亚洲欧洲日本在线_VoIP 的“防彈衣”_voip

VoIP 的“防彈衣”

沈陽(yáng)理工大學(xué)通信與網(wǎng)絡(luò )工程中心馬明 2005/11/15

　　實(shí)際上，沒(méi)有什么簡(jiǎn)單的解決方法可以有效確保VoIP的絕對安全，不過(guò)還是有些辦法可以盡量減小風(fēng)險、改進(jìn)整體的安全策略。

　　安全問(wèn)題對語(yǔ)音服務(wù)而言根本不是什么新鮮事。幾十年來(lái)，傳統電話(huà)系統就飽受話(huà)費欺詐之困擾。如今，一些企業(yè)出于對安全問(wèn)題的擔憂(yōu)而對安裝IP語(yǔ)音（VoIP）系統猶豫不決，而另一些企業(yè)卻在沒(méi)有解決安全問(wèn)題的前提下貿然行事。大多數行業(yè)的分析師估計，今年企業(yè)新安裝的語(yǔ)音電話(huà)至少有一半將會(huì )是VoIP手機，這意味著(zhù)你可能很快就會(huì )面臨語(yǔ)音安全問(wèn)題，如果不正視這些問(wèn)題，你的系統就會(huì )隨時(shí)遭到攻擊。

　　說(shuō)到如何有效地確保VoIP 安全，根本沒(méi)有靈丹妙藥，但必須把這方面的安全作為整體安全策略的一部分來(lái)考慮。因為如今VoIP應用已成為IP網(wǎng)絡(luò )的一部分，如果IP網(wǎng)絡(luò )已經(jīng)落實(shí)了良好的安全措施，整個(gè)網(wǎng)絡(luò )安全系數越高，那么攻擊者進(jìn)行竊聽(tīng)、發(fā)動(dòng)拒絕服務(wù)（DoS）攻擊或者闖入VoIP系統中的操作系統或者應用系統的難度就會(huì )越大。

　　一開(kāi)始就讓安全小組參與VoIP項目也非常重要。語(yǔ)音小組和數據小組也根本犯不著(zhù)卷入地盤(pán)之爭。畢竟，現在它們應當作為一個(gè)團隊開(kāi)展工作。

遵守一系列的嚴格規定

　　主要的VoIP安全策略很簡(jiǎn)單: 首先，在你確保各種VoIP部件和因特網(wǎng)之間沒(méi)有任何通信之前，不要把這些設備接入網(wǎng)絡(luò )。其次，不要允許與因特網(wǎng)及VoIP系統進(jìn)行聯(lián)系的PC之間有任何通信。這是因為，PC特別容易受到攻擊，可能會(huì )被用來(lái)闖入VoIP系統，或者對語(yǔ)音應用發(fā)動(dòng)拒絕服務(wù)攻擊。它們還會(huì )強行利用VoIP電話(huà)從事話(huà)費欺詐、暗中竊聽(tīng)或者冒充他人等勾當。

　　如果你無(wú)法遵守這項策略，就要確保每個(gè)人都知道其中的風(fēng)險，并且落實(shí)了相應的對策以緩解風(fēng)險。這就要求清楚地知道安全、系統架構以及有關(guān)的VoIP協(xié)議。

　　要實(shí)施安全策略，第一步就是把所有VoIP電話(huà)放在單獨的虛擬局域網(wǎng)（VLAN）上，并且使用不可路由的RFC 1918地址。大多數VoIP電話(huà)都有內置的交換機，支持802.1p/Q虛擬局域網(wǎng)標準。這樣一來(lái)，就有可能在桌面系統和距離最近的布線(xiàn)室交換機之間建立虛擬局域網(wǎng)，而布線(xiàn)室交換機可以通過(guò)網(wǎng)絡(luò )進(jìn)行延伸。

　　如果語(yǔ)音用戶(hù)的PC被接到電話(huà)的交換機上，你就可以自始至終地讓語(yǔ)音和數據在不同的虛擬局域網(wǎng)上傳輸。記住一點(diǎn): 虛擬局域網(wǎng)無(wú)法彼此聯(lián)系，除非彼此之間有路由，所以這是確保語(yǔ)音和數據分開(kāi)的一個(gè)辦法。你還可以使用訪(fǎng)問(wèn)控制列表（ACL）防止虛擬局域網(wǎng)之間進(jìn)行通信，作為保護語(yǔ)音的另一道安全層。讓語(yǔ)音和數據在不同的虛擬局域網(wǎng)上傳輸，還可以簡(jiǎn)化為VoIP流量配置服務(wù)質(zhì)量（QoS）。隨后只是為VoIP虛擬局域網(wǎng)賦予優(yōu)先級的問(wèn)題而已，如果你通過(guò)路由器傳輸，仍需要第三層服務(wù)質(zhì)量。

　　服務(wù)質(zhì)量通常與確保性能聯(lián)系在一起，不過(guò)它在安全方面也起到關(guān)鍵作用。在不同邏輯虛擬局域網(wǎng)上傳輸的語(yǔ)音和數據仍使用相同的物理帶寬。這意味著(zhù)，即便PC被病毒或者蠕蟲(chóng)感染、這些PC進(jìn)而向網(wǎng)絡(luò )發(fā)送大批流量，VoIP流量仍能夠在共同的物理帶寬上獲得優(yōu)先權，因而就不會(huì )淪為拒絕服務(wù)攻擊的受害者。與此同時(shí)，ACL和防火墻可以阻止VoIP系統訪(fǎng)問(wèn)因特網(wǎng)，反之亦然。

　　虛擬局域網(wǎng)還可以緩解有人竊聽(tīng)電話(huà)的現象。如果語(yǔ)音包被人用分析儀獲取，重放語(yǔ)音就輕而易舉。IP具有的移動(dòng)性和靈活性使得它容易受到“中間人攻擊”，即地址解析協(xié)議（ARP）被用來(lái)強制流量通過(guò)某臺PC傳輸，然后就能獲取這些流量。虛擬局域網(wǎng)可以阻止有人從外面發(fā)動(dòng)攻擊，但內部攻擊比較難以預防。內部人只要把某臺PC接入墻上的插座，對PC進(jìn)行配置，成為VoIP虛擬局域網(wǎng)的一部分，就可以發(fā)動(dòng)攻擊。要防止這種破壞，最好的辦法就是購買(mǎi)具有強加密功能的VoIP電話(huà)，而這種方法要奏效，每只電話(huà)都要有加密功能。

　　你還需要在電話(huà)和通向公共交換電話(huà)網(wǎng)絡(luò )（PSTN）的網(wǎng)關(guān)之間進(jìn)行加密。如今VoIP電話(huà)廠(chǎng)商開(kāi)始把媒體加密和信令加密功能融入各自的設備當中。譬如說(shuō)，Avaya聲稱(chēng)它的所有電話(huà)現在都支持加密功能; 而北電網(wǎng)絡(luò )公司聲稱(chēng)，它的電話(huà)很快也具有同樣的功能。加密還可以挫敗需要對基礎設施獲得物理訪(fǎng)問(wèn)權的其他類(lèi)型的竊聽(tīng)，譬如利用交換機的端口鏡像，或者利用以太網(wǎng)接頭接入某條以太網(wǎng)連接線(xiàn)。

　　當然，加密以增加時(shí)延為代價(jià)。這對普通局域網(wǎng)來(lái)說(shuō)不成問(wèn)題，但對廣域網(wǎng)來(lái)說(shuō)可能會(huì )成問(wèn)題。要考慮的另一個(gè)因素就是，如果對電話(huà)之間傳輸的信號進(jìn)行加密（這在應用層實(shí)現），工作在應用層的防火墻就很難對加密信號進(jìn)行解密。

　　雖然防火墻必不可少，但別以為它們能夠勝任各項工作。VoIP協(xié)議很難過(guò)濾。盡管會(huì )話(huà)初始化協(xié)議（SIP）是VoIP信號傳輸標準，但許多廠(chǎng)商采用的卻是專(zhuān)有的信令協(xié)議，而防火墻必須理解這些協(xié)議。

　　實(shí)時(shí)協(xié)議（RTP）用于傳輸實(shí)際的語(yǔ)音媒體，不過(guò)有一系列眾多的端口動(dòng)態(tài)分配給了每路呼叫。信令協(xié)議會(huì )表明應使用哪個(gè)RTP端口用于某路呼叫。一款好的防火墻會(huì )從信令協(xié)議處接到該指示，隨后開(kāi)啟某個(gè)端點(diǎn)的IP地址所必需的那個(gè)端口。然而，不是所有的防火墻都具有這種功能。有些只是開(kāi)啟某段范圍的端口，所以要確保你對防火墻的運行情況了如指掌。

　　有些防火墻必須處理專(zhuān)用地址和網(wǎng)絡(luò )地址轉換（NAT），這樣一來(lái)，保護VoIP的安全難度就更大了，如果處理的請求是針對采用專(zhuān)用地址的某個(gè)端點(diǎn)，更是如此。了解信令協(xié)議的防火墻能跟蹤用戶(hù)注冊登記的最新地址，然后相應地為請求安排路由。Check Point軟件技術(shù)公司聲稱(chēng)，其最新款的FireWall-1具有這種功能，可以提供最低程度的安全接入。

　　另一個(gè)辦法就是把防火墻放置在專(zhuān)門(mén)為IP語(yǔ)音設計的VoIP系統前面。譬如說(shuō)，Ingate公司的防火墻就是為基于SIP的VoIP系統而設計。Ingate最近宣布，如今其產(chǎn)品已通過(guò)了認證，能夠與Avaya公司的基于SIP的產(chǎn)品協(xié)同工作。確保你實(shí)施的VoIP系統基于SIP，那樣以后需要安全選項功能時(shí)不至于只能求助于你現有的VoIP廠(chǎng)商。

　　另外還要當心，防火墻可能會(huì )帶來(lái)時(shí)延，從而成為性能方面的一個(gè)瓶頸。

　　支持VoIP的服務(wù)器每個(gè)都有各自的操作系統，而這些操作系統又存在許多相關(guān)漏洞，所以你必須確保把服務(wù)器放到你的網(wǎng)絡(luò )上之前，它們都已打上了補丁。注意時(shí)時(shí)打上最新補丁，還要認真限制對它們的訪(fǎng)問(wèn)。每個(gè)IP電話(huà)其實(shí)也是一臺電腦，有著(zhù)自己的應用軟件和操作系統，所以對你的電話(huà)也要采取同樣的防范措施，并確保電話(huà)帶有良好的補丁管理系統。

一些例外情況

　　有些應用可能會(huì )讓你考慮打開(kāi)語(yǔ)音虛擬局域網(wǎng)和數據虛擬局域網(wǎng)之間的通信通道。譬如說(shuō)，大多數VoIP廠(chǎng)商提供的桌面客戶(hù)系統能夠管理VoIP電話(huà)，并且提供豐富的用戶(hù)狀態(tài)信息。許多廠(chǎng)商提供的客戶(hù)端還可以讓你監控其他系統用戶(hù)的電話(huà)和即時(shí)通信（IM）狀態(tài)，并且發(fā)布你自己的狀態(tài)信息。這些特性需要桌面系統和VoIP系統之間進(jìn)行一定的直接聯(lián)系，所以你要想辦法安全地實(shí)現這項功能。

　　說(shuō)到這里，使用防火墻最為穩妥。做法是，提供最低程度的接入權限，不允許PC在無(wú)意中成為用來(lái)搜尋VoIP系統中存在漏洞的平臺。但如果蠕蟲(chóng)占用了網(wǎng)絡(luò )上的大量帶寬，PC和布線(xiàn)室之間的連接上所用的這些應用就無(wú)法得到保護，因為數據來(lái)自PC，因而會(huì )在數據虛擬局域網(wǎng)上傳輸。不過(guò)好消息是，VoIP電話(huà)的通信將得到保護，只要你實(shí)施了服務(wù)質(zhì)量。但如果你在PC上使用的僅僅是軟電話(huà)，就沒(méi)有辦法為PC和布線(xiàn)室交換機之間的語(yǔ)音包提供服務(wù)質(zhì)量。

　　如果你的遠程辦公人員要通過(guò)因特網(wǎng)訪(fǎng)問(wèn)IP PBX，虛擬專(zhuān)用網(wǎng)（VPN）顯然是防止竊聽(tīng)的解決辦法。Zultys科技公司等VoIP廠(chǎng)商提供的產(chǎn)品旨在便于通過(guò)VPN訪(fǎng)問(wèn)IP PBX。Zultys的有些電話(huà)可以直接在電話(huà)到PBX之間建立一條VPN隧道。北電公司的Contivity VPN PC客戶(hù)機則可以通過(guò)連接的PC，為其電話(huà)建立VPN隧道。

　　你最不希望把IP PBX暴露于因特網(wǎng)面前。如果你提供只能訪(fǎng)問(wèn)相關(guān)端口的功能，而且通過(guò)VPN進(jìn)行驗證，那么就可以盡量減小這個(gè)風(fēng)險。當然，你還會(huì )希望在IP PBX和VPN網(wǎng)關(guān)之間安裝一只防火墻，只允許訪(fǎng)問(wèn)被認為絕對有必要的端口。

　　另外，也很有必要落實(shí)相應機制，以保護你的VoIP系統免受針對應用的拒絕服務(wù)攻擊。如果需要從虛擬局域網(wǎng)進(jìn)行額外的一道驗證，應當不會(huì )面臨來(lái)自外部的重大危害; 但如果有人獲得了訪(fǎng)問(wèn)權，從內部發(fā)動(dòng)攻擊可能會(huì )是個(gè)問(wèn)題。譬如說(shuō)，利用SIP，發(fā)送大量的“注冊”請求會(huì )導致服務(wù)器無(wú)力處理請求。入侵防護系統（IPS）可以緩解這個(gè)問(wèn)題，而如果IPS或者入侵檢測系統（IDS）能理解SIP，就可以檢測這些攻擊。一款好的IPS還能夠防止基于SIP的中間人攻擊，以免通過(guò)另一個(gè)設備改變流量傳輸方向。

　　可以訪(fǎng)問(wèn)VoIP系統的任何桌面系統都必須加以保護。如今許多廠(chǎng)商提供集中管理的防火墻以及可以檢查操作系統補丁及病毒更新?tīng)顩r的軟件。這對使用IP軟電話(huà)的遠程辦公人員來(lái)說(shuō)尤為重要。

　　所以不要被VoIP安全問(wèn)題捆住了手腳。有了可靠的IP語(yǔ)音安全策略以及合理搭配的安全工具，沒(méi)有理由錯過(guò)VoIP具有的諸多優(yōu)點(diǎn)。

計算機世界網(wǎng)(www.ccw.com.cn)

相關(guān)鏈接:

IP電話(huà)邁向無(wú)線(xiàn) 2005-11-15

Skype手機驚現網(wǎng)絡(luò )江湖 2005-11-15

徐財星：Skype都動(dòng)了誰(shuí)的奶酪 2005-11-15

為VoIP撐一把保護傘 2005-11-14

拒絕VoIP的5大理由 2005-11-14