VoIP也安全
張志剛
2005/03/16
如果實現(xiàn)VoIP,安全是個需要考慮的重要事項,因為VoIP中的每一節(jié)點都像計算機一樣是可訪問的。
當(dāng)遭受DoS攻擊、黑客入侵時,VoIP通常會導(dǎo)致發(fā)生未經(jīng)授權(quán)的免費呼叫、
呼叫竊聽和惡意呼叫重定向等問題。
針對諸多問題,大力推崇VoIP的思科是如何解決的?
Cisco精心打造的IP-telephony package可以說是整個Cisco網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)備中最安全的一個。測試也表明,通過這種方法建立的VoIP網(wǎng)絡(luò)能有效抵御熟練黑客的攻擊,其拓?fù)涿黠@要優(yōu)于許多用戶現(xiàn)在部署的安全選項,但美中不足的是,構(gòu)建這樣的系統(tǒng)確實有點價格不菲。
在這樣一個系統(tǒng)中,可選的組件包括:兩個獨立的PIX防火墻、另一個位于backbone Catalyst 6500刀片上的防火墻、在6500中的一個IDS刀片、一個完全獨立的管理子網(wǎng)和不同安全的管理應(yīng)用系統(tǒng)。防火墻和IDS部件的價格共計約64萬元。防火墻為桌面帶來了許多實用性很強而且具有高安全級別的特性:一個是信任方-不信任方的概念(不信任方接口總是指向黑客);另一個是協(xié)議理解,即只有要求VoIP的特定協(xié)議才被允許,且請求和響應(yīng)只能在正確的方向才能通過。本測試中還包括其他一些防火墻特性,例如:VoIP呼叫控制檢查(Stateful inspection of VoIP Call Controll)、網(wǎng)絡(luò)地址解析(networks address resolution)、通過防火墻的通道呼叫控制、TCP截。═CP intercept,他可確保TCP連接的順利完成,還能防止呼叫管理器上的DoS攻擊,以及對Secure SCCP的支持)。
作為Cisco IP-telephony package的核心所在,呼叫管理器4.0版可處理呼叫控制,還包括一些其他新的安全相關(guān)特性。其中最關(guān)鍵之處是VoIP加密,本次測試中語音流(RTP,實時傳輸協(xié)議)加密僅僅在Cisco最新的7970 IP phone sets上得到支持。而基于Windows 2000操作系統(tǒng)的最新呼叫管理器已呈現(xiàn)逐步硬化的趨勢。
另外,還有一系列強大的網(wǎng)絡(luò)自防御特征也包括在本次被測試的Catalyst IOS版本中,尤其是放在core Catalyst 6500上的IOS 12.2(17b)sxa,和access Catalyst 4500上的IOS 12.1(20)ew等,所有這些功能作為安全防御的先鋒,較之其他任何Cisco拓?fù)渲械慕M件,均有效地阻止了攻擊隊伍的行動,主要還包括:流量警察(police)和committed access rate,對于阻擋攻擊隊伍的DoS攻擊十分成功;第二層端口安全,他可嚴(yán)格限制一個端口中MAC地址的數(shù)量;第二層DHCP偵聽(Dynamic Host Configuration Protocol,動態(tài)主機配置協(xié)議),他可有效阻止動態(tài)主機配置協(xié)議的連續(xù)攻擊;動態(tài)地址解析協(xié)議檢查,他能中止ARP(地址解析協(xié)議)感染病毒和對ARP的偵聽攻擊,同時還能抵御攻擊隊伍大量更隱蔽的攻擊;IP源地址保護(hù)(IP Source Guard),他能防止偽裝攻擊;VLAN訪問控制列表,可限制到達(dá)IP電話的流量等。
CSA(Cisco Security Agent,Cisco安全代理)是另一個基于主機的防止入侵系統(tǒng)(IPS,intrusion-prevention system),現(xiàn)在作為呼叫管理器IP電話服務(wù)器中集成的一個安全組件,也出現(xiàn)在Cisco的統(tǒng)一語音郵件服務(wù)器(Unity voice mail server),和其他所有貫穿Cisco網(wǎng)絡(luò)拓?fù)涞腤in 2000服務(wù)器中。
Cisco有效的安全措施幾乎應(yīng)用在了全部層上:第二和第三層(Catalyst系列交換機),第四和第五層(防火墻和IPS),第六層(RTP語音加密流,目前仍僅限于某些電話),和第七層(基于服務(wù)器的軟件,如Cisco Security Agent等)。
經(jīng)過評測部門組織的三天的測試攻擊,攻擊隊伍在電話通信中沒有發(fā)現(xiàn)明顯的干擾,Cisco VoIP系統(tǒng)的安全性基本經(jīng)受住了考驗,但也存在幾個瑕疵:首先,黑客隊伍很容易就能在一個IP電話基站連接鏈路中插入一個偵聽器,從這個有利的位置他們能觀察收集到全部的流量信息細(xì)節(jié),如協(xié)議,地址,甚至捕捉到RTP,而這是一種運行在UDP上,并承載全部VoIP系統(tǒng)上中語音樣本的VoIP協(xié)議。雖然流入/出VoIP Cisco 7970電話的流量是經(jīng)過加密的128位數(shù)據(jù),但攻擊隊伍很容易獲取;其次,利用放置的偵聽器所收集到的網(wǎng)絡(luò)信息,黑客能插入他們自己的計算機,因而能進(jìn)一步訪問語音虛擬LAN,并向其他VLAN中的設(shè)備發(fā)送流量,但他們不能偽裝成某個IP電話或IP電話的呼叫。最后,盡管這是一個跨越多層平臺的有效的安全策略,但所有這些安全部件之間細(xì)微的相互關(guān)聯(lián)和正確的安裝是非常令人頭疼的,如果將Cisco配置的防火墻其雙向都不允許通過流量,這或許很安全,但并不實用。任何不當(dāng)或不正確的設(shè)置,既便是最好的安全策略也會受到影響。
Cisco VoIP系統(tǒng)拓?fù)鋱D
相關(guān)鏈接
VoIP安全級別
作為網(wǎng)絡(luò)管理員可能經(jīng)常要面對諸如此類的問題:“你的IP電話(IP telephony)網(wǎng)絡(luò)能防止黑客的攻擊嗎?”可能大多數(shù)答案都是肯定的,但這個肯定主要取決于網(wǎng)絡(luò)所使用的是哪個廠商的IP
PBX。因此更重要的是是否制定了周密的網(wǎng)絡(luò)安全計劃、網(wǎng)絡(luò)和個人資源戰(zhàn)略,以及額外的安全設(shè)備方面,投入資金和時間等。下表是對幾種安全級別的定義。
賽迪網(wǎng) 中國信息化(industry.ccidnet.com)
相關(guān)鏈接: