詳談VoIP安全漏洞以及防護(hù)辦法
2008/09/01
隨著數(shù)據(jù)網(wǎng)絡(luò)帶寬的不斷擴(kuò)展��,百兆甚至千兆到桌面已經(jīng)成為可能���。帶寬的提升也為在數(shù)據(jù)網(wǎng)絡(luò)上傳輸話音提供了有力的前提條件��。同時,VoIP技術(shù)也日趨成熟�����,類似話音壓縮、Qos質(zhì)量保障之類的話題被大家廣泛的討論并達(dá)成共識�。可以說VoIP技術(shù)已經(jīng)從原來的實驗性質(zhì)真正的專向為成熟的商業(yè)應(yīng)用�����。
盡管VoIP在中國最早的應(yīng)用還是在運(yùn)營商中做電路交換的補(bǔ)充�����,但現(xiàn)在已經(jīng)有很多企業(yè)用戶已經(jīng)開始關(guān)注起VoIP這一應(yīng)用���。對于新興的小型辦公企業(yè),利用新建的數(shù)據(jù)網(wǎng)絡(luò)的充裕帶寬來承載語音���,要比再建一套獨(dú)立的話音系統(tǒng)方便許多��,功能上也具備了諸如移動辦公等傳統(tǒng)話音交換機(jī)所不具備的功能���。對于行業(yè)用戶,因為有連接各個分支節(jié)點(diǎn)的數(shù)據(jù)網(wǎng)絡(luò)�,利用IP中繼進(jìn)行總部和分支節(jié)點(diǎn)間的互聯(lián)可以省去租用長途電路中繼的高昂費(fèi)用����。因此�,VoIP技術(shù)在企業(yè)級用戶群體中將會有廣闊的應(yīng)用。
但是�,在實施項目或者在使用過程中,用戶和設(shè)備供應(yīng)廠家更多的會將精力放在如何改善話音質(zhì)量和同現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)的融合上面���,很少考慮到VoIP所存在的安全隱患��。如同我們將重要的應(yīng)用服務(wù)器都置于防火墻的保護(hù)之內(nèi)一樣;其實��,在VoIP的情況下�����,話音也是和數(shù)據(jù)應(yīng)用一樣���,也成為了一個個的“Packet”,同樣也將承受各種病毒和黑客攻擊的困擾��。難怪有人調(diào)侃說:“這是有史以來的第一次�,電腦病毒能夠讓你的電話不能正常工作。”
究竟有那幾種因素會影響到VoIP呢?首先是產(chǎn)品本身的問題����。目前VoIP技術(shù)最常用的話音建立和控制信令是H.323和SIP協(xié)議。盡管它們之間有若干區(qū)別���,但總體上都是一套開放的協(xié)議體系�。設(shè)備廠家都會有獨(dú)立的組件來承載包括IP終端登陸注冊��、關(guān)守和信令接續(xù)�。這些產(chǎn)品有的采用WindowsNT的操作系統(tǒng),也有的是基于Linux或VxWorks�����。越是開放的操作系統(tǒng)���,也就越容易受到病毒和惡意攻擊的影響。尤其是某些設(shè)備需要提供基于Web的管理界面的時候��,都會有機(jī)會采用MicrosoftIIS或Apache來提供服務(wù)�,而這些應(yīng)用都是在產(chǎn)品出廠的時候已經(jīng)安裝在設(shè)備當(dāng)中,無法保證是最新版本或是承諾已經(jīng)彌補(bǔ)了某些安全漏洞����。
其次是基于開放端口的DoS(拒絕服務(wù))攻擊���。從網(wǎng)絡(luò)攻擊的方法和產(chǎn)生的破壞效果來看,DoS算是一種既簡單又有效的攻擊方式���。攻擊者向服務(wù)器發(fā)送相當(dāng)多數(shù)量的帶有虛假地址的服務(wù)請求����,但因為所包含的回復(fù)地址是虛假的�����,服務(wù)器將等不到回傳的消息�,直至所有的資源被耗盡。VoIP技術(shù)已經(jīng)有很多知名的端口����,像1719、1720�、5060等。還有一些端口是產(chǎn)品本身需要用于遠(yuǎn)端管理或是私有信息傳遞的用途�����,總之是要比普通的某個簡單的數(shù)據(jù)應(yīng)用多。只要是攻擊者的PC和這些應(yīng)用端口在同一網(wǎng)段����,就可以通過簡單的掃描工具,如X-Way之類的共享軟件來獲得更詳細(xì)的信息���。
最近一個安全漏洞是由NISCC(UKNationalInfrastructureSecurityCo-ordi-nationCenter)提出�����,測試結(jié)果表明:“市場上很多采用H.323協(xié)議的VoIP系統(tǒng)在H.245建立過程中都存在漏洞�����,容易在1720端口上受到DoS的攻擊��,導(dǎo)致從而系統(tǒng)的不穩(wěn)定甚至癱瘓”�����。
再次就是服務(wù)竊取��,這個問題在模擬話機(jī)的情況下同樣存在。如同我們在一根普通模擬話機(jī)線上又并接了多個電話一樣�����,將會出現(xiàn)電話盜打的問題。盡管IP話機(jī)沒辦法通過并線的方式來打電話�,但通過竊取使用者IP電話的登陸密碼同樣能夠獲得話機(jī)的權(quán)限。通常在IP話機(jī)首次登陸到系統(tǒng)時��,會要求提示輸入各人的分機(jī)號碼和密碼;很多采用了VoIP的企業(yè)為了方便員工遠(yuǎn)程/移動辦公����,都會在分配一個桌面電話的同時,再分配一個虛擬的IP電話����,并授予密碼和撥號權(quán)限。
這樣��,即使員工出差或是在家辦公情況下����,都可以利用VPN方式接入到公司的局域網(wǎng)中,然后運(yùn)行電腦中的IP軟件電話接聽或撥打市話����,如同在公司里辦公一樣。當(dāng)密碼流失之后�,任何人都可以用自己的軟電話登陸成為別人的分機(jī)號碼;如果獲得的權(quán)限是可以自由撥打國內(nèi)甚至國際長途號碼��,將會給企業(yè)帶來巨大的損失且很難追查�。
最后是媒體流的偵聽問題�。模擬話機(jī)存在并線竊聽的問題,當(dāng)企業(yè)用戶使用了數(shù)字話機(jī)之后�,由于都是廠家私有的協(xié)議,很難通過簡單的手段來偵聽����。但VoIP環(huán)境下,這個問題又被提了出來�。一個典型的VoIP呼叫需要信令和媒體流兩個建立的步驟,RTP/RTCP是在基于包的網(wǎng)絡(luò)上傳輸?shù)葧r話音信息的協(xié)議����。由于協(xié)議本身是開放的,即使是一小段的媒體流都可以被重放出來而不需要前后信息的關(guān)聯(lián)�。如果有人在數(shù)據(jù)網(wǎng)絡(luò)上通過Sniffer的方式記錄所有信息并通過軟件加以重放,會引起員工對話音通信的信任危機(jī)��。
在這項技術(shù)研發(fā)伊始�����,開發(fā)者期望它作為傳統(tǒng)長途電話的一種廉價的替代方式�����,因此并未太多在意安全問題;同時�,VoIP技術(shù)也是跟隨著整個網(wǎng)絡(luò)市場的發(fā)展而發(fā)展,太多不同廠家和產(chǎn)品的同時存在導(dǎo)致一時無法提出一個統(tǒng)一的技術(shù)標(biāo)準(zhǔn);VoIP的基礎(chǔ)還是IP網(wǎng)絡(luò)���,開放的體系構(gòu)架不可避免受到了來自網(wǎng)絡(luò)的負(fù)面影響����。最大限度地保障VoIP的安全主要的方法有以下幾種:
1.將用于話音和數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)進(jìn)行隔離
這里所說的隔離并不是指物理上的隔離����,而是建議將所有的IP話機(jī)放到一個獨(dú)立的VLAN當(dāng)中,同時限制無關(guān)的PC終端進(jìn)入該網(wǎng)段���。通過很多評測者的反饋信息表明���,劃分VLAN是目前保護(hù)IP話音系統(tǒng)最為簡單有效的方法,可以隔離病毒和簡單的攻擊����。同時,配合數(shù)據(jù)網(wǎng)絡(luò)的QoS設(shè)定����,還將有助于提高話音質(zhì)量�。
2.將VoIP作為一種應(yīng)用程序來看待
這也意味著我們需要采用一些適用于保護(hù)重要的應(yīng)用服務(wù)器之類的手段�,來保護(hù)VoIP設(shè)備中一些重要的端口和應(yīng)用,例如采用北電網(wǎng)絡(luò)Aleton交換防火墻就可以有效地抵御DoS的攻擊����。同樣的辦法也適用于VoIP系統(tǒng),當(dāng)兩個IP終端進(jìn)行通話時�,一旦信令通過中心點(diǎn)的信令服務(wù)進(jìn)程建立之后,媒體流只存在于兩個終端之間;只有當(dāng)IP終端上發(fā)起的呼叫需要透過網(wǎng)關(guān)進(jìn)入PSTN公網(wǎng)時����,才會占用媒體網(wǎng)關(guān)內(nèi)的DSP處理器資源。所以��,我們需要對信令和媒體流兩類對外的地址和端口進(jìn)行保護(hù)�����。
同時�,盡可能少的保留所需要的端口,例如基于Web方式的管理地址����,并且盡可能多的關(guān)閉不需要的服務(wù)進(jìn)程��。需要提醒的是H.323/SIP在穿越NAT和防火墻的時候會遇到障礙���,這是由于協(xié)議本身的原因造成的,但通過啟用“應(yīng)用層網(wǎng)關(guān)”(ApplicationLayerGa-teway簡稱ALG)之后�,就可以解決這個問題;隨著呼叫量的增長�,可以采用外置媒體流代理服務(wù)器(RTPMedia
Portal)的辦法來支持更大規(guī)模的VoIP系統(tǒng)。
3.選擇合適的產(chǎn)品和解決方案
目前不同廠家的產(chǎn)品體系構(gòu)架不盡相同��,操作平臺也各有偏愛��。我們無法斷言哪種操作系統(tǒng)最為安全可靠�,但廠家需要有相應(yīng)的技術(shù)保障來讓用戶相信各自的產(chǎn)品有能力抵御日益繁多的病毒侵襲。同時����,很多廠家的產(chǎn)品也采用了管理網(wǎng)段和用戶的IP話音網(wǎng)段在物理上隔離的機(jī)制,盡可能少的將端口暴露在外網(wǎng)上����。北電網(wǎng)絡(luò)推出的Succession1000/1000M就采用了這些設(shè)計思路,將管理網(wǎng)段和用戶網(wǎng)段徹底在物理上隔離���,并采用VxWorks操作系統(tǒng)���,盡可能多的屏蔽外界對系統(tǒng)的影響���。此外,VoIP的安全問題和數(shù)據(jù)網(wǎng)絡(luò)的安全本質(zhì)上是緊密相關(guān)的�,需要廠家提供的不僅僅是一套設(shè)備,更多的是如何幫助用戶在現(xiàn)有的網(wǎng)絡(luò)上提高安全和可靠性的思路和一些技巧�。
4.話音數(shù)據(jù)流的加密
目前H.323協(xié)議簇中有一成員-H.235(又稱為H.Secure)是負(fù)責(zé)身份驗證、數(shù)據(jù)完整性和媒體流加密的����。更實際的情況是廠家會選用各自私有的協(xié)議來保證VoIP的安全性。但即使沒有H.235或其他的手段�����,想要偷聽一個IP電話呼叫仍要比偷聽一個普通電話要困難的多���,因為你需要編解碼器算法和相應(yīng)的軟件����。即使你獲得了軟件并且成功連接到公司的IP話音網(wǎng)段�����,仍然有可能一無所獲。因為目前很多企業(yè)內(nèi)部的數(shù)據(jù)網(wǎng)絡(luò)都采用以太網(wǎng)交換機(jī)的10/100M端口到桌面而不是HUB��,因而無法通過Sniffer的方式竊取信息�。
5.合理制定員工撥號權(quán)限
很多廠家已經(jīng)將傳統(tǒng)交換機(jī)的豐富功能移植到了VoIP系統(tǒng),這些功能將有效地抑制竊取登陸密碼進(jìn)行盜打的現(xiàn)象�。給IP電話設(shè)定能否撥打長途或特定號碼的權(quán)限,或者是通過授權(quán)碼的方式要求撥打長途號碼前必須輸入正確的若干位密碼等方式���,可以簡單的解決上述問題。
IP網(wǎng)絡(luò)所存在的安全問題一直以來受到大家的關(guān)注����。而作為數(shù)據(jù)網(wǎng)絡(luò)上的一種新興的應(yīng)用,VoIP所面臨的一些安全隱患�����,實際是IP網(wǎng)絡(luò)上存在的若干問題的延續(xù)�����。只有很好地解決了網(wǎng)絡(luò)的安全問題���,同時配合產(chǎn)品本身的一些安全認(rèn)證機(jī)制����,基于VoIP的應(yīng)用才能夠在企業(yè)中持久穩(wěn)定的發(fā)揮作用,并成為解決企業(yè)話音通信需求的有效方法�����。
中國聯(lián)通網(wǎng)站
相關(guān)鏈接: