日韩毛片久久91_誰(shuí)來(lái)“護法”VoIP_電信_voip

誰(shuí)來(lái)“護法”VoIP

清華大學(xué)網(wǎng)絡(luò )中心陳曉峰 2006/10/20

　　VoIP原本應該是一炮走紅，以壓倒性的優(yōu)勢迅速取代傳統業(yè)務(wù)的新技術(shù)，但是VoIP的發(fā)展沒(méi)有人們預期得那么快。除了政策、使用習慣與方便程度、互聯(lián)網(wǎng)發(fā)展是VoIP大規模應用的桎梏外，各個(gè)層面的安全問(wèn)題也是運營(yíng)商引入VoIP的一個(gè)顧慮。

　　安全從四點(diǎn)開(kāi)始

　　互聯(lián)網(wǎng)應用系統中一直令人頭疼的垃圾郵件、網(wǎng)絡(luò )釣魚(yú)式攻擊和拒絕服務(wù)攻擊一樣會(huì )影響VoIP系統。因此，VoIP安全應該分為平臺安全、傳輸網(wǎng)的安全、承載協(xié)議安全和部署安全四個(gè)方面。

　　平臺安全

　　VoIP服務(wù)器必須架設在一定的操作系統、數據庫和應用服務(wù)器平臺上，因此DDos攻擊、漏洞攻擊，這種傳統的攻擊對于VoIP系統的安全性影響也存在。利用DDos攻擊，黑客造成服務(wù)器業(yè)務(wù)處理能力下降而無(wú)法正常進(jìn)行業(yè)務(wù)，目前應對這種安全問(wèn)題能夠通過(guò)購買(mǎi)前置防攻擊硬件來(lái)進(jìn)行過(guò)濾。業(yè)界評價(jià)較好的思科CallManager電話(huà)服務(wù)器以來(lái)SQLServer進(jìn)行數據存儲，而SQLServer的漏洞也成為了CallManager電話(huà)服務(wù)器的漏洞。這種安全的最大問(wèn)題在于，黑客能夠進(jìn)行話(huà)費詐欺，竊取客戶(hù)資料。使用Unix，Solaris這些穩定操作系統平臺與軟件并且及時(shí)地進(jìn)行在線(xiàn)升級，是運營(yíng)商能夠采取的有效的防范辦法。

　　通信層面的安全

　　由于VoIP以互聯(lián)網(wǎng)為載體進(jìn)行語(yǔ)音和信令的傳遞，其傳輸途徑安全性相比電信網(wǎng)絡(luò )要低很多。傳統的電信網(wǎng)絡(luò )基本屬于私有網(wǎng)絡(luò )，采用七號信令進(jìn)行業(yè)務(wù)管理，很少有非法監聽(tīng)，因此電信網(wǎng)絡(luò )是一個(gè)相對較為安全可靠的通信網(wǎng)絡(luò )。而互聯(lián)網(wǎng)的分布式自治特點(diǎn)從它的誕生開(kāi)始就一直受到安全的困擾，網(wǎng)絡(luò )中的黑客、特工、間諜等無(wú)數雙眼睛盯著(zhù)網(wǎng)絡(luò )上傳輸的數據包，國際流量尤其嚴重。國內各大網(wǎng)絡(luò )運營(yíng)商的互聯(lián)互通也開(kāi)始產(chǎn)生了不安全的因素，現在各個(gè)運營(yíng)商在互聯(lián)互通接口、城域網(wǎng)出口進(jìn)行業(yè)務(wù)分析已經(jīng)不是秘密。互聯(lián)網(wǎng)安全研究一直都是一個(gè)熱點(diǎn)，目前能夠對網(wǎng)絡(luò )傳輸信息進(jìn)行反監聽(tīng)的方法只有各種形式的加密。但是加密也不是一勞永逸的方法，首先加密需要開(kāi)銷(xiāo)，越難攻破的加密方式需要處理的計算就越多，進(jìn)而影響VoIP性能，另外VoIP加密也存在部署的問(wèn)題。

　　協(xié)議安全

　　目前流行的VoIP承載協(xié)議都是以國際標準為基礎的，這樣的協(xié)議在尋找VoIP落地代理商、國際出口時(shí)不需要轉化網(wǎng)關(guān)，可以方便的進(jìn)行研發(fā)和部署。國內使用的SIP、MGCP/H.248和H.323協(xié)議基本都是明文傳輸信息，網(wǎng)絡(luò )監聽(tīng)設備很容易監聽(tīng)到使用這些協(xié)議的VoIP呼叫，而且非常容易分出用戶(hù)名、密碼、主叫被叫號碼、網(wǎng)關(guān)地址等信息。

　　采取一些成熟的加密方式，例如3DES、SSH、AES等，可以非常有效的組織網(wǎng)絡(luò )探針對于信息的分析，VoIP采取這些加密從技術(shù)角度來(lái)說(shuō)是容易實(shí)現的。不過(guò)目前VoIP傳輸協(xié)議加密的非常少，遵從國際標準，互聯(lián)互通是VoIP很少使用加密方式的原因。

　　VoIP協(xié)議的檢測方法研究也是VoIP安全問(wèn)題的一大心病。SKYPE購買(mǎi)了一種較為私有的語(yǔ)音壓縮協(xié)議，而且采用P2P的方式進(jìn)行通信來(lái)避免協(xié)議攻擊，對于SKYPE的檢測一直是一個(gè)難點(diǎn)。不過(guò)SKYPE協(xié)議神秘的面紗現在已經(jīng)揭開(kāi)，目前已經(jīng)有人成功解密SKYPE協(xié)議細節，而且能夠成功的通過(guò)偽造數據包的方式干擾或者中斷通話(huà)的正常進(jìn)行。

　　部署安全

　　VoIP部署也存在安全問(wèn)題。市場(chǎng)上的主流防火墻在設計時(shí)并沒(méi)有考慮到VoIP協(xié)議本身的特點(diǎn)，也沒(méi)有顧及SIP和H.323的一些特殊情況。SIP至少使用三個(gè)端口號、H.323使用端口1721靜態(tài)端口，從防火墻內外開(kāi)始建立會(huì )議時(shí)，SIP和H.323都使用TCP和用戶(hù)數據報協(xié)議(UDP)。這就意味著(zhù)VoIP部署必須在標準防火墻上打開(kāi)大量端口，而這種設置從屏蔽攻擊角度來(lái)看是相當令人頭疼的，除了包頭里面的IP地址外，SIP和H.323還嵌入了IP地址，這種入站呼叫在防火墻和路由器的傳統NAT設置上非常的麻煩。運營(yíng)商和一些大型企業(yè)可以選用價(jià)格稍微昂貴的設備，例如會(huì )話(huà)邊界控制器(SBC)等，來(lái)處理NAT和開(kāi)放端口問(wèn)題。CheckPoint、Juniper和WatchGuard等各大防火墻和入侵防護系統廠(chǎng)商出品的較新型防火墻產(chǎn)品也開(kāi)始具有較強的VoIP功能，采用NAT穿透技術(shù)，就能根據對VoIP會(huì )話(huà)進(jìn)行嚴格監控，動(dòng)態(tài)地打開(kāi)及關(guān)閉端口，甚至實(shí)現某些服務(wù)質(zhì)量(QoS)特性，不過(guò)這往往意味著(zhù)需要不斷地升級軟硬件。

　　“寄生”式VoIP運營(yíng)安全

　　上面從各個(gè)網(wǎng)絡(luò )到應用的各個(gè)層面分析了VoIP存在的安全，以及目前的應對措施。運營(yíng)VoIP業(yè)務(wù)，一種是大的業(yè)務(wù)提供商通過(guò)自己的網(wǎng)絡(luò )提供的真正的VoIP，一種是Skype、Net2Phone、Vonage等提供的“寄生”式的VoIP。

　　如今典型的企業(yè)IP電話(huà)系統其基本要素包括：呼叫控制服務(wù)器、VoIP客戶(hù)機和VoIP網(wǎng)關(guān)。利用企業(yè)VoIP，企業(yè)能夠為分公司或者外出出差者提供免費的通訊方式，也可以為企業(yè)的最終用戶(hù)提供企業(yè)800VoIP電話(huà)服務(wù)，當前發(fā)展較為火熱。

　　企業(yè)VoIP系統和其他數據應用一樣也容易遭到攻擊，至少從理論上講是這樣。面臨的一系列潛在威脅包括：拒絕服務(wù)攻擊、病毒、蠕蟲(chóng)、特洛伊木馬、數據包嗅探、垃圾郵件和網(wǎng)絡(luò )釣魚(yú)，還會(huì )遭到垃圾郵件的侵擾，而且網(wǎng)絡(luò )釣魚(yú)也容易得逞，只要假冒撥號人的身份信息，就可以偽裝成某家合法機構的代表?yè)艽騐oIP電話(huà)，因此許多關(guān)鍵的商業(yè)信息傳輸仍用傳真來(lái)實(shí)現。今年年初，美國政府提出了一些建議。

　　電信運營(yíng)商VoIP運營(yíng)安全

　　電信級VoIP必須符合“電信級”這個(gè)概念，電信級的高可用性要求VoIP必須像現今PSTN一樣，達到6個(gè)9(99.9999%)的基本標準。隨著(zhù)電信運營(yíng)商逐漸認識到VoIP的重要性，已經(jīng)開(kāi)始進(jìn)行VoIP運營(yíng)了，相比“寄生”式VoIP系統，電信運營(yíng)商的VoIP系統相對來(lái)說(shuō)較為安全，而且協(xié)議選擇也能夠較為靈活。不過(guò)電信級的VoIP安全問(wèn)題來(lái)自于網(wǎng)絡(luò )的問(wèn)題，隨著(zhù)P2P的各種應用的大規模膨脹，電信的帶寬已經(jīng)開(kāi)始非常吃緊，很多運營(yíng)商增加的帶寬在幾天之內就被耗盡，在這樣的環(huán)境下部署實(shí)時(shí)性非常高的VoIP應用，高可用性很難達到“電信級”的要求。

　　目前已經(jīng)有運營(yíng)商的設計單位分析了當前的情形后，在網(wǎng)絡(luò )二期擴容建設時(shí)已經(jīng)開(kāi)始考慮將互聯(lián)網(wǎng)和VoIP承載網(wǎng)絡(luò )進(jìn)行分開(kāi)建設，從而避免因為網(wǎng)絡(luò )帶寬問(wèn)題影響VoIP的高可用性，這也體現了電信級VoIP的最大安全問(wèn)題。不過(guò)運營(yíng)商目前能夠采取的對策除了被動(dòng)的分開(kāi)建設以外，網(wǎng)絡(luò )帶寬分配策略、合理選擇VPN和加密、防火墻技術(shù)也都是可行的方案。
　

通信產(chǎn)業(yè)報

IP話(huà)吧“省錢(qián)省時(shí)省心”直通車(chē) 2006-10-19

走出VoIP安全無(wú)間道 2006-10-19

IP 語(yǔ)音技術(shù)：讓美夢(mèng)成真 2006-10-18

融合VoIP與DECT的數字無(wú)繩電話(huà)解決方案 2006-10-10