成人精品一区二区www_VoIP敲響安全“警鐘” 廠(chǎng)商如何應對_voip

VoIP敲響安全“警鐘” 廠(chǎng)商如何應對

2005/11/01

　　DoS攻擊、病毒、蠕蟲(chóng)、特洛伊木馬、數據包嗅探、垃圾郵件、網(wǎng)絡(luò )釣魚(yú)、電話(huà)費欺詐和偷聽(tīng).....企業(yè)VoIP究竟需要敲響安全問(wèn)題警鐘？還是這些威脅常常是夸大其詞？問(wèn)題的答案取決于談話(huà)人是誰(shuí)。

　　Cisco公司安全IP通信營(yíng)銷(xiāo)經(jīng)理Roger Farnsworth認為：“VoIP系統至少同傳統的語(yǔ)音系統一樣安全，而未來(lái)的IP技術(shù)和語(yǔ)音應用將使它們變得甚至更安全。”傳統電話(huà)系統和VoIP語(yǔ)音管理與安全平臺廠(chǎng)商SecureLogix公司CEO Mark Collier則持不同意見(jiàn)。他說(shuō)：“在IP作為其基礎的情況下，預期VoIP變得比電子郵件、Web或DNS更安全的想法根本不現實(shí)。”

　　那就保留電話(huà)吧。那么，電子郵件呢？Web呢？DNS呢？任何大腦正常的人，有誰(shuí)會(huì )從如磐石般可靠的傳統企業(yè)電話(huà)服務(wù)轉移到比電子郵件還不安全的平臺上呢？

　　多種問(wèn)題威脅VoIP

　　事實(shí)上，企業(yè)VoIP實(shí)際上只是IP網(wǎng)絡(luò )上的另一種應用。當前典型的企業(yè)IP電話(huà)系統的主要包括呼叫控制服務(wù)器、VoIP客戶(hù)機和VoIP網(wǎng)關(guān)。呼叫控制服務(wù)器一般運行在Linux、Windows或VxWorks等操作系統上。VoIP客戶(hù)機或是電話(huà)機或是軟電話(huà)。而VoIP網(wǎng)關(guān)安裝在網(wǎng)絡(luò )邊緣上，提供VoIP與PSTN之間的轉換服務(wù)。它們都使用比較標準的協(xié)議――一般要么是國際電信聯(lián)盟的H.323系列協(xié)議，要么是IETF用于服務(wù)器與客戶(hù)機的SIP和用于網(wǎng)關(guān)的MGCP（媒體網(wǎng)關(guān)控制協(xié)議）或Megaco/H.248協(xié)議。絕大多數VoIP系統共享數據網(wǎng)絡(luò )，依靠同樣的路由器和交換機進(jìn)行語(yǔ)音包傳輸，并且完美地與其他數據應用（包括消息應用）連接。

　　從理論上講，VoIP系統至少像其他數據應用一樣易于受到攻擊的威脅。羅列潛在威脅的清單長(cháng)得驚人――包括DoS攻擊、病毒、蠕蟲(chóng)、特洛伊木馬、數據包嗅探、垃圾郵件和網(wǎng)絡(luò )釣魚(yú)。垃圾郵件？如果你記得謝絕來(lái)電電話(huà)目錄（do-not－call－list）出現前的黑暗日子，就可以想象到SPIT（通過(guò)Internet電話(huà)傳送的垃圾信息）的可能。BorderWare Technolgies公司技術(shù)副總裁Andrew Graydon說(shuō)：“假如我想打100個(gè)電話(huà)，必須撥100次電話(huà)或使用自動(dòng)撥號器。可是利用IP連接，我可以將一個(gè)WAV文件上載到巴哈馬的一臺計算機上，按一個(gè)鍵，立即將文件發(fā)送2000位雇員。”網(wǎng)絡(luò )釣魚(yú)只需通過(guò)假冒主叫方ID信息，偽裝成一家合法機構的代表來(lái)實(shí)現。

　　但是，廠(chǎng)商和分析人士強調說(shuō)，IP PBX運行在不同的操作系統上（通常是精簡(jiǎn)和加固的操作系統），使用多種仍在演進(jìn)中的標準以及更多的專(zhuān)有協(xié)議（如Cisco的Skinny呼叫控制協(xié)議），從而使VoIP應用比一般的數據應用更難成為攻擊的目標。

　　中間人攻擊（黑客偽裝成SIP代理，記錄所有的呼叫活動(dòng)）和信任利用（入侵與VoIP服務(wù)器存在信任關(guān)系的數據服務(wù)器來(lái)獲得對VoIP服務(wù)器的訪(fǎng)問(wèn)），也具有潛在的威脅。除此之外，還有電話(huà)費欺詐（即入侵語(yǔ)音網(wǎng)關(guān)，花公司的錢(qián)打國際長(cháng)途電話(huà)）。再有就是偷聽(tīng)：可以接入網(wǎng)絡(luò )并擁有叫做tcpdump和VOMIT（Voice over Misconfigured Internet Telephones）這兩種免費的、容易得到的工具的用戶(hù)，可以重新組裝IP語(yǔ)音談話(huà)，將它轉換為標準WAV文件。

　　此外，VoIP系統常常依靠脆弱的應用來(lái)正常運行。Collier說(shuō)：“SQL Slammer攻擊了 Microsoft SQL Server，可是由于Cisco Call Manager電話(huà)服務(wù)器依靠SQL服務(wù)器，因此Slammer也破壞了其中的很多電話(huà)服務(wù)器。”

　　VoIP自身難題

　　與其他應用相比，VoIP也面臨自己的挑戰。據Gartner公司聯(lián)邦實(shí)踐主任David Fraley說(shuō)，為了實(shí)現收費質(zhì)量的語(yǔ)音，單向傳輸流的延時(shí)不能超過(guò)150毫秒。“語(yǔ)音編碼可占用多達30毫秒的時(shí)間，而公共IP網(wǎng)絡(luò )上橫跨美國的合理距離上的語(yǔ)音呼叫可占用多達100，甚至125毫秒的時(shí)間。”而這還只是加入防火墻、加密和入侵防御等安全措施之前的延時(shí)。

　　大多數主流防火墻沒(méi)有考慮VoIP，它們也不能處理SIP和H.323的一些特有的東西。例如，SIP至少使用3個(gè)端口號，其中只有一個(gè)是靜態(tài)的。H.323使用只有兩個(gè)是靜態(tài)端口，且都使用TCP和UDP(User Datagram Protocol)。這意味著(zhù)你必須在標準防火墻上打開(kāi)大量的端口，而這從威脅暴露角度看是不可接受的。

　　除了包頭的IP地址外，SIP和H.323也嵌入了IP地址，因此進(jìn)入的呼叫會(huì )在防火墻和路由器的傳統NAT設置上遇到問(wèn)題。

　　運營(yíng)商和一些大型企業(yè)利用叫做SBC（會(huì )話(huà)邊界控制器）的昂貴設備來(lái)處理NAT和開(kāi)放端口問(wèn)題。來(lái)自Check Point、Juniper和WatchGuard等主要防火墻和IPS廠(chǎng)商的較新的防火墻產(chǎn)品，也已經(jīng)開(kāi)始變得更具VoIP意識，采用叫做NAT穿越的技術(shù)，根據對VoIP會(huì )話(huà)的仔細監測來(lái)動(dòng)態(tài)地打開(kāi)和關(guān)閉端口，甚至實(shí)現某些QoS特性，但是這常常意味著(zhù)升級硬件和軟件，并需要在購買(mǎi)時(shí)小心謹慎。

尋找解決方案

　　在存在這些潛在威脅和安全漏洞的情況下，數量巨大的VoIP用戶(hù)不久會(huì )發(fā)現自己受到服務(wù)中斷和偷聽(tīng)的困擾嗎？到目前為止，還沒(méi)有出現針對企業(yè)VoIP系統的破壞性、引起公眾廣泛注意的攻擊。為什么呢？廠(chǎng)商和分析人士提出了幾條有根據的理由。

　　多數較新的企業(yè)VoIP解決方案是封閉的系統，在這種系統中，分組語(yǔ)音只在LAN上傳送。并且大多數外部傳輸流經(jīng)過(guò)網(wǎng)關(guān)在PSTN上傳送。Gartner的Fraley說(shuō)：“如果你只在LAN上傳送VoIP，實(shí)現收費質(zhì)量和保持安全性比較容易。”辦公室間的傳輸流一般在受保護的辦公室到辦公室連接上傳送，因此在很多情況下，保護內部VoIP意味著(zhù)加強你的呼叫服務(wù)器、交換機和網(wǎng)關(guān)，并利用合適類(lèi)型的防火墻和IPS保護它們。

　　廠(chǎng)商還建議在LAN上將語(yǔ)音與數據流隔離，以保護語(yǔ)音流不受惡意件、偷聽(tīng)和DoS攻擊的影響。為語(yǔ)音構建獨立的基礎設備將抵消VoIP的費用好處。不過(guò)，你交換機的802.1Q特性提供了很多同樣的保護，這些特性將語(yǔ)音和數據放在不同的VLAN上，利用具有語(yǔ)音意識的防火墻和/或IPS，保護語(yǔ)音與數據VLAN之間的交匯點(diǎn)，如消息服務(wù)器。事實(shí)上，Cisco最近版本的Call Manager提供內置的IPS。

　　Farnsworth說(shuō)：“正確的使用VLAN還將防止偶然的VoIP嗅探。”他補充說(shuō)，將合適的安全措施用于語(yǔ)音應用目標變得更加容易。

　　VoIP廠(chǎng)商和安全專(zhuān)家說(shuō)，最好不要使用軟電話(huà)――即運行在PC上的電話(huà)軟件――而使用IP電話(huà)機，因為軟電話(huà)使隔離語(yǔ)音與數據變得幾乎不可能。將IP電話(huà)機的IP地址與它的MAC（媒體訪(fǎng)問(wèn)控制）地址建立關(guān)系是幫助減少I(mǎi)P地址欺騙的好辦法。一些解決方案使用數字證書(shū)進(jìn)行設備和服務(wù)器的認證，你可以在使用IP電話(huà)機時(shí)要求口令或PIN。關(guān)鍵是加密語(yǔ)音－信令數據、VoIP管理互動(dòng)，并且在高度安全的環(huán)境中，甚至加密語(yǔ)音流。

　　未來(lái)挑戰

　　上述論點(diǎn)目前很有道理，但是未來(lái)呢？Graydon說(shuō)：“歸根結底，企業(yè)希望利用VoIP節省國際長(cháng)途電話(huà)費。”這就是說(shuō)用VoIP中繼線(xiàn)取代PRI和PSTN中繼線(xiàn)，將呼叫傳送給靠近你的國際電話(huà)目的地的網(wǎng)關(guān)。Graydon說(shuō)：“只要企業(yè)向Internet開(kāi)放VoIP，就會(huì )在自己的網(wǎng)絡(luò )上打開(kāi)巨大的潛在安全窟窿。”實(shí)際上，封閉的企業(yè)VoIP系統的日子已經(jīng)過(guò)去了。Graydon還指出，電信公司正在將其內部基礎設備由銅線(xiàn)上的PSTN改變?yōu)楣饫w上的IP來(lái)減少自己的費用，并且正在向與其他提供商的基于IP的對等連接遷移。“很多重大的IP融合正在那里悄悄地發(fā)生。”

　　Collier對此表示同意。他說(shuō)：“一旦MCI在他們的VoIP網(wǎng)絡(luò )上擁有1000家客戶(hù)，控制安全威脅將變得更加困難。”

　　懷疑論者指出，避免使用軟電話(huà)和將語(yǔ)音與數據完全隔離是不現實(shí)的。Collier說(shuō)：“語(yǔ)音與數據間的互聯(lián)正是所有那些很酷的融合應用未來(lái)的演進(jìn)方向。” CentricVoice公司CEO Jeff Rothel對此表示贊同。CentricVoice是一家利用來(lái)自BorderWare的VoIP安全解決方案提供企業(yè)VoIP服務(wù)的公司。他說(shuō)：“我們計劃推出很多將語(yǔ)音直接集成到企業(yè)數據應用的軟件層中的服務(wù)。”事實(shí)上，Rothel和其他人看到了企業(yè)從大小不同的提供商（全都以IP和SIP作為統一的標準）購買(mǎi)多種語(yǔ)音服務(wù)和應用的未來(lái)。

　　Rothel聲稱(chēng)，傳統的語(yǔ)音提供商對潛在的VoIP威脅不特別了解。“其中的很多提供商根本不懂得數據世界。他們從未遇到了讓他們的PSTN交換機癱瘓的病毒。”

　　市場(chǎng)上還有像來(lái)自Skype和其他提供商的對等語(yǔ)音應用這樣的顛覆性應用。IPS提供商、目前成為3Com公司一部分的TippingPoint公司安全研究主管、VoIP 安全聯(lián)盟主席David Endler說(shuō)：“現在出現了大量不符合標準的企業(yè)VoIP應用，這些應用可能將滲透到企業(yè)中。” VoIP 安全聯(lián)盟是一家尋找推進(jìn)安全研究的VoIP和安全廠(chǎng)商組成的組織。

　　懷疑者還指出，VoIP廠(chǎng)商建議的很多安全措施要么不特別實(shí)際，要么沒(méi)有得到廣泛使用。SecureLogix的Collier說(shuō)：“毫無(wú)疑問(wèn)，你可以實(shí)現語(yǔ)音和信令加密和強認證，但是它們配置起來(lái)十分困難。”IT安全提供商Sentegrity公司CTO Brian Ham說(shuō)，當前的密鑰交換標準，如Diffie Hellman密鑰協(xié)議，不能很好地擴展用于大范圍的VoIP認證和加密：“如果你關(guān)注一下論壇、公布板和行業(yè)領(lǐng)導者，就會(huì )發(fā)現所有人都在問(wèn)：‘我們怎樣能進(jìn)行合適的密鑰交換？’”

　　只是因為一直沒(méi)有出現引起公眾廣泛注意的針對IP電話(huà)的攻擊，這并不意味著(zhù)它們不會(huì )發(fā)生。BorderWare透露說(shuō)，呼叫中心和金融機構已遭遇了攻擊，但BorderWare官員不想透露他們的名字。

　　Collier說(shuō)：“在一項技術(shù)得到廣泛部署，出現可供大眾自動(dòng)發(fā)動(dòng)攻擊的工具之前，你一般不會(huì )看到廣泛傳播的威脅。” Endler也認為：“隨著(zhù)應用得到更廣泛的部署，它們成為更具誘惑力的目標。” BorderWare、SecureLogix，甚至TippingPoint等VoIP安全廠(chǎng)商開(kāi)始提供針對未來(lái)可能影響VoIP的應用層攻擊的專(zhuān)門(mén)的VoIP防火墻和IPSec。

　　VoIP最終可能開(kāi)始遭受困擾電子郵件、即時(shí)消息和其他類(lèi)型的入侵。好消息是VoIP和安全廠(chǎng)商已開(kāi)始及早著(zhù)手解決這些問(wèn)題。Kuhn說(shuō)：“毫無(wú)疑問(wèn)，VoIP安全選擇將很快變得越來(lái)越好。”他補充說(shuō)，融合語(yǔ)音和數據應用的好處那么大，安全問(wèn)題不可能阻止它們的部署。

計算機世界網(wǎng)(www.ccw.com.cn)

相關(guān)鏈接:

VoWLAN發(fā)展現狀與趨勢分析 2005-11-01

VOIPSA聯(lián)盟定義VoIP威脅 2005-10-26

VoIP在無(wú)序網(wǎng)絡(luò )中獲得有序業(yè)務(wù) 2005-10-25

VoIP監管問(wèn)題及政策思路思考 2005-10-25

VoIP：政策邊緣的超速球 2005-10-21