VoIP安全：挑戰與對策

馬云飛 2005/05/24

VoIP攻擊主要利用IP電話(huà)協(xié)議

VoIP安全 點(diǎn)擊之誰(shuí)動(dòng)了我的VoIP安全

　　 文 飛天 云飛

　　在VoIP的情況下，話(huà)音也是和數據應用一樣，也是一個(gè)個(gè)的“包”，同樣也將遭受各種病毒和黑客攻擊的困擾。語(yǔ)音和數據網(wǎng)絡(luò )的融合增加了網(wǎng)絡(luò )被攻擊的風(fēng)險。對于數據網(wǎng)絡(luò )的攻擊手段都會(huì )出現在語(yǔ)音和數據融合的網(wǎng)絡(luò )中，例如拒絕服務(wù)攻擊等。Avaya公司的一位安全顧問(wèn)表示：“一旦進(jìn)入VoIP時(shí)代，那么當前數據網(wǎng)絡(luò )所存在的安全隱患將全部轉移到互聯(lián)網(wǎng)通話(huà)中。”對于IP網(wǎng)絡(luò )安全可靠性能的懷疑制約了IP電話(huà)的發(fā)展。

　　普遍認為，影響VoIP安全性的主要因素有以下幾條：（1）產(chǎn)品本身。目前VoIP技術(shù)最常用的話(huà)音建立和控制信令是H.323和SIP協(xié)議，總體上都是開(kāi)放的協(xié)議體系。而開(kāi)放的體系就容易受到病毒和惡意攻擊的影響。（2）基于開(kāi)放端口的DoS(拒絕服務(wù))攻擊。攻擊者向服務(wù)器發(fā)送相當多數量的帶有虛假地址的服務(wù)請求，但因為所包含的回復地址是虛假的，服務(wù)器將等不到回傳的消息，直至所有的資源被耗盡。VoIP已有很多知名的端口，像1719、5060等。最近NISCC(UK National Infrastructure Security Co-ordi-nation Center)報道的一個(gè)VoIP的安全漏洞：“市場(chǎng)上很多采用H.323協(xié)議的VoIP系統在H.245建立過(guò)程中都存在漏洞，容易在1720端口上受到DoS的攻擊，導致從而系統的不穩定甚至癱瘓”。（3）服務(wù)竊取。雖然IP話(huà)機不能通過(guò)并線(xiàn)的方式撥打電話(huà)，但通過(guò)竊取使用者IP電話(huà)的登錄密碼同樣能夠獲得話(huà)機的權限。這就如同在一根普通模擬話(huà)機線(xiàn)上又并接了一個(gè)電話(huà)一樣。（4）流媒體的偵聽(tīng)。一個(gè)典型的VoIP呼叫需要信令和流媒體兩個(gè)建立的步驟，RTP/RTCP是在基于包的網(wǎng)絡(luò )上傳輸等時(shí)話(huà)音信息的協(xié)議。由于協(xié)議本身是開(kāi)放的，即使是一小段的流媒體都可以被重放出來(lái)而不需要前后信息的關(guān)聯(lián)。如果有人在數據網(wǎng)絡(luò )上通過(guò)Sniffer的方式記錄所有信息并通過(guò)軟件加以重放，會(huì )引起員工對話(huà)音通信的信任危機。

　　為了保證IP電話(huà)的安全性，最合適的辦法是采用IPSec方式來(lái)加密。IPSec允許IP包用ESP（Encapsulated Security Payload）方式來(lái)加密，在IP包頭增加了AH(Authentication Header)頭來(lái)驗證數據包的完整性。從最大程度上抵御來(lái)自網(wǎng)絡(luò )的攻擊，尤其對于語(yǔ)音、數據和視頻環(huán)境來(lái)說(shuō)更合適。但僅為了IP電話(huà)的安全來(lái)建立IPSec的架構是不經(jīng)濟的，系統過(guò)于復雜，成本也過(guò)高。

　　當然，為了確保VoIP系統的安全，各種安全解決方案固然不可或缺，但僅僅依靠這類(lèi)方案還是不夠的，還需要從以下幾個(gè)方面加以關(guān)注：

　　一、慎重選擇VoIP協(xié)議。當前，冠以“VoIP”的協(xié)議有多種，每種VoIP協(xié)議都各有其優(yōu)缺點(diǎn)，使用安全性能更好的協(xié)議有助于消除額外的風(fēng)險和攻擊因素。

　　二、停用不必要的協(xié)議。在現有的各種協(xié)議中，有大量尚未被發(fā)現的安全漏洞。因此，為了減少被攻擊的機率，應盡量不要啟用不必要和未用過(guò)的協(xié)議與服務(wù)

　　三、周密考慮VoIP組件遭遇攻擊的可能性。包括IP電話(huà)和終端在內的VoIP組件都是運行于硬件平臺之上的軟件系統，因此VoIP基礎架構中的每一組件都如同計算機一樣可以被訪(fǎng)問(wèn)，因而都有遭受攻擊的可能。

　　四、將VoIP與其它IP架構分而治之。將VoIP與其它IP架構進(jìn)行物理或邏輯隔離、分別進(jìn)行管理是增強VoIP系統安全的一種有效措施。

　　五、對遠程操作進(jìn)行認證。VoIP終端可以進(jìn)行遠程升級和管理，要確保這類(lèi)操作只能基于合法用戶(hù)和合法地址，并部署一個(gè)能夠進(jìn)行服務(wù)管理的遠程系統。

　　六、將VoIP服務(wù)器與內部網(wǎng)絡(luò )隔離。部分安全設備不能完全識別VoIP信令命令，因此，它們可能會(huì )打開(kāi)動(dòng)態(tài)通信端口，使網(wǎng)絡(luò )遭受跳轉攻擊的威脅，并可能使攻擊者入侵內部LAN中的其他核心業(yè)務(wù)組件。

　　七、確保VoIP安全系統能夠對通信端口進(jìn)行跟蹤。

　　八、使用NAT(Network Address Translation)網(wǎng)絡(luò )地址翻譯。NAT網(wǎng)絡(luò )地址翻譯可將內部IP地址轉換為能夠實(shí)現Internet路由的全球唯一IP地址，并能夠實(shí)現內部IP地址的隱藏。

　　九、使用可對VoIP進(jìn)行安全檢查的解決方案。用于VoIP系統的安全解決方案應能夠對VoIP流內部進(jìn)行檢查，分析呼叫狀態(tài)并檢查服務(wù)內容，確保所有參數的一致性和有效性。

　　VoIP安全 點(diǎn)擊之無(wú)線(xiàn)VoIP：明日安全挑戰

　　文 馬云飛

　　當前，基于無(wú)線(xiàn)LAN的移動(dòng)數據應用在企業(yè)領(lǐng)域得到了很大成功，許多企業(yè)用戶(hù)逐漸意識到了WLAN在提高工作效率方面的巨大作用，并相繼著(zhù)手開(kāi)始部署更多WLAN應用，其中，基于無(wú)線(xiàn)LAN的語(yǔ)音服務(wù)—VoWLAN(Voice over WLAN)就是其中最重要的應用之一。InStat/MDR調研公司的一項針對358家WLAN商業(yè)用戶(hù)的調查顯示，有半數以上的用戶(hù)正著(zhù)手或計劃為其現有WLAN網(wǎng)絡(luò )增加VoWLAN服務(wù)。

　　但如同WLAN應用的安全問(wèn)題曾在業(yè)界備受關(guān)注一樣，在現行WLAN網(wǎng)絡(luò )中引入VoIP服務(wù)，也同樣面臨著(zhù)比常規VoIP服務(wù)更多的安全挑戰。

　　VoWLAN系統的安全也主要體現在兩個(gè)方面，即語(yǔ)音呼叫的安全性和系統防御DoS攻擊的能力。為此，必須確保無(wú)線(xiàn)LAN內身份驗證與包流量的安全性。同時(shí)，在WLAN內，語(yǔ)音流量還必須確保與其它流量類(lèi)型分離，并對訪(fǎng)問(wèn)網(wǎng)絡(luò )主干的語(yǔ)音設備進(jìn)行嚴格限制，以確保語(yǔ)音流量只能到達諸如VoIP網(wǎng)關(guān)等特定目的地，避免黑客利用VoWLAN應用入侵企業(yè)數據資源。

　　在目前WLAN采用的各種加密機制中，由于WPA等基于可變密鑰的加密模式在不同接入點(diǎn)之間需要重新建立安全會(huì )話(huà)，會(huì )出現明顯延遲，導致出現語(yǔ)音呼叫中斷，因而不能適應語(yǔ)音應用的需要。

　　而WEP(wired equivalent privacy) 有線(xiàn)等效私密協(xié)議主要依賴(lài)于預先存儲于各個(gè)接入點(diǎn)的靜態(tài)密鑰實(shí)現數據加密。這種加密模式雖可以較好地解決會(huì )話(huà)延遲問(wèn)題，但由于WEP協(xié)議用于數據流量的底層密鑰易被破解，因而對于企業(yè)應用而言，WEP協(xié)議的安全性是不夠的。而且由于WEP是一種靜態(tài)加密協(xié)議，因此，在更換密鑰時(shí)，每一接入點(diǎn)的密鑰都需要相應進(jìn)行更改。

　　為了解決安全性與語(yǔ)音應用性能之間的矛盾，業(yè)內又研發(fā)了新的802.11i標準。這一標準是基于MAC層的安全標準，可提供包流量與身份驗證的安全性。其中的身份驗證功能主要源自802.1x協(xié)議。802.1x協(xié)議并不提供密碼認證，而是提供架構認證、以及提供基于擴展身份認證協(xié)議的密鑰管理功能，這一協(xié)議可使網(wǎng)絡(luò )中的服務(wù)器為每一WLAN客戶(hù)端提供動(dòng)態(tài)密鑰。

　　由于802.11i標準支持的密碼與身份認證提供了一個(gè)用于WLAN保護的層，因而也在一定程度上增加了語(yǔ)音流量的復雜性。如基于服務(wù)器的身份認證將會(huì )增加建立語(yǔ)音呼叫的延遲，而基于WEP、WPA或AES的密碼驗證則增加了包括語(yǔ)音流量在內的所有包的延遲。因此，為了最大限度地減少VoWLAN系統的延遲時(shí)間，最好的解決方案是將身份與密碼認證集成到硬件中。

　　VoIP安全 點(diǎn)擊之VoIP安全方案：誰(shuí)比誰(shuí)差多少

　　文 馬云飛 王艷寧

　　由于受到諸多現實(shí)問(wèn)題的掣肘，與面向單純的數據網(wǎng)絡(luò )或PSTN網(wǎng)絡(luò )的安全解決方案相比，VoIP安全解決方案的研發(fā)面臨著(zhù)更大的挑戰，不僅要實(shí)現安全性能與服務(wù)性能的最佳平衡，還要兼顧到執法部門(mén)的監管問(wèn)題。同時(shí)，由于VoIP安全解決方案產(chǎn)品市場(chǎng)起步不久，不夠成熟，尚缺乏有影響的專(zhuān)業(yè)VoIP安全解決方案供應商。目前市場(chǎng)上的VoIP安全解決方案大多出自思科、Avaya等數據網(wǎng)絡(luò )設備供應商以及SonicWALL等少數專(zhuān)業(yè)安全廠(chǎng)商之手，產(chǎn)品類(lèi)型也相對有限，這些解決方案各有其優(yōu)缺點(diǎn)，用戶(hù)可以根據自己的安全需求酌情選擇。

　　幾類(lèi)VoIP安全解決方案優(yōu)缺點(diǎn)概覽

　　解決方案類(lèi)型 優(yōu)點(diǎn) 缺點(diǎn)

　　無(wú)防火墻(或無(wú)針對 不影響IP語(yǔ)音應用 1、網(wǎng)絡(luò )安全無(wú)保障。2、終端需要公共

　　VoIP應用的防火墻) 性能。 IP地址。3、終端可隨意訪(fǎng)問(wèn)。

　　可繞過(guò)防火墻的網(wǎng)絡(luò ) 無(wú)需更動(dòng)或升級防 開(kāi)放端口安全無(wú)保障，VoIP設備仍不

　　地址轉換解決方案 火墻。 安全。不支持對稱(chēng)性NAT[IETFTURN]。

　　(如STUN [IETF-STUN]) 僅支持UDP，不支持H.323或SIP。可能

　　 不支持RTCP。

　　會(huì )話(huà)邊界控制 無(wú)需更動(dòng)或升級防 應用有限制。主要面向服務(wù)供應商。

　　 火墻。 需要進(jìn)行額外的管理。每一網(wǎng)絡(luò )都

　　 需要安裝客戶(hù)端軟件，可能會(huì )成為

　　 VoIP應用瓶頸。由于采用集中控制模

　　 式，VoIP安全主要由運營(yíng)商而非用戶(hù)

　　 自行控制。

　　完全VoIP代理 無(wú)需更動(dòng)或升級防 代理仍易受攻擊。每一種VoIP協(xié)議需

　　 火墻。 要獨立代理。代理需置于防火墻之后。

　　 需要成對部署以增強可靠性。增加了

　　 延遲，可能會(huì )成為系統瓶頸。

　　SonicWALL狀態(tài)數據 易于使用-‘即插 前三代防火墻不支持

　　包變換 即保護’（plug and

　　 protect）技術(shù)；不需

　　 要額外的設備-利

　　 用現有的第四代

　　 SonicWALL防火墻；

　　 支持多種VoIP協(xié)議

　　VoIP安全 點(diǎn)擊之OKI應對VoIP安全

　　文 本報記者 飛天 洪飛

　　VoIP安全問(wèn)題一直是業(yè)界十分關(guān)注的話(huà)題，而且也是一個(gè)逃避不開(kāi)的關(guān)鍵問(wèn)題。針對VoIP的安全，沖電氣軟件技術(shù)（江蘇）有限公司上海分公司總經(jīng)理池上晶子指出，從總體上看，VoIP安全問(wèn)題主要還是由VoIP的互操作性、兼容性問(wèn)題以及VoIP網(wǎng)絡(luò )本身的安全性問(wèn)題所造成的。

　　所謂的兼容性問(wèn)題主要是現在的眾多廠(chǎng)商采用不同的標準協(xié)議而不兼容，而目前許多供應商的H.323v1-4兼容性只是紙面上的兼容，需要進(jìn)一步努力才能保證系統完全互操作。

　　另外，VoIP網(wǎng)絡(luò )還具有開(kāi)放性以及IP分組網(wǎng)本身的脆弱性。針對脆弱的VoIP組件，DoS攻擊會(huì )用虛假的語(yǔ)音通信擁塞網(wǎng)絡(luò )，從而降低網(wǎng)絡(luò )性能或者直接導致語(yǔ)音和數據通信的中止。此外，如果PC感染了截獲LAN通信包的特洛伊木馬病毒，基于PC的Softphone就會(huì )非常容易遭到竊聽(tīng)，所以從某種程度上說(shuō)，VoIP也正在使語(yǔ)音通信面臨與數據通信一樣的安全威脅。

　　VoIP設備是一種網(wǎng)絡(luò )設備，設備的操作系統安全情況當然也直接會(huì )影響到整個(gè)VoIP系統的安全。在目前的VoIP發(fā)展中，大多數用戶(hù)和廠(chǎng)商考慮最多的是如何改善話(huà)音質(zhì)量以及如何同現有數據網(wǎng)絡(luò )的融合，而較少考慮到VoIP的安全。

　　針對市場(chǎng)的現狀，OKI在其推出的最新IP呼叫中心產(chǎn)品CTstage和VoIP領(lǐng)域的產(chǎn)品IVG中，都采用了SIP協(xié)議，SIP協(xié)議廣泛的兼容性決定了其具有很好的互操作性。針對病毒攻擊與人為攻擊這兩種情況，OKI目前主要采取了以下措施：

　　針對病毒攻擊,OKI產(chǎn)品具備了Email病毒檢測功能，可以實(shí)時(shí)進(jìn)行檢測，一旦發(fā)現情況，立刻以Email的方式報告信息，還可以根據客戶(hù)需要配備不同安全級別的防火墻，并且定期通過(guò)服務(wù)器進(jìn)行更新，把病毒感染的機會(huì )降到了最低。

　　針對人為攻擊, OKI的產(chǎn)品通過(guò)設置了兩級訪(fǎng)問(wèn)密碼(普通用戶(hù)及超級用戶(hù)級)等方式,加強訪(fǎng)問(wèn)權限控制，減少系統信息的外泄, 增加系統安全性。

　　但是，不管怎樣說(shuō)，VoIP的安全問(wèn)題對通信界來(lái)說(shuō)還是一個(gè)值得繼續研究開(kāi)發(fā)的課題，OKI也正在為之持續努力。

　　VoIP安全 點(diǎn)擊之Juniper解決VoIP安全之道

　　文 本報記者 陳翔 飛天

　　隨著(zhù)VoIP繼續從小眾市場(chǎng)向主流市場(chǎng)發(fā)展，黑客攻擊VoIP設施可能存在的漏洞只是一個(gè)時(shí)間問(wèn)題。因為VoIP是建立在IP協(xié)議的基礎上，而且它有時(shí)要路由公共互聯(lián)，所以自然就和使用同一媒介的傳統數據通信一樣具有安全風(fēng)險。

　　在清楚了解VoIP網(wǎng)絡(luò )構成之后，Juniper網(wǎng)絡(luò )公司用分層式防御策略來(lái)保護核心、外圍和客戶(hù)端設備。分層防御主要圍繞三個(gè)因素進(jìn)行：對訪(fǎng)問(wèn)網(wǎng)絡(luò )者進(jìn)行認證授權；控制機制；和保護各個(gè)組件的技術(shù)。前兩個(gè)目標可以通過(guò)正式的安全審核達到，在審核中我們識別相關(guān)操作人員，并定義安全特權來(lái)執行特定任務(wù)。

　　第三項任務(wù)，也就是保護一個(gè)由應用服務(wù)器和設備組成的核心網(wǎng)絡(luò )，則與保護一個(gè)內部局域網(wǎng)（LAN）類(lèi)似。由于網(wǎng)絡(luò )是基于IP的，它很容易遭遇所有已知的IP攻擊風(fēng)險，例如，OS弱點(diǎn)、DoS/DDoS或其他任何攻擊類(lèi)型。

　　另外，企業(yè)還應考慮部署一個(gè)入侵檢測和防御系統（IDP/IPS）以監控應用流量。IDP與防火墻不同，它能檢測至第7層的數據包流量。為管理員和Web服務(wù)器提供了Web界面的VoIP應用是蠕蟲(chóng)經(jīng)常攻擊的一個(gè)目標。IDP可以通過(guò)丟棄從網(wǎng)絡(luò )來(lái)的數據包，利用不同的方法檢測攻擊，阻止惡意流量到達Web服務(wù)器。

　　外圍層也常有各種網(wǎng)關(guān)設施。通常服務(wù)器會(huì )提供用戶(hù)注冊，識別VoIP進(jìn)入流量，并將呼叫轉移至目標地址。

　　和保護其他IP網(wǎng)絡(luò )一樣，Juniper網(wǎng)絡(luò )公司在VoIP安全方面也是從最佳安全實(shí)踐著(zhù)手。首先，必須清楚地知道所有的組件，包括服務(wù)器、IP協(xié)議、進(jìn)程和用戶(hù)。然后，利用風(fēng)險分析模型識別可能具有的風(fēng)險。最后，選擇合適的技術(shù)或方法減輕風(fēng)險。

賽迪網(wǎng) 中國信息化(industry.ccidnet.com)