VoIP:安全領域的尼斯湖怪獸���?
2006/01/17
當越來越多VoIP安全的話題在媒體上露面時��,現(xiàn)實的應用中�,卻很少遇到實際的災難事件�����。
于是��,一些人開始困惑����,VoIP安全威脅到底是椅子下面的定時炸彈,隨時可能引爆��;還是傳說中的尼斯湖怪獸�,只存在于人們的想象里……
誰的奶酪�����?
“對于VoIP安全問題的擔憂���,也許最大的原因并不是來源于技術本身,而是這個市場����������!辟愰T鐵克中國區(qū)首席安全顧問田成一語中的���。
的確,如果單從技術角度講�����,VoIP就是將語音通過數(shù)據(jù)包的方式來傳輸�,它并不會比現(xiàn)有的數(shù)據(jù)網(wǎng)絡“更不安全”。然而這一市場巨大的含金量���,卻注定讓它像藏在身上的巨款一樣��,無論怎么包裹����,總會讓人感到忐忑不安。
根據(jù)市場調(diào)研公司In-Stat的預計��,從2005年至2009年����,亞洲地區(qū)VoIP市場每年將增長10億美元,2009年該市場規(guī)模將從目前的50多億美元飛躍到100億美元����,同期用戶數(shù)量將增長一倍以上。到那時���,VoIP將占到全球電話通信量的近一半�。而且據(jù)行業(yè)分析家預計�,企業(yè)的應用將更為廣泛,估計全球2000強公司到2009年�,有三分之二將采用VoIP作為主要的語音通信方式。
作為通信業(yè)歷史上最具革新性的技術�,VoIP是一塊令所有人垂涎欲滴的奶酪�,當然���,對于黑客而言也不例外����,F(xiàn)在所有的安全企業(yè)在談到新的安全威脅時��,都會強調(diào)一句話:那就是�����,黑客攻擊越來越受到經(jīng)濟利益的驅動���。對他們來說�����,擺在眼前的VoIP無疑就是一座金山���,不要說涉及商業(yè)機密的語音仿冒與竊取����,單單是話費盜取和欺詐(比如入侵語音網(wǎng)關��,花別人的錢打國際長途電話)���,以及發(fā)送語音垃圾郵件,就會產(chǎn)生驚人的收益����。
田成表示,“盡管從目前來看�����,賽門鐵克全球監(jiān)測網(wǎng)發(fā)現(xiàn)針對VoIP的攻擊報告很少����,但隨著VoIP作為新的通信技術得到廣泛認可和部署,攻擊者將它作為集中攻擊目標只是時間問題�。”
雖然有些人認為���,由于VoIP這樣的服務大多是由電信運營商來操控的�,安全方面的問題可以依靠管制政策來控制�,但是,VoIP的應用遠遠不只于語音,而且由于IP網(wǎng)絡跨越國界���,很難在全球范圍內(nèi)實現(xiàn)一致的管制�����,就可行性而言�����,VoIP的安全性問題���,還是應該主要通過技術手段來解決。那么從技術層面來看���,VoIP安全的癥結究竟在那里呢��?
軟肋有多軟
如果用戶就VoIP的安全問題去咨詢��,那么在IP通信商和專業(yè)安全廠商那里會得到截然不同的答案。前者認為VoIP系統(tǒng)至少同傳統(tǒng)的語音系統(tǒng)一樣安全��,而后者則認為其安全問題比電子郵件��、Web應用等更加嚴重�。
當然�����,這是站在不同利益立場上的發(fā)言����,不過,單從技術上來看��,在VoIP環(huán)境中�����,話音和數(shù)據(jù)一樣是一個個的“包”����,它沒有理由可以躲避開各種病毒和黑客攻擊的困擾���。從理論上來講�,眼下黑客對數(shù)據(jù)網(wǎng)絡的所有攻擊手段���,都有可能被應用到IP語音之上�。
比如話費盜取和欺詐,雖然IP話機不能通過并線的方式撥打電話��,但通過竊取使用者IP電話的登錄密碼同樣能夠獲得話機的權限�。這就如同在一根普通模擬話機線上又并接了一個電話一樣�����。再比如語音網(wǎng)頁仿冒��,語音欺詐等��。
田成也介紹說�,未來垃圾郵件的泛濫�,同樣可能出現(xiàn)在VoIP系統(tǒng)之上����。黑客會使用和尋找電子郵件地址一樣的目錄獲取攻擊,尋找出大量的合法IP電話地址����,然后將一段wav文件放到某臺計算機上,就可以發(fā)送大量垃圾語音郵件����,并且通過假造的IP電話地址���,讓人無從追查。
總之��,如果“幸運”的話�,包括病毒、蠕蟲�����、木馬��、DoS攻擊�����、垃圾郵件��、網(wǎng)絡釣魚等這些“老朋友”�,你都可能在VoIP環(huán)境中再次碰到。
那么�,為什么到目前為止��,我們在已經(jīng)應用的VoIP系統(tǒng)中����,并沒有看到大規(guī)模的攻擊事件,難道這些威脅只是存在于技術的理論層面嗎�?
對此,Juniper高級系統(tǒng)工程師王衛(wèi)認為�����,之所以目前VoIP還沒有任何關于大規(guī)模網(wǎng)絡攻擊或安全系統(tǒng)遭破壞的報道�,究其原因���,很大程度上是因為VoIP本身尚未成熟���,比如大量的非標準化和互操作性問題��,這些問題一方面給VoIP的部署應用帶來了巨大的麻煩��,但另一方面,也給黑客的攻擊造成了很大的障礙���。
我們知道��,開放的、標準化的體系最容易受到病毒和惡意攻擊的影響��,而眼下�,VoIP廠商和服務提供商們在為客戶安裝系統(tǒng)時�����,通常提供不同種類的防火墻�、私有協(xié)議����、預防侵入系統(tǒng)和其他一些保護裝置。此外����,很多企業(yè)VoIP解決方案通常是封閉的系統(tǒng),分組語音只在LAN上傳送�����,而大多數(shù)外部傳輸流經(jīng)過網(wǎng)關在PSTN上傳送。不過�,隨著VoIP的不斷成熟演進,走向開放��、標準化����、純IP的體系是必然趨勢��,到那時�,VoIP將因為很多語音和數(shù)據(jù)的融合應用�����,向整個互聯(lián)網(wǎng)開放����,而安全問題也必將隨之大量爆發(fā)�����。
威脅防護與盲人摸象
現(xiàn)實的情況是,由于沒有看到嚴重的VoIP安全事件�����,很多企業(yè)總是在已經(jīng)部署VoIP之后���,在逐漸依賴這一系統(tǒng)時,才開始逐步意識到安全的重要性��。企業(yè)擔心的安全問題主要包括通過電話記錄或者語音郵件泄漏公司敏感的信息����、竊聽���、惡意軟件導致的系統(tǒng)崩潰和其他惡意攻擊、以及機構內(nèi)部和外部人員不正當?shù)厥褂谜Z音服務等�。
要完全實現(xiàn)這些安全保障,企業(yè)需要在不同的網(wǎng)絡層次實施各種安全措施���,如認證、語音傳輸?shù)募用�、分離語音和數(shù)據(jù)網(wǎng)絡、對語音服務器實施實時監(jiān)控����,應用一些專門防止黑客入侵和計算機病毒的產(chǎn)品如防火墻等。
顯然�����,企業(yè)要一步做到所有這些是相當困難的����,而且在目前的情況下也并不必要���。在對待VoIP的安全問題上,我們不能像盲人摸象一樣��,每碰到一處就盲目放大���,而是要根據(jù)實際的應用��,結合當前主要的威脅所在�,尋找適宜的防護方案。王衛(wèi)認為目前VoIP的主要威脅可能來自于DoS�����,應該盡量降低網(wǎng)絡暴露���,加強網(wǎng)關的防護能力。
在網(wǎng)絡的安全保護方面���,人們首先最容易想到的產(chǎn)品就是防火墻。不過用傳統(tǒng)的防火墻來解決VoIP的安全問題卻有著很多的困難��,首先協(xié)同工作就是一個問題��。
由于語音通信中同時包含了數(shù)據(jù)流和信號流���,語音呼叫信息組成了數(shù)據(jù)流�,而信號流則進行呼叫建立和控制,依據(jù)的信號協(xié)議通常是H.323�����、會話初始協(xié)議(SIP)或媒體網(wǎng)關控制協(xié)議(MGCP)����。對于信號信息的通過�����,我們一般可預留少量端口用于呼叫接入�。而對于呼叫本身,由于是基于實時協(xié)議(RTP)和采用動態(tài)分配UDP端口方式�����,而不是通常情況下防火墻針對特定用戶或應用采用的靜態(tài)分配方式��,因而讓VoIP呼叫接入通過,意味著為所有通信打開了通道����,當然其中也包括黑客。如此一來��,防火墻也就失去了存在的意義�����。
防火墻的角色
那么��,在VoIP的安全上����,防火墻究竟能夠扮演什么樣的角色呢�����?
“實際上�����,現(xiàn)在的防火墻安全設備已經(jīng)超過了傳統(tǒng)的狀態(tài)檢查防火墻��,采用深度數(shù)據(jù)包檢測技術大大增強了安全能力和應用范圍���������! SonicWALL中國區(qū)技術經(jīng)理蔡永生這樣解釋道�������!霸赩oIP網(wǎng)絡中,防火墻的傳統(tǒng)角色正在發(fā)生本質(zhì)上的變革�。因為VoIP要求因特網(wǎng)上基于IP的資源是可預測的、靜態(tài)可用的�,但防火墻的網(wǎng)絡地址轉換功能給VoIP網(wǎng)絡帶來了障礙����。通過“pin-holing”和其他技術,安全供應商已經(jīng)找到了適應VoIP基礎設施���、保證互操作的方法�!
“SonicWALL的防火墻可以對通過的每個VoIP信令和媒體數(shù)據(jù)包進行狀態(tài)檢測,保證所有業(yè)務流的合法性����。對于攻擊者來說,攻擊所使用的主要方法就是利用特殊編制的數(shù)據(jù)包來窺探和利用軟硬件實現(xiàn)的缺陷��,從而導致目標設備出現(xiàn)緩沖區(qū)溢出等問題��。SonicWALL能夠在非法數(shù)據(jù)包到達目標之前檢測到它們并將其丟棄�����!
對此�����,王衛(wèi)也向記者作出了解釋��,他談到:“與HTTP不同����,SIP協(xié)議把IP地址放在了消息負載中����,而不是消息的頭文件中。因此�����,要讓防火墻傳遞SIP消息�,防火墻必須要通過深度檢測了解這種應用程序��,以便翻譯出那個信息���。Juniper開發(fā)的語音感知應用層網(wǎng)關(ALGs)技術,它使網(wǎng)絡能夠動態(tài)開放和關閉防火墻端口��,允許出入呼叫經(jīng)過防火墻��。從而避免了開放大量防火墻端口���,使網(wǎng)絡暴露在端口掃描和黑客的危險之中�!
據(jù)王衛(wèi)介紹����,現(xiàn)在,通過擴展的協(xié)議支持���,NetScreen深層檢測防火墻可防止650多種應用級攻擊和異常情況����?蛻艨墒褂妙A定義的規(guī)則��,也可創(chuàng)建定制的攻擊組,并基于協(xié)議或嚴重程度安排應答順序���,從而為高效的網(wǎng)絡保護提供細粒度的控制��。
此外,深層檢測防火墻技術還提供應用感知功能�����,使客戶不僅能夠抵御攻擊�����,還能控制應用的使用��。例如�����,客戶可允許IM聊天��,同時拒絕文件傳輸。
隨著企業(yè)范圍的VoIP部署涉及范圍越來越寬����,網(wǎng)絡威脅越來越復雜,對VoIP防護的挑戰(zhàn)也在加大����。無論如何���,要時刻記住��,對于黑客來說��,所有可能大規(guī)模普及的信息應用,都是等待上桌的美餐���,VoIP也不例外��,我們的企業(yè)不能再存有任何僥幸的心理��,否則下一個被裝入盤中的��,可能就是你��。
現(xiàn)有VoIP安全性解決方案
- 無防火墻(或者防火墻不支持VoIP),優(yōu)點是不影響IP話音和視頻應用�����,缺點是完全沒有網(wǎng)絡安全性����, 端點需要公共IP地址��。
- ‘繞過’防火墻的NAT穿透解決方案(如利用STUN協(xié)議)��,優(yōu)點是不需要防火墻升級/改變����,缺點是僅有有限安全性,VoIP設備仍然暴露�����;對于對稱NAT仍然無法工作�����;僅適用于UDP -C 不支持基于TCP的H.323或SIP�����。
- 會話邊界控制器(SBC),優(yōu)點是不需要防火墻升級/改變�����,調(diào)節(jié)網(wǎng)絡與網(wǎng)絡界面之間的網(wǎng)絡流量����,缺點是主要針對服務供應商而設計�����,需要額外的設備�,成本較高。
- 全VoIP代理�,優(yōu)點是不需要防火墻升級/改變��,缺點是代理(Proxy)仍然暴露在攻擊者面前���;每個防火墻后都需要代理�;增加額外的延遲并成為瓶頸或引入抖動�����。
- 狀態(tài)數(shù)據(jù)包檢測和變換����,優(yōu)點是保護信令和媒體數(shù)據(jù)��;易于使用����;支持多種VoIP協(xié)議�����,有良好的互操作性���。缺點是前三代防火墻不支持����。
編看編想:無知者無畏���?
關于VoIP安全話題的探討,讓記者對一個更深層的問題感到困惑:人們對于事務的危機感��,是不是必須要建立在災難性的安全事件之后����?
對于不了解的事務����,人們往往并不會心存恐懼�����。打個不太恰當?shù)谋确剑绻阌米筝喪謽寣室晃还糯��,所起到的威懾作用�,肯定遠遜于一把明晃晃的大刀���。與此相類似的例子是��,在放射性物質(zhì)剛剛被人們所認知的時候,有的人堅持認為這種看不見����、摸不到的射線對人體是無害的,并為了證明這一點�����,甚至不顧勸阻反復接受照射����,其最終的結果可想而知�����。所有這些正印證了那句話——無知者無畏。
當面對未知事務時�����,人的擔心與恐懼感只能來自于兩條途徑����,一是痛苦的經(jīng)驗教訓�����;另一條就是建立在對該事物的了解之上��。
然而�,作為生活在信息社會的現(xiàn)代企業(yè)和個人�,接觸的新事物不斷增多,不應該總是要等到出現(xiàn)了負面的后果����,才開始補救的行為�。亡羊補牢��,雖猶為晚,但最好的辦法當然還是提前準備����,未雨綢繆��。
因此���,對VoIP這類重要信息系統(tǒng)防護行為����,更多的應該建立在了解而不是教訓的基礎之上��。當然�,從另一個角度來講����,這種防護也絕不能是盲目的,這樣做只能造成無謂的浪費����。安全防護建設要根據(jù)應用的滲透與逐步深入分階段進行,但最重要的一點���,就是始終要領先于潛在的威脅��。
Fusion通信公司是日本著名的新型VoIP供應商�����,它也是日本VoIP電信業(yè)的先驅�����,一直走在創(chuàng)新的前沿。作為日本第一家提供大規(guī)模IP (旁路長話)電話業(yè)務的公司����,F(xiàn)usion通過能夠完全繞過傳統(tǒng)電話交換網(wǎng)絡的專用IP網(wǎng)絡提供話音通信業(yè)務���,開創(chuàng)了行業(yè)的先河�����。
作為新事物的領軍者�����,F(xiàn)usion當然十分重視VoIP的安全和由此帶來的風險,不過���,初期他們并沒有大規(guī)模盲目建立防護系統(tǒng)�,是更多關注于話音質(zhì)量和便利性����,在安全上的投資����,也集中于這方面。
現(xiàn)在��,F(xiàn)usion運行著日本最大的IP電話業(yè)務��,并有了240萬忠實的用戶���,目前����,他們的系統(tǒng)已經(jīng)演進到完全擺脫交換和其他傳統(tǒng)系統(tǒng)的“純IP”網(wǎng)絡�����,承載了更多的全新業(yè)務。雖然在運行期間并未發(fā)生大的安全事故��,但Fusion卻反而更加具有危機感�����。憑借對VoIP越來越深入地了解����,F(xiàn)usion在安全系統(tǒng)建設上不斷投入重資�����,比如在網(wǎng)絡中全面部署Juniper公司VF系列會話邊界控制器等��,以此提高VoIP應用的安全性�����。就像Fusion CEO所說的“投資(指安全系統(tǒng)的建設)是值得的�����,因為這個領域不會給我們犯第二次錯誤的機會�!
也許這句話也應該成為更多現(xiàn)代企業(yè)的座右銘�。
網(wǎng)絡世界(cnw.ccw.com.cn)
相關鏈接: