五大難題拷問(wèn)IP電話(huà)安全
2005/04/25
“可以隨意撥打、竊聽(tīng)隨時(shí)會(huì )發(fā)生、正常通話(huà)有可能被拒絕……”越來(lái)越多運營(yíng)商和企業(yè)所青睞的IP電話(huà),正為安全所困。但面對無(wú)法信任的防火墻,我們還能有什么樣的選擇?
由于基礎設施成本及使用成本較低,越來(lái)越多的電信公司和客戶(hù)開(kāi)始嘗試IP電話(huà)。日前,信息產(chǎn)業(yè)部綜合規劃司發(fā)布的1~2月份通信行業(yè)分析報告顯示,在長(cháng)途電話(huà)業(yè)務(wù)中,IP電話(huà)通話(huà)時(shí)長(cháng)已經(jīng)占長(cháng)途電話(huà)通話(huà)時(shí)長(cháng)的45.7%。
不過(guò),在搭建IP電話(huà)網(wǎng)絡(luò )時(shí),安全是非常重要的問(wèn)題。現今的應用層軟件防火墻,由于廠(chǎng)商、用戶(hù)、產(chǎn)品等方面受五大難題的制約,很難為網(wǎng)絡(luò )管理員提供相應的安全性和可靠性方面的保障。
難題一:廠(chǎng)商重犯10多年前的錯誤
網(wǎng)絡(luò )安全領(lǐng)域的斗爭從來(lái)就沒(méi)有停止過(guò),只不過(guò)斗爭的前沿時(shí)常從OSI協(xié)議棧的一層轉移到另外一層而已。幾年前網(wǎng)橋和路由器為安全問(wèn)題所困擾的情況,現在同樣發(fā)生在IP電話(huà)網(wǎng)絡(luò )身上。
近期,許多剛成立不久的公司紛紛發(fā)表調查報告,報告聲稱(chēng),盡管目前特定于具體應用的防火墻越來(lái)越多,但它們檢測到的應用層蠕蟲(chóng)和病毒的數量正在不斷增加。與此同時(shí),各防火墻廠(chǎng)商都在緊鑼密鼓地研發(fā)更智能化并帶深度包檢測(Deep Packet Inspection,DPI)功能的安全設備。我們知道,DPI功能將使得網(wǎng)絡(luò )管理員能夠配置數字位匹配模式,用以匹配和鑒別特定的數據報。
然而,恐怕這些防火墻廠(chǎng)商正在犯著(zhù)10多年前以太網(wǎng)網(wǎng)橋制造商就曾經(jīng)犯過(guò)的錯誤。那時(shí)候,為了對抗路由器,網(wǎng)橋制造商引入了能按位模式來(lái)轉發(fā)數據報的所謂智能網(wǎng)橋,他們宣稱(chēng)這些智能網(wǎng)橋融合了路由器的優(yōu)點(diǎn)同時(shí)擯棄了路由器的缺點(diǎn)。也許他們說(shuō)的沒(méi)錯,但事實(shí)是,配置這些智能網(wǎng)橋的門(mén)檻實(shí)在太高了,如果你沒(méi)有博士級的智商,恐怕很難能有機會(huì )弄明白這些智能網(wǎng)橋的配置細節。
現在看來(lái),DPI的實(shí)現似乎避免不了與這些智能網(wǎng)橋相同的命運。目前多數DPI引擎的缺省設置是不分青紅皂白地把所有外部數據通通拒之門(mén)外,因此表面上看起來(lái)好像確實(shí)提供了強有力的安全防護,然而對管理員來(lái)說(shuō),真正的挑戰在于如何配置這些引擎,使其具有識別數據的能力;如何可以讓它過(guò)濾掉那些無(wú)用或帶攻擊性的數據,而只讓真正有用的數據進(jìn)來(lái)。對于很多防火墻管理員來(lái)說(shuō),這個(gè)任務(wù)顯得很是艱巨。
即使對那些經(jīng)驗豐富的工程師來(lái)說(shuō),這也是非常大的挑戰。Nokia的產(chǎn)品概念工程師Wayne Fiori在談到DPI時(shí)直言“感覺(jué)不太好”。他說(shuō),“我們有一個(gè)內部應用需要用到防火墻,我最終把所謂的智能應用給徹底關(guān)了,它實(shí)在是礙手礙腳,它缺省地把所有的數據都給擋住了,這不是添亂嘛,那時(shí)候我簡(jiǎn)直要瘋了。”
先把易用性放在一邊。很難想象通用防火墻軟件廠(chǎng)商能保證自己的軟件能夠實(shí)現各種紛繁的IP語(yǔ)音(Voice over IP,VoIP)標準和協(xié)議。即使是那些做專(zhuān)用防火墻的公司在處理各種標準、RFC、VoIP相關(guān)的重要草案時(shí),也是相當頭疼。所以,通用防火墻公司很難像那些專(zhuān)用防火墻公司一樣,又快又省地及時(shí)支持新標準,更不用說(shuō)那些標準的擴展了。
碰到這些情況時(shí),網(wǎng)絡(luò )管理員該如何抉擇呢?對于通話(huà)量較低并且對IP電話(huà)要求比較簡(jiǎn)單的情況,升級通用防火墻加入DPI支持是個(gè)可行的方案;另一方面,對高通話(huà)量的情況,通常需要把VoIP數據轉移到專(zhuān)用的防火墻上,只有一種情況例外,就是如果防火墻軟件廠(chǎng)商和IP專(zhuān)用分組交換機(IP PBX)廠(chǎng)商在技術(shù)上有合作的話(huà),可以做到讓通用DPI防火墻更好地支持IP PBX的特殊功能,那么通用防火墻也有可能應付高通話(huà)量的要求。
另外,部署專(zhuān)用安全設備可能可以比較快地解決問(wèn)題,提供所謂的“單項優(yōu)勢”(best-of-breed)安全防護。但這也意味著(zhù),你要管理和維護更多的專(zhuān)業(yè)設備,從長(cháng)期來(lái)看會(huì )造成成本的增加。
如果網(wǎng)絡(luò )管理員和防火墻廠(chǎng)商恰好是DPI追隨者的話(huà),應該說(shuō)也還是很有盼頭的。基本上,改進(jìn)DPI防火墻軟件人機交互功能的方式有兩種:其一是通過(guò)內部開(kāi)發(fā)改進(jìn)完善;另一種則是通過(guò)收購那些剛起步的專(zhuān)用防火墻軟件公司,并融合它們的技術(shù)優(yōu)勢。
問(wèn)題二:用戶(hù)投資難以應對安全現狀
由于目前已知的IP電話(huà)攻擊并不多見(jiàn),所以想說(shuō)服CEO們和預算管理人員在IP電話(huà)安全方面增加資金投入還是有一定難度的,網(wǎng)絡(luò )管理員們應該會(huì )認同這一點(diǎn)。然而就在今年1月份,英國國家基礎建設安全響應中心(NISCC)報導他們發(fā)現了目前被普遍認為是在分組網(wǎng)上支持語(yǔ)音、圖像和數據業(yè)務(wù)最成熟的H.323協(xié)議的多個(gè)漏洞,而其中又以負責建立IP電話(huà)連接的H.225.0子協(xié)議里問(wèn)題最多。如果漏洞遭到攻擊,結果可能造成惡意代碼的執行或是拒絕服務(wù)(DoS)攻擊。
會(huì )話(huà)啟動(dòng)協(xié)議(Session Initiation Protocol,SIP)的情況也好不到哪里去。2003年2月,國家計算機網(wǎng)絡(luò )應急技術(shù)處理協(xié)調中心(CERT)報導了SIP協(xié)議棧中的一個(gè)漏洞。利用該漏洞,攻擊者將有機會(huì )獲得非法訪(fǎng)問(wèn)特權,發(fā)起DoS攻擊,造成系統不穩等問(wèn)題。
從原理上說(shuō),利用漏洞可以發(fā)起各種類(lèi)型的攻擊。比如一旦網(wǎng)關(guān)被黑客攻破,IP電話(huà)不用經(jīng)過(guò)認證就可隨意撥打,未經(jīng)保護的語(yǔ)音通話(huà)有可能遭到攔截和竊聽(tīng),而且可以被隨時(shí)截斷。黑客利用重定向攻擊可以把語(yǔ)音郵件地址替換成自己指定的特定IP地址,為自己打開(kāi)秘密通道和后門(mén),等等。
與此同時(shí),其他流行的攻擊手段也會(huì )對網(wǎng)絡(luò )語(yǔ)音環(huán)境造成巨大的威脅,除了DoS和DDoS攻擊外,如果PC中了特洛伊木馬的話(huà),竊聽(tīng)就隨時(shí)可能發(fā)生。類(lèi)似地,亂序語(yǔ)音數據報(比如媒體數據報在會(huì )話(huà)數據報之前被接收到)和過(guò)長(cháng)的電話(huà)號碼都可能為緩沖區溢出攻擊打開(kāi)方便之門(mén),而VoIP濫用(類(lèi)似垃圾郵件)則可以通過(guò)不停播打同一號碼使該號碼陷于癱瘓。
另一個(gè)復雜的問(wèn)題是,如果在防火墻之上同時(shí)運行網(wǎng)絡(luò )地址轉換(NAT)服務(wù)的話(huà),外呼請求可能就無(wú)法正常工作。雖然NAT能夠轉換語(yǔ)音數據報中IP層和傳輸層的源地址與端口號,但NAT并不理會(huì )語(yǔ)音數據報中其他更底層的源地址信息。所以,對VoIP來(lái)說(shuō)這意味著(zhù)主叫方的地址將是個(gè)內部地址,而被叫方在試圖建立通話(huà)時(shí)則會(huì )被導向錯誤的源地址。
當涉及到外部呼叫者時(shí),VoIP面臨的安全挑戰就愈加復雜了。典型的情況是,對于一個(gè)公司搭建的IP電話(huà)網(wǎng)絡(luò )來(lái)說(shuō),防火墻只認可從該網(wǎng)絡(luò )內部發(fā)起的會(huì )話(huà)請求。然而對IP電話(huà)來(lái)說(shuō),公司外部的人也可能需要打電話(huà)進(jìn)來(lái)。對于內部用戶(hù)來(lái)說(shuō),為他們安裝VPN客戶(hù)端是個(gè)暫時(shí)的解決方案。但長(cháng)遠來(lái)說(shuō)這肯定不夠,外部呼叫者可能是個(gè)陌生人,所以不可能為他們預裝VPN客戶(hù)端。
問(wèn)題三:防火墻產(chǎn)品缺陷明顯
為了對抗針對IP電話(huà)的攻擊,防火墻必須要更智能、更高效地檢驗進(jìn)來(lái)的數據報里與SIP相關(guān)的信息。對此,不同的防火墻廠(chǎng)商采取了不同的方案。但大體來(lái)看,各方案或多或少都存在一些問(wèn)題(詳見(jiàn)下表)。
對于具有全狀態(tài)檢測(stateful-inspection)功能的防火墻來(lái)說(shuō),它本身并不具有應付應用層攻擊的防護能力,這種防火墻在傳輸層對數據進(jìn)行檢查,它首先跟蹤從公司IP電話(huà)網(wǎng)絡(luò )出去的會(huì )話(huà)連接,然后利用這些信息來(lái)決定哪些外部數據是安全的,可以進(jìn)入公司網(wǎng)絡(luò )。
基于代理的防火墻如TIS的Guantlet,具有在應用層對具體應用進(jìn)行安全保護的能力。它的工作方式是首先檢測從外部進(jìn)來(lái)的會(huì )話(huà)連接,分析其所使用的協(xié)議,然后掐斷該外部連接,最后從自己這方重新發(fā)起一個(gè)到對方的新連接。這種防火墻雖然能直接在應用層對不同的具體應用提供相應的保護,但它是以犧牲性能為條件的,并且需要對每個(gè)具體應用進(jìn)行特別調整。
沒(méi)有任何一款VoIP防火墻(包括全狀態(tài)檢測防火墻)是純粹工作在網(wǎng)絡(luò )層和傳輸層的,最起碼它們也要利用應用層網(wǎng)關(guān)(ALG)在網(wǎng)絡(luò )層、傳輸層和應用層查找地址信息并進(jìn)行相應修改。ALG對終端設備來(lái)說(shuō)是透明的,所以在處理SIP時(shí),它們并不會(huì )向請求連接一方發(fā)送TRYING消息。
有些防火墻在處理SIP數據報時(shí)會(huì )利用DPI查看數據報更細節的信息,比如在應用層檢查數據報是否符合標準格式,這樣,這些基于DPI的防火墻就能防住某些緩沖區溢出攻擊。實(shí)現該功能的廠(chǎng)商有Cisco、NetScreen和WatchGuard。
基于代理的防火墻位處主叫方和被叫方中間,截取兩端的通話(huà)信號和媒體流,這些設備工作方式類(lèi)似SIP代理服務(wù)器,只不過(guò)它們同時(shí)還能進(jìn)行協(xié)議正確性校驗和檢查。邊界會(huì )話(huà)控制器(Session Border Controllers,SBC)是一種被眾多運營(yíng)商用于連接VoIP服務(wù)和支持QoS的設備,它們也屬于基于代理的防火墻這一類(lèi)。很多制造SBC的廠(chǎng)商同時(shí)也為企業(yè)提供類(lèi)似的防火墻產(chǎn)品。
問(wèn)題四:應用層過(guò)于復雜
每種防火墻實(shí)現方案都面臨著(zhù)諸如應用層復雜性、性能、價(jià)格以及數據加密的問(wèn)題。
顯然,如果通話(huà)數據被加密的話(huà),防火墻是沒(méi)法對數據進(jìn)行檢查的。而基于代理的防火墻可能可以繞過(guò)這個(gè)問(wèn)題,但同時(shí)又造成其他的安全隱患。因為此類(lèi)防火墻位于通話(huà)兩端的信號和媒體流之間,通話(huà)方會(huì )“認為”他們已經(jīng)和對方建立了直接的安全對話(huà),但實(shí)際上他們只是和防火墻建立了安全會(huì )話(huà),因此基于代理的防火墻實(shí)際上有著(zhù)潛在的不安全因素。
應用層的復雜性又是一個(gè)問(wèn)題。有些基于代理的防火墻自詡其有強大的檢查校驗數據報SIP正確性的能力,但我們恐怕不能盡信其言。SIP是一個(gè)極端復雜的協(xié)議,涉及到60多個(gè)RFC和標準草案,僅僅是準確實(shí)現這些紛繁的特性和功能就足以把這些防火墻廠(chǎng)商壓得喘不過(guò)氣來(lái)。
SIP還具有極強的擴展性,許多廠(chǎng)商在此基礎上進(jìn)行了很多專(zhuān)有的擴展。如果沒(méi)有這些廠(chǎng)商的支持的話(huà),是幾乎不可能對其功能和正確性進(jìn)行檢查的,所以在購買(mǎi)此類(lèi)產(chǎn)品之前建議進(jìn)行認真細致的試用和評估。
絕大多數防火墻廠(chǎng)商的產(chǎn)品只實(shí)現了一小部分SIP的RFC和標準草案,而且廠(chǎng)商對這類(lèi)事實(shí)一般都秘而不宣。
然而SIP也僅僅只是眾多IP電話(huà)協(xié)議中的一個(gè)而已。Nortel、Avaya和Cisco在連接電話(huà)終端和它們的IP PBX時(shí)都使用了其專(zhuān)有的基于H.323協(xié)議的變種協(xié)議。目前市場(chǎng)上有許多H.323協(xié)議的變種,媒體網(wǎng)關(guān)控制協(xié)議(MGCP和MEGACO)也不例外。為了進(jìn)行企業(yè)電話(huà)客戶(hù)端和這些IP PBX的安全防護,對防火墻來(lái)說(shuō),支持這些專(zhuān)有H.323變種協(xié)議就顯得相當重要。
然而,僅僅只是能支持這些協(xié)議還遠遠不夠,網(wǎng)絡(luò )管理員還非常重視防火墻部署時(shí)的簡(jiǎn)易性。美國勞倫斯·利弗莫爾國家實(shí)驗室安全應急主管Jon Diaz就說(shuō)“我研究過(guò)DPI的實(shí)現,但問(wèn)題是,要具有很多相關(guān)的專(zhuān)業(yè)知識才可能弄明白整個(gè)配置過(guò)程。”
問(wèn)題五:性?xún)r(jià)比阻礙應用推廣
現在來(lái)談?wù)勑阅芎蛢r(jià)格問(wèn)題。Check Point的Besser宣稱(chēng)說(shuō),實(shí)現DPI并不會(huì )對防火墻的性能造成太大的影響。我們知道,如果防火墻要對通話(huà)內容進(jìn)行檢查的話(huà),那么整個(gè)過(guò)程必須要以非常快的速度進(jìn)行,否則會(huì )對通話(huà)造成負面影響。IP語(yǔ)音與HTTP類(lèi)型的連接不同,IP語(yǔ)音的信號量極大,如果DPI防火墻廠(chǎng)商拿不出什么絕招的話(huà),那么在應用層對數據進(jìn)行檢查肯定會(huì )對防火墻性能造成極大的影響。
即使是Nokia的防火墻也很難同時(shí)支持2000個(gè)VoIP用戶(hù)。Nokia的說(shuō)法是: 在協(xié)調VoIP用戶(hù)數和通過(guò)防火墻的會(huì )話(huà)數上他們還沒(méi)有成熟的測試方案。
目前防火墻最大的問(wèn)題可能是會(huì )對通話(huà)質(zhì)量造成影響。“防火墻的存在會(huì )造成一些語(yǔ)音延遲和不穩定等問(wèn)題。” 為加拿大政府安裝VoIP系統的IT主管Michel Labelle說(shuō)道,“防火墻并沒(méi)有意識到傳統的服務(wù)質(zhì)量(QoS)問(wèn)題,所以避免不了對通話(huà)質(zhì)量造成影響。”
解決方案也有,但產(chǎn)品的價(jià)格就要高出許多。確切數字不好說(shuō),不過(guò)作為參考,Nokia的能同時(shí)支持200個(gè)網(wǎng)絡(luò )通話(huà)的IP 1260安全平臺價(jià)格為6萬(wàn)美元。
基于代理的防火墻由于不需要那么多的硬件支持,所以相對來(lái)說(shuō)價(jià)格較低。比如Jasomi PeerPoint的企業(yè)版支持600個(gè)注冊用戶(hù)和100個(gè)同時(shí)通話(huà)的用戶(hù),起價(jià)為12000美元。
放棄防火墻?
由于目前沒(méi)有任何一個(gè)防火墻方案能完美地解決VoIP安全問(wèn)題,因此有些安全專(zhuān)家認為在應用層這個(gè)級別可能最好的處理辦法就是完全放棄防火墻。RTFM安全咨詢(xún)公司的主管兼傳輸層安全(TLS)工作小組副主席Eric Rescorla認為,防火墻并不如想象的那么好,“看看電子郵件應用中蠕蟲(chóng)是如何突破防火墻的吧。”
Dynamicsoft公司的CTO和SIP創(chuàng )建者之一Jonathan Rosenberg也贊同這種觀(guān)點(diǎn),他在一封電子郵件里寫(xiě)道“防火墻廠(chǎng)商必須要非常熟悉SIP和其他IP電話(huà)協(xié)議,這樣才能保證它們產(chǎn)品的質(zhì)量,而實(shí)際上它們做不到這一點(diǎn),結果就是當一個(gè)新的應用或協(xié)議出現時(shí),在部署它們的時(shí)候你不得不尋求廠(chǎng)商的幫助。這種情況完全體現不出網(wǎng)絡(luò )的主要優(yōu)點(diǎn)。”
Rosenberg建議采用一種新的模式,即防火墻不用理會(huì )SIP和其他應用層協(xié)議。他說(shuō),現在一些客戶(hù)端技術(shù)如簡(jiǎn)單UDP穿越NAT協(xié)議(STUN)、交互式連通建立方式(ICE)、通過(guò)中繼方式穿越NAT技術(shù)(TURN),它們使得防火墻不需要處理SIP就能讓IP通話(huà)穿過(guò)防火墻。這些協(xié)議和技術(shù)為客戶(hù)端獲取NAT和防火墻所使用的外部傳輸層地址提供了途徑。
Rosenberg相信那些開(kāi)發(fā)基于SIP的應用的開(kāi)發(fā)人員會(huì )比較傾向于支持該協(xié)議,而網(wǎng)絡(luò )管理員就不一定了。過(guò)去的經(jīng)驗表明,安全問(wèn)題從來(lái)都是很棘手的,開(kāi)發(fā)人員并不總是愿意或者說(shuō)并不總是有能力在開(kāi)發(fā)的時(shí)候完全解決安全問(wèn)題。而從CERT和NISCC發(fā)布的安全報告來(lái)看,我們也沒(méi)什么理由期待SIP開(kāi)發(fā)人員會(huì )與眾不同。(譯/春雷)
VoIP如何部署防火墻
盡管當今絕大多數公司的VoIP網(wǎng)絡(luò )都是不對外開(kāi)放的,但仍然有必要在企業(yè)內部部署VoIP防火墻。越來(lái)越多的攻擊開(kāi)始時(shí)是從VoIP網(wǎng)絡(luò )內部發(fā)起,對此進(jìn)行防衛是必不可少的。作為對策,第一步可以將所有網(wǎng)絡(luò )語(yǔ)音數據隔離在虛擬局域網(wǎng)中,與此同時(shí)在可信任的域內部署代理和網(wǎng)閘同樣很重要。
對于帶DPI的全狀態(tài)檢測防火墻,部署過(guò)程是一個(gè)在不受信任的網(wǎng)絡(luò )和受信任的企業(yè)之間的隔離帶里的防火墻端口上安裝SIP代理的過(guò)程。而實(shí)現了SIP背對背用戶(hù)代理的防火墻則有所不同,因為它們的功能類(lèi)似代理服務(wù)器,用戶(hù)代理(User Agent)可以在上面注冊。這類(lèi)防火墻可以和全狀態(tài)檢測防火墻一起部署在隔離帶中,只要使用不同的端口即可,或者單獨部署在公司網(wǎng)絡(luò )的其他地方。
除了技術(shù)實(shí)現細節之外,網(wǎng)絡(luò )管理員也要留意協(xié)議問(wèn)題。由于絕大多數IP PBX在和其他設備終端連接時(shí)使用了專(zhuān)有協(xié)議、SIP或H.323中繼,所以在部署時(shí)很可能需要廠(chǎng)商的直接支持。
計算機世界網(wǎng)(www.ccw.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
札达县|
林周县|
西乌|
苏州市|
正阳县|
璧山县|
子洲县|
伊通|
玉溪市|
丰城市|
新和县|
保康县|
安吉县|
贵阳市|
开化县|
舒城县|
虞城县|
岑巩县|
罗平县|
广东省|
尼勒克县|
阳春市|
泸水县|
辰溪县|
高唐县|
荆州市|
中牟县|
辽宁省|
友谊县|
河曲县|
汽车|
台北市|
星座|
金门县|
兰西县|
琼海市|
扎赉特旗|
宜良县|
温泉县|
吉安市|
大厂|
http://444
http://444
http://444
http://444
http://444
http://444