深度檢測防火墻：VOIP網(wǎng)絡(luò )安全的基石

陸耀光 2005/06/03

　　摘要:本文討論了與安全VoIP網(wǎng)絡(luò )部署相關(guān)的問(wèn)題和復雜性，然后詳細介紹了SonicWALL公司的完全VoIP解決方案。

內容

1. 與VoIP和網(wǎng)絡(luò )安全性相關(guān)的問(wèn)題



2. 現有VoIP安全性解決方案

• VoIP安全性



• VoIP網(wǎng)絡(luò )互操作性和協(xié)議支持



• VoIP供應商互操作性

• 畸形請求DoS - 可以利用精心編制的協(xié)議請求來(lái)利用已知的漏洞，從而導致服務(wù)部分或全部中斷。可以利用這種方法導致目標崩潰，也可以用來(lái)控制目標。
  


• 針對媒體的DoS - VoIP媒體由實(shí)時(shí)協(xié)議(RTP)數據包承載，因此容易受到攻擊。例如，網(wǎng)絡(luò )阻塞型攻擊，或者是削弱或破壞終端設備(電話(huà)或網(wǎng)關(guān))實(shí)時(shí)處理數據包的能力。


　　如果攻擊者能夠訪(fǎng)問(wèn)網(wǎng)絡(luò )中媒體傳輸經(jīng)過(guò)的部分，那么只需要簡(jiǎn)單地注入大量媒體數據包或者高服務(wù)質(zhì)量(QoS)優(yōu)先級的數據包就可以擾亂合法媒體數據包的傳輸。


• 基于負載的DoS - DoS攻擊并不一定需要利用畸形數據包才能達到目的。向目標發(fā)送大量合法請求很容易就會(huì )使設計不好的系統癱瘓。

• VoIP工作時(shí)采用兩組協(xié)議 - 信令(在客戶(hù)和VoIP服務(wù)器)和媒體(客戶(hù)間)。每個(gè)對話(huà)中媒體協(xié)議(RTP/RTCP)所使用的端口/IP地址是由信令協(xié)議動(dòng)態(tài)協(xié)商的。防火墻需要動(dòng)態(tài)跟蹤和維護這一信息，在適當的時(shí)候為會(huì )話(huà)安全地打開(kāi)所選擇的端口并適時(shí)關(guān)閉它們。



• 多個(gè)媒體端口通過(guò)信令會(huì )話(huà)動(dòng)態(tài)協(xié)商;媒體端口的協(xié)商內容包含在信令協(xié)議的凈荷中(IP地址和端口信息)。防火墻需要深入檢測每個(gè)數據包來(lái)獲得所需要的信息并動(dòng)態(tài)維持會(huì )話(huà)，因此需要防火墻具備額外的處理能力。



• 源和目標IP地址嵌入在VoIP信令數據包中。支持NAT的防火墻對數據包在IP頭一級進(jìn)行IP地址和端口轉換。更為不利的是，全對稱(chēng)NAT防火墻經(jīng)常調整其N(xiāo)AT綁定，而且為了保護內部網(wǎng)絡(luò )，可能會(huì )隨時(shí)關(guān)閉允許外部數據包進(jìn)入的針孔通道，從而使得服務(wù)供應商無(wú)法向內部網(wǎng)絡(luò )的客戶(hù)發(fā)送呼叫請求。



• 為有效地支持VoIP，NAT防火墻需要在數據包通過(guò)防火墻時(shí)進(jìn)行深度數據包檢測并轉換嵌入的IP地址和端口信息。



• 防火墻還必須能夠處理由不同VoIP系統所使用的不同消息格式組成的信令協(xié)議組。實(shí)際上，兩家供應商采用了同樣的協(xié)議組并不意味著(zhù)他們之間就可以互操作。

圖 1.

　　SonicWALL VoIP 解決方法

　　SonicWALL VoIP解決方案的核心包括以下方面(將在本文后面的章節詳細描述):

• 在整個(gè)VoIP呼叫期間的狀態(tài)數據包檢測和變換



• 呼叫注冊



• 呼叫建立/拆除



• 媒體交換



• 安全性



• VoIP入侵防御、防病毒、內容過(guò)濾



• VoIP over WLAN，支持全面的威脅預防功能



• 檢測并丟棄畸形惡意數據包



• 強制‘封閉’VoIP網(wǎng)絡(luò ) – 防止非授權呼叫



• 架構



• 支持流式媒體和組播應用



• 任意設備組合可以位于任何區域(H.323 和 SIP 端點(diǎn)、H.323 關(guān)守、H.323 多點(diǎn)控制單元、SIP代理和重定向服務(wù)器)


• 網(wǎng)守和代理可以位于網(wǎng)絡(luò )的任何位置，甚至在DMZ區



• 全對稱(chēng)NAT



• 豐富的報告



• 呼叫跟蹤



• ‘異常’數據包日志



• 簡(jiǎn)化問(wèn)題排除和調試過(guò)程

• 業(yè)務(wù)流合法性


　　對通過(guò)防火墻的每個(gè)VoIP信令和媒體數據包進(jìn)行狀態(tài)檢測可保證所有業(yè)務(wù)流的合法性。對于攻擊者來(lái)說(shuō)，攻擊所使用的主要方法就是利用特殊編制的數據包來(lái)窺探和利用軟硬件實(shí)現的缺陷，從而導致目標設備出現緩沖區溢出等問(wèn)題。SonicWALL能夠在奇異或非法數據包到達目標之前檢測到它們并將其丟棄。


• 對VoIP協(xié)議的應用層保護

• DoS 和 DDoS攻擊保護


　　防止DoS和DDoS攻擊，如SYN Flood、Ping of Death以及LAND(IP)攻擊。這些攻擊會(huì )造成網(wǎng)絡(luò )或服務(wù)癱瘓。

　　
• 驗證采用TCO的VoIP信令數據包的順序。不允許失序或在窗口外重傳的數據包。


　　
• 在每一TCP會(huì )話(huà)中采用隨機TCP順序號(在連接建立時(shí)由加密隨機數生成器生成)并驗證數據流，防止重放和數據插入攻擊。


　　
• SYN Flood保護保證了攻擊者無(wú)法通過(guò)打開(kāi)多個(gè)TCP/IP連接(并未完全建立 – 通常是采用欺騙源地址)來(lái)使服務(wù)器過(guò)載。


　　
• 狀態(tài)監控


　　狀態(tài)監控保證數據包(即使表面上看起來(lái)正確)符合目前所關(guān)聯(lián)的VoIP連接的狀態(tài)。


• SonicWALL防病毒

• 無(wú)縫支持加密媒體


　　一些VoIP設備可以利用加密來(lái)保護VoIP會(huì )話(huà)期間交換的媒體數據，防止竊聽(tīng)和重放。


• 強認證和加密

• 無(wú)線(xiàn)局域網(wǎng)上的VoIP ( VoIP over WLAN)


　　SonicWALL利用其分布式無(wú)線(xiàn)解決方案將完全的VoIP安全性擴展到附屬的無(wú)線(xiàn)網(wǎng)絡(luò )。無(wú)論是利用內置802.11無(wú)線(xiàn)功能的TZ 170系列，還是配合使用PRO系列設備和SonicPoint 802.11a/b/g智能接入點(diǎn)，利用無(wú)線(xiàn)網(wǎng)絡(luò )的VoIP設備可以擁有與SonicWALL設備后面有線(xiàn)網(wǎng)絡(luò )上的VoIP設備一樣的所有安全特性和優(yōu)點(diǎn)。

　　
• 通過(guò)帶寬管理保證可用性和呼叫質(zhì)量


　　帶寬管理(包括入和出兩個(gè)方向)可保證時(shí)間敏感的VoIP業(yè)務(wù)流所需要的帶寬。通過(guò)連續監控和管理可用的帶寬，SonicWALL可以保證VoIP設備享有呼叫所需要的帶寬。

　　
• WAN冗余和負載平衡


　　WAN冗余和負載平衡允許利用一個(gè)接口做為輔助或備份WAN端口。輔助WAN端口可采用簡(jiǎn)單的主/被(active/passive)設置，僅在主WAN端口故障和/或不可用時(shí)業(yè)務(wù)流才會(huì )路由到這個(gè)端口。輔助WAN端口還可采用更為動(dòng)態(tài)的(active/active)配置，出口業(yè)務(wù)流被分配到主和輔WAN端口，以提供更大的吞吐能力。

　　
• 高可用性


　　SonicWALL硬件故障切換能力可在系統故障時(shí)保證可靠連接的連接，從而保障了高可用性。

ChinaByte(e.chinabyte.com)