消滅IP語(yǔ)音中的安全威脅
Joanne Cummings
2003/07/21
只要你采取一些簡(jiǎn)單的預防措施,IP語(yǔ)音的安全風(fēng)險不一定比數據應用更高。
一旦企業(yè)用戶(hù)測試了VoIP并證明它可行后,它們面臨著(zhù)最后一道障礙:確保它是安全的。
但是,一頭扎進(jìn)VoIP中的用戶(hù)說(shuō)他們并不擔心安全問(wèn)題。Lexent公司工程與新技術(shù)主管Doug Haluza說(shuō):“如果你正確配置它,并且像對待網(wǎng)絡(luò )上的任何其他關(guān)鍵任務(wù)服務(wù)器和應用那樣對待它的話(huà),VoIP就像其他數據應用一樣安全。”Lexent是紐約的一家電力服務(wù)公司,它自從2002年1月起就一直在企業(yè)網(wǎng)絡(luò )上運行VoIP。
分析人士對此表示贊同,說(shuō)保證VoIP的安全歸結為典型的保證聯(lián)網(wǎng)的服務(wù)器、應用和語(yǔ)音的安全的措施。但是,在選擇防火墻、入侵檢測系統(IDS)和其他安全工具時(shí),需要特別的注意。
棘手的防火墻
在防火墻上保護VoIP數據是一項棘手的工作。VoIP會(huì )話(huà)使用H.323或會(huì )話(huà)初始協(xié)議(SIP)。VoIP部署中的防火墻必須能夠處理這些相當復雜的實(shí)時(shí)通信協(xié)議。H.323和SIP使用分離的控制連接和媒體傳輸連接,這意味著(zhù)它們通常在建立一次呼叫時(shí),在一個(gè)IP端口上建立連接,然后選擇隨機的、編號很大的IP端口(一般在端口1024以上)用于數據連接。你不能簡(jiǎn)單地將防火墻配置為打開(kāi)某些端口、阻塞某些端口,因為防火墻永遠不知道哪個(gè)端口將用于數據連接。
銷(xiāo)售狀態(tài)性(stateful)SIP和H.323兼容防火墻的Check Point公司戰略營(yíng)銷(xiāo)經(jīng)理Mark Kraynak說(shuō):“人們需要這樣一種防火墻:它很好地懂得這些協(xié)議,知道只在數據連接在控制域中得到協(xié)商和認證時(shí)才開(kāi)放這些連接。它必須懂得在會(huì )話(huà)完成時(shí)關(guān)閉它們。”
防火墻還必須在不影響語(yǔ)音流性能的情況下,完成所有的狀態(tài)性數據包檢查。
根據國際電信聯(lián)盟的建議,端到端語(yǔ)音流的時(shí)延不應當超過(guò)100毫秒。由于語(yǔ)音使用比數據更小的包并且每秒傳送更多的包(每語(yǔ)音流大約每秒50個(gè)包,為一般數據流中包數量的近兩倍),處理語(yǔ)音會(huì )迅速地造成防火墻的癱瘓。
一家為企業(yè)用戶(hù)提供融合IP服務(wù)的機構—MCI Advantage公司高級設計師John Truetken說(shuō):“許多軟件防火墻可以滿(mǎn)足數據流的需要,但是當你開(kāi)始一次每秒50個(gè)包的語(yǔ)音呼叫時(shí),這實(shí)際上增加了它們必須檢查的包的數量,一些防火墻不能應付這種數量的包。”他說(shuō),專(zhuān)用硬件防火墻性能通常更好。
他說(shuō),這種情況也同樣出現在VPN上。他說(shuō):“當你增加了20條左右的語(yǔ)音流時(shí),一些低端VPN加密機就會(huì )出現問(wèn)題。它們每秒必須處理的包的數量有時(shí)會(huì )壓垮它們。”
這正是Lexent的Haluza親身遇到過(guò)的問(wèn)題。該公司在不同站點(diǎn)中部署了基于IPSec的VPN,然后決定在它上面運行VoIP。
他說(shuō):“最初,我們利用安裝在遠程站點(diǎn)的路由器建立了這條網(wǎng)絡(luò ),將IPSec隧道終止于安裝在總部的防火墻上。”Lexent使用的Cisco PIX防火墻沒(méi)有硬件加速器,只使用軟件加密。Haluza說(shuō):“這不適于語(yǔ)音,因為出現了太多的抖動(dòng)。”他指出,每當防火墻上的處理器一忙,打電話(huà)的人就會(huì )遇到語(yǔ)音丟失現象。
他說(shuō):“我們發(fā)現的另一件事是,我們不能從遠程站點(diǎn)到遠程站點(diǎn)打電話(huà),因為防火墻不讓這些語(yǔ)音包通過(guò)同一個(gè)端口進(jìn)出。”Lexent通過(guò)將IPSec隧道終止于安裝在兩端上的路由器上后,解決了這兩個(gè)問(wèn)題,因為兩端的路由器具有硬件加速功能,可以在站點(diǎn)之間建立傳輸線(xiàn)路。他說(shuō):“這樣,我們獲得了高性能的加密。”
保護服務(wù)器的安全
VoIP服務(wù)器也需要特別的關(guān)注。大多數IP PBX的操作系統必須刪除可能會(huì )導致安全威脅的不必要的服務(wù)。
Avaya公司架構與規劃主管James Coffman說(shuō):“服務(wù)器應當專(zhuān)用于語(yǔ)音服務(wù)。”他在描述Avaya公司的運行在精簡(jiǎn)版本的Linux上的MultiVantage IP PBX時(shí)說(shuō):“MultiVantage上面沒(méi)有Web瀏覽器、沒(méi)有電子郵件閱讀器、沒(méi)有守護進(jìn)程。我們關(guān)閉了很多你在剛出廠(chǎng)的服務(wù)器上可以得到的標準的網(wǎng)絡(luò )功能。”
這種操作系統加固措施有助于保護平臺不受病毒和蠕蟲(chóng)(如最近出現的Slapper和Nimda)的攻擊。Nortel公司安全解決方案營(yíng)銷(xiāo)經(jīng)理Fred Weiler說(shuō):“一些IP電話(huà)核心服務(wù)器僅僅使用普通的Windows NT軟件,它們遭到了Nimda的攻擊。我們的平臺是基于嵌入式NT的,這種NT操作系統經(jīng)過(guò)了加固、測試并刪除了不使用的服務(wù),我們的IP電話(huà)平臺沒(méi)有一個(gè)受到過(guò)攻擊。”
Cisco公司受到了指責,它的一些基于NT的CallManager VoIP服務(wù)器受到了Nimda的攻擊。Cisco迅速為這些系統發(fā)布了補丁,并且也逐漸加固了它的平臺。該公司計劃年底前提供非NT平臺選擇,盡管它說(shuō)如果用戶(hù)認真地在安全漏洞評估和補丁管理上遵守最佳慣例的話(huà),VoIP服務(wù)器將不會(huì )比網(wǎng)絡(luò )上其他設備更脆弱。
許多用戶(hù)由于安全原因而不再使用基于Windows的IP PBX。紐約州Geneva市Hobart and William Smith學(xué)院正在內部試驗LAN上運行VoIP。這所大學(xué)的CIO Brian Young說(shuō):“當我們研究重要應用時(shí),我們會(huì )考慮它們的平臺是否會(huì )吸引更多的病毒或黑客,而我認為Windows是迄今為止最大的目標。我們必須為減少危險而做更多的工作,這就是說(shuō)擁有一個(gè)穩定的、不需要很多添加的安全性與特性來(lái)保護和運行它的系統。因此,現在,我們將重點(diǎn)放在用于VoIP的Linux和Unix平臺上。”
不過(guò),Lexent的Haluza認為,Windows還是Linux/Unix之爭基本上是信仰之爭。他說(shuō):“我們只選擇最好的工具,不管它是什么平臺。”
但是,他還是采取了預防措施,特別是不將他的語(yǔ)音服務(wù)器暴露給Internet。他說(shuō),語(yǔ)音服務(wù)器有一個(gè)專(zhuān)用IP地址,語(yǔ)音流只在VPN保護下的安全LAN上傳送。Lexent不是在Internet上發(fā)送語(yǔ)音流,而是從一家運營(yíng)商那里購買(mǎi)語(yǔ)音線(xiàn)路來(lái)處理LAN之外的語(yǔ)音傳輸流。
Haluza說(shuō):“我們在公司之外使用傳統的ISDN主速率接口(PRI)語(yǔ)音電路,但是我們將來(lái)自運營(yíng)商的PRI電路終止于路由器上,然后再變成我們LAN端的IP。”
一些新興廠(chǎng)商開(kāi)始解決Internet安全問(wèn)題,主要通過(guò)防火墻技術(shù)。
語(yǔ)音專(zhuān)用IDS(入侵檢測系統)可以提供更多的VoIP服務(wù)器保護,不過(guò),用戶(hù)說(shuō)這類(lèi)設備還未做好部署的準備。Hobart and William Smith公司的Young說(shuō):“在我們部署某種語(yǔ)音專(zhuān)用IDS之前,我不會(huì )將VoIP投入學(xué)校的應用,到目前為止,我們還沒(méi)有見(jiàn)到多少語(yǔ)音專(zhuān)用IDS。”
MCI的Truetken解釋說(shuō),大多數IDS由于常常發(fā)出虛假警報而減弱了作用,假警報會(huì )限制它們的性能,尤其在語(yǔ)音環(huán)境中。他說(shuō):“你必須將它們的臨界值設得高一點(diǎn),來(lái)適應更多的語(yǔ)音包。否則,你將收到數不清的假警報。”
Cisco公司說(shuō)它通過(guò)最近兩次收購中獲得的技術(shù)解決了這個(gè)問(wèn)題。Cisco從Psionic公司獲得了自動(dòng)進(jìn)行報警調查的能力,從Okena公司獲得了入侵防御和檢測技術(shù)。
竊聽(tīng)的風(fēng)險被夸大了
另一個(gè)需要考慮的問(wèn)題是保護應用的安全,使黑客不能竊聽(tīng)語(yǔ)音呼叫或控制語(yǔ)音服務(wù)。避免竊聽(tīng)的一種辦法是加密呼叫,目前的VPN技術(shù)可以容易地做到這點(diǎn)。不過(guò),要確保終端設備具有支持VPN客戶(hù)機的處理能力。Avaya的Coffman指出,許多IP電話(huà)不具有這種處理能力。
在這種情況下,用戶(hù)將在工作站或便攜機上安裝VPN客戶(hù)機軟件,將電話(huà)連接到這臺PC上。Truetken說(shuō):“這種辦法是可行的,但是你必須保證便攜機不會(huì )干擾VoIP呼叫。如果便攜機運行XP的話(huà),你可能一切正常。但是,如果它使用Windows 98,你就會(huì )遇到問(wèn)題。例如,DSL具有256Kbps的帶寬,這種帶寬可以很好地支持語(yǔ)音呼叫。然而,如果你同時(shí)還運行Outlook的話(huà),你可能會(huì )用完處理能力。”
其他一些人則質(zhì)疑有沒(méi)有必要加密LAN上的VoIP。Young說(shuō):“這里的加密需要沒(méi)有那么迫切。不妨看看現在有多少人使用手機,手機遠比VoIP語(yǔ)音流更容易截獲和竊聽(tīng)。加密LAN上的VoIP并非是優(yōu)先重點(diǎn)。”
Lexent的Haluza同意這種觀(guān)點(diǎn)。他說(shuō): “我更擔心是入侵后端辦公室應用的人,而非VoIP。這是個(gè)夸大風(fēng)險的案例。”
計算機世界網(wǎng)(www.ccw.com.cn)
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
夏邑县|
昭平县|
涟源市|
鲁甸县|
新闻|
钟祥市|
自治县|
镇坪县|
兖州市|
静乐县|
山阳县|
交城县|
桑植县|
陵水|
来安县|
修文县|
吴忠市|
新绛县|
浙江省|
安龙县|
中宁县|
昭通市|
马龙县|
贵阳市|
鹿邑县|
德州市|
芦溪县|
方正县|
凤阳县|
通道|
西乡县|
宁南县|
湘阴县|
临汾市|
铜梁县|
舒兰市|
同德县|
台山市|
怀安县|
桂阳县|
南溪县|
http://444
http://444
http://444
http://444
http://444
http://444