采用P2P的方式進行通信來避免協(xié)議攻擊,對于SKYPE的檢測一直是一個難點。不過SKYPE協(xié)議神秘的面紗現(xiàn)在已經揭開,目前已經有人成功解密SKYPE協(xié)議細節(jié),而且能夠成功的通過偽造數(shù)據包的方式干擾或者中斷通話的正常進行。

  部署安全

  VoIP部署也存在安全問題。市場上的主流防火墻在設計時并沒有考慮到VoIP協(xié)議本身的特點,也沒有顧及SIP和H.323的一些特殊情況。SIP至少使用三個端口號、H.323使用端口1721靜態(tài)端口,從防火墻內外開始建立會議時,SIP和H.323都使用TCP和用戶數(shù)據報協(xié)議(UDP)。這就意味著VoIP部署必須在標準防火墻上打開大量端口,而這種設置從屏蔽攻擊角度來看是相當令人頭疼的,除了包頭里面的IP地址外,SIP和H.323還嵌入了IP地址,這種入站呼叫在防火墻和路由器的傳統(tǒng)NAT設置上非常的麻煩。運營商和一些大型企業(yè)可以選用價格稍微昂貴的設備,例如會話邊界控制器(SBC)等,來處理NAT和開放端口問題。CheckPoint、Juniper和WatchGuard等各大防火墻和入侵防護系統(tǒng)廠商出品的較新型防火墻產品也開始具有較強的VoIP功能,采用NAT穿透技術,就能根據對VoIP會話進行嚴格監(jiān)控,動態(tài)地打開及關閉端口,甚至實現(xiàn)某些服務質量(QoS)特性,不過這往往意味著需要不斷地升級軟硬件。

  “寄生”式VoIP運營安全

  上面從各個網絡到應用的各個層面分析了VoIP存在的安全,以及目前的應對措施。運營VoIP業(yè)務,一種是大的業(yè)務提供商通過自己的網絡提供的真正的VoIP,一種是Skype、Net2Phone、Vonage等提供的“寄生”式的VoIP。

  如今典型的企業(yè)IP電話系統(tǒng)其基本要素包括:呼叫控制服務器、VoIP客戶機和VoIP網關。利用企業(yè)VoIP,企業(yè)能夠為分公司或者外出出差者提供免費的通訊方式,也可以為企業(yè)的最終用戶提供企業(yè)800VoIP電話服務,當前發(fā)展較為火熱。

  企業(yè)VoIP系統(tǒng)和其他數(shù)據應用一樣也容易遭到攻擊,至少從理論上講是這樣。面臨的一系列潛在威脅包括:拒絕服務攻擊、病毒、蠕蟲、特洛伊木馬、數(shù)據包嗅探、垃圾郵件和網絡釣魚,還會遭到垃圾郵件的侵擾,而且網絡釣魚也容易得逞,只要假冒撥號人的身份信息,就可以偽裝成某家合法機構的代表撥打VoIP電話,因此許多關鍵的商業(yè)信息傳輸仍用傳真來實現(xiàn)。今年年初,美國政府提出了一些建議。

  電信運營商VoIP運營安全

  電信級VoIP必須符合“電信級”這個概念,電信級的高可用性要求VoIP必須像現(xiàn)今PSTN一樣,達到6個9(99.9999%)的基本標準。隨著電信運營商逐漸認識到VoIP的重要性,已經開始進行VoIP運營了,相比“寄生”式VoIP系統(tǒng),電信運營商的VoIP系統(tǒng)相對來說較為安全,而且協(xié)議選擇也能夠較為靈活。不過電信級的VoIP安全問題來自于網絡的問題,隨著P2P的各種應用的大規(guī)模膨脹,電信的帶寬已經開始非常吃緊,很多運營商增加的帶寬在幾天之內就被耗盡,在這樣的環(huán)境下部署實時性非常高的VoIP應用,高可用性很難達到“電信級”的要求。

  目前已經有運營商的設計單位分析了當前的情形后,在網絡二期擴容建設時已經開始考慮將互聯(lián)網和VoIP承載網絡進行分開建設,從而避免因為網絡帶寬問題影響VoIP的高可用性,這也體現(xiàn)了電信級VoIP的最大安全問題。不過運營商目前能夠采取的對策除了被動的分開建設以外,網絡帶寬分配策略、合理選擇VPN和加密、防火墻技術也都是可行的方案。
 

通信產業(yè)報


相關鏈接:
Skype實現(xiàn)VoIP功能的工作原理及優(yōu)勢 2006-10-19
IP話吧“省錢省時省心”直通車 2006-10-19
走出VoIP安全無間道 2006-10-19
IP 語音技術:讓美夢成真 2006-10-18
融合VoIP與DECT的數(shù)字無繩電話解決方案 2006-10-10

相關頻道:  電信_與_voip           文摘   行業(yè)_電信_新聞   技術_voip_文摘