首頁(yè)>>>技術(shù)>>>VoIP

VoIP安全:挑戰(zhàn)與對(duì)策

馬云飛 2005/05/24

  Jupiter研究公司最近數(shù)據(jù)預(yù)計(jì),到2010年,美國(guó)的VoIP用戶將達(dá)1200萬(wàn),屆時(shí)VoIP的安全性將是業(yè)界面臨的主要問(wèn)題之一。而最近“VoIP安全聯(lián)盟”的正式成立,也向公眾傳達(dá)了這樣一個(gè)理念:VoIP并非絕對(duì)安全可靠,業(yè)界需要在其安全性方面做出更多努力。

  由于VoIP基于可同時(shí)承載語(yǔ)音、數(shù)據(jù)和其它流量的統(tǒng)一網(wǎng)絡(luò)架構(gòu),可在顯著減少用戶語(yǔ)音與數(shù)據(jù)通信服務(wù)開銷的同時(shí),提供傳統(tǒng)PBX系統(tǒng)無(wú)法比擬的諸多新型服務(wù),因而這一技術(shù)在商業(yè)與家庭消費(fèi)領(lǐng)域得到了越來(lái)越廣泛的應(yīng)用。Insight調(diào)研公司今年四月初發(fā)布的一份市場(chǎng)研究報(bào)告預(yù)計(jì),受商業(yè)應(yīng)用的驅(qū)動(dòng),2005年全球VoIP市場(chǎng)將有望達(dá)820億美元,并將在2007年進(jìn)一步增至1965億美元。

  但不幸的是,VoIP在融合了傳統(tǒng)PBX系統(tǒng)與數(shù)據(jù)網(wǎng)絡(luò)二者優(yōu)勢(shì)的同時(shí),也同樣將這兩種系統(tǒng)固有的安全風(fēng)險(xiǎn)全部系于一身。與基于PSTN電話網(wǎng)絡(luò)的傳統(tǒng)PBX系統(tǒng)相比,VoIP語(yǔ)音流量大多通過(guò)公共Internet網(wǎng)絡(luò)進(jìn)行傳輸,因而除了會(huì)遭遇存在于傳統(tǒng)PBX系統(tǒng)中的非法搭線偵聽等安全風(fēng)險(xiǎn)外,還面臨著病毒、DoS(Denial-of-Service)拒絕服務(wù)攻擊等數(shù)據(jù)網(wǎng)絡(luò)常見(jiàn)的安全威脅。尤其是在VoIP技術(shù)開始大舉進(jìn)軍商業(yè)應(yīng)用領(lǐng)域的今天,VoIP的安全問(wèn)題顯得尤為突出。今年年初以來(lái),見(jiàn)諸報(bào)端的VoIP相關(guān)安全事件已然超過(guò)了2004年以前所有年份的總和。

  那么,VoIP技術(shù)面臨的安全威脅究竟有哪些?用戶與運(yùn)營(yíng)商應(yīng)當(dāng)采取什么樣的安全防范措施?VoIP解決方案的效果如何、能否勝任企業(yè)的應(yīng)用?下面就讓我們從VoIP系統(tǒng)的基礎(chǔ)架構(gòu)入手對(duì)這些問(wèn)題進(jìn)行一下簡(jiǎn)要分析。

  安全:VoIP之軟肋

  VoIP系統(tǒng)基礎(chǔ)架構(gòu)主要由專用交換機(jī)系統(tǒng)、網(wǎng)關(guān)、代理、注冊(cè)和定位服務(wù)器、以及用于撥打IP主干網(wǎng)的IP電話等組件構(gòu)成。

  其中的每一組件,無(wú)論這一組件是基于嵌入式系統(tǒng)的IP電話終端、還是運(yùn)行商業(yè)操作系統(tǒng)的VoIP服務(wù)器,都包含有運(yùn)行軟件的處理器,都像網(wǎng)絡(luò)中的其它計(jì)算機(jī)設(shè)備一樣,是可尋址和訪問(wèn)的,也都使用TCP/IP堆棧。這意味著在VoIP系統(tǒng)架構(gòu)中,每一節(jié)點(diǎn)都如同數(shù)據(jù)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)一樣,極易成為黑客攻擊的目標(biāo),或者作為實(shí)施內(nèi)部網(wǎng)絡(luò)攻擊的跳板;也意味著黑客可以利用VoIP語(yǔ)音基礎(chǔ)架構(gòu)本質(zhì)上是數(shù)據(jù)網(wǎng)絡(luò)的特性,實(shí)施針對(duì)語(yǔ)音通信系統(tǒng)的攻擊。

  由于一個(gè)完整的VoIP電話呼叫需要由建立呼叫的交換信令信息和承載實(shí)際語(yǔ)音呼叫的媒體流兩個(gè)部分組成。因此,要保證VoIP呼叫的安全,就必須同時(shí)確保這兩個(gè)組成部分的安全。但由于信令和媒體流的路徑是相互分離的,需要利用VoIP技術(shù)實(shí)現(xiàn)這兩部分之間的邏輯連接。而且,通常情況下,通過(guò)Internet傳輸?shù)腣oIP流量是未經(jīng)加密的,這都在無(wú)形中加大了VoIP的不安全因素,導(dǎo)致VoIP呼叫極易被攔截和偵聽。借助SIP與IP地址欺詐,黑客甚至可以偵聽到某一SIP服務(wù)器或特定用戶群體的所有語(yǔ)音呼叫。

  同時(shí),與數(shù)據(jù)網(wǎng)絡(luò)一樣,易遭受DoS攻擊和病毒侵襲是VoIP在安全方面的最大軟肋,黑客可以通過(guò)向企業(yè)用戶的SIP服務(wù)器發(fā)送大量虛假請(qǐng)求的方式,輕易實(shí)施DoS攻擊,使企業(yè)用戶的VoIP系統(tǒng)瞬間陷入癱瘓,從而可能會(huì)使企業(yè)用戶錯(cuò)失業(yè)務(wù)機(jī)會(huì),蒙受慘重?fù)p失。而針對(duì)安全性較差的VoIP組件的DoS攻擊則可能導(dǎo)致虛假語(yǔ)音服務(wù)請(qǐng)求,顯著降低網(wǎng)絡(luò)性能,甚至造成語(yǔ)音和數(shù)據(jù)通信的整體癱瘓。

  VoIP在安全方面的另一大威脅主要來(lái)自于語(yǔ)音網(wǎng)關(guān)。語(yǔ)音網(wǎng)關(guān)被入侵后,將會(huì)導(dǎo)致未經(jīng)授權(quán)的免費(fèi)呼叫、用于非法目的呼叫竊聽和惡意呼叫重定向等問(wèn)題。

  另外,某些VoIP漏洞還可被利用來(lái)對(duì)位于被稱為DMZ非防護(hù)區(qū)中的服務(wù)器和主機(jī)發(fā)動(dòng)跳轉(zhuǎn)攻擊。更為嚴(yán)重的是,這類漏洞還可以作為攻擊內(nèi)部LAN關(guān)鍵性商業(yè)組件的跳板和入口。

  就總體來(lái)看,可以將VoIP系統(tǒng)安全問(wèn)題劃分為兩大類,一類是語(yǔ)音網(wǎng)絡(luò)架構(gòu)的安全,包括網(wǎng)絡(luò)內(nèi)用作IP PBX系統(tǒng)的服務(wù)器的安全。另一類是VoIP語(yǔ)音會(huì)話內(nèi)容的安全。前者主要涉及VoIP運(yùn)營(yíng)商,而后者更多地針對(duì)VoIP用戶。下面就讓我們從這兩個(gè)方面具體分析一下VoIP系統(tǒng)面臨的安全威脅。

  用戶面臨安全威脅

  大多數(shù)情況下,黑客攻擊VoIP系統(tǒng)的動(dòng)機(jī)與攻擊傳統(tǒng)電話服務(wù)是基本類似的,不外乎以下幾個(gè)方面:通過(guò)話費(fèi)欺詐、盜取身份認(rèn)證信息等手段獲取經(jīng)濟(jì)利益,或者通過(guò)干擾或中斷用戶正常的VoIP語(yǔ)音通信服務(wù)進(jìn)行惡作劇。這類攻擊曾在固定電話和移動(dòng)電話服務(wù)領(lǐng)域?qū)乙?jiàn)不鮮。另外一些攻擊類型則曾在計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域司空見(jiàn)慣。從某種意義上來(lái)說(shuō),IP電話實(shí)質(zhì)上就是運(yùn)行VoIP應(yīng)用的計(jì)算機(jī),同樣擁有操作系統(tǒng)和文件系統(tǒng),使用IP協(xié)議,運(yùn)行數(shù)據(jù)管理與語(yǔ)音應(yīng)用。而某些基于PC的軟電話則干脆利用軟件將PC機(jī)變成一部IP電話。在這種模式下,如若PC機(jī)感染了能夠偵聽LAN流量的特洛伊木馬病毒,語(yǔ)音呼叫就很容易被竊聽。因此,這類設(shè)備也同樣需要防范非法訪問(wèn)、特權(quán)升級(jí)和系統(tǒng)失誤、病毒,以及針對(duì)TCP、IP、ICMP、ARP等協(xié)議的DoS攻擊等。

  大體而言,VoIP用戶面臨的安全威脅主要表現(xiàn)為以下四個(gè)方面:

  一、語(yǔ)音流量被偵聽

  呼叫信令包在SIP服務(wù)器與SIP電話間交換時(shí),可能會(huì)導(dǎo)致VoIP用戶身份、PIN識(shí)別碼、SIP電話號(hào)碼等身份認(rèn)證信息泄漏,從而使攻擊者可以利用用戶的帳戶信息與密碼更改用戶的呼叫設(shè)置,這其中如更改用戶的呼叫計(jì)劃、刪除用戶的語(yǔ)音郵件信息或改變呼叫轉(zhuǎn)移號(hào)碼等。同時(shí),攻擊者還可以通過(guò)截取語(yǔ)音流量包的方式竊聽用戶的語(yǔ)音會(huì)話,從中竊取敏感商業(yè)信息或個(gè)人隱私信息等。

  二、身份與話費(fèi)欺詐

  竊取用戶帳戶與密碼信息后,攻擊者可能會(huì)冒用用戶身份進(jìn)行大量語(yǔ)音通話,導(dǎo)致用戶蒙受高額話費(fèi)損失。同時(shí),攻擊者還能夠向特定終端發(fā)送SIP控制包,將用戶當(dāng)前的語(yǔ)音呼叫重定位至不同的設(shè)備,使用戶無(wú)法與呼叫目標(biāo)通話。

  三、IP電話呼叫被篡改

  目前,大多數(shù)用戶的VoIP系統(tǒng)尚無(wú)可靠的信息或身份認(rèn)證機(jī)制,在這種情況下,別有用心的攻擊者將能夠通過(guò)截取RTP包的方式篡改用戶的會(huì)話內(nèi)容,并將篡改后的語(yǔ)音流量包發(fā)送至呼叫接收方。

  四、DoS攻擊或病毒發(fā)作

  如同針對(duì)TCP(SYN、RST)的控制包攻擊一樣,黑客可以通過(guò)發(fā)起針對(duì)VOIP信令協(xié)議、SIP的DoS攻擊,使VOIP設(shè)備被大量請(qǐng)求阻塞,導(dǎo)致語(yǔ)音呼叫服務(wù)中斷或處于虛假忙狀態(tài)。與計(jì)算機(jī)設(shè)備一樣,Volp設(shè)備感染病毒后也會(huì)出現(xiàn)系統(tǒng)性能顯著下降,甚至崩潰問(wèn)題。

  運(yùn)營(yíng)商的安全風(fēng)險(xiǎn)

  除了傳統(tǒng)固定電話運(yùn)營(yíng)商和移動(dòng)電話運(yùn)營(yíng)商經(jīng)常遭遇的話費(fèi)欺詐、系統(tǒng)認(rèn)證信息被盜取以及服務(wù)中斷等問(wèn)題外,VoIP運(yùn)營(yíng)商面臨的安全威脅還包括眾多數(shù)據(jù)網(wǎng)絡(luò)遺傳下來(lái)的風(fēng)險(xiǎn)因素。這其中如VoIP架構(gòu)中的呼叫管理系統(tǒng)、IP電話交換機(jī)、路由器和語(yǔ)音網(wǎng)關(guān)等計(jì)算機(jī)網(wǎng)絡(luò)類軟件與設(shè)備還面臨著非法接入、特權(quán)升級(jí)和系統(tǒng)濫用、病毒和DoS攻擊等。而提供在線支付與服務(wù)規(guī)劃管理的運(yùn)營(yíng)商,則還會(huì)面臨賬戶與數(shù)據(jù)庫(kù)系統(tǒng)的安全問(wèn)題。

  Flood攻擊、賬戶盜用、非法IP電話接入對(duì)于VoIP運(yùn)營(yíng)商而言都無(wú)異于一場(chǎng)噩夢(mèng),而且通常會(huì)引致與用戶在計(jì)費(fèi)方面的爭(zhēng)議,不但會(huì)使運(yùn)營(yíng)商蒙受損失,而且可能會(huì)導(dǎo)致客戶關(guān)系的惡化。

  VoIP運(yùn)營(yíng)商面臨的另一大安全威脅是在面臨災(zāi)難性事件時(shí),很難提供緊急電信服務(wù)。美國(guó)部分VoIP運(yùn)營(yíng)商明確表示不提供“911”等緊急呼叫服務(wù),另有部分VoIP運(yùn)營(yíng)商則推薦將VoIP作為唯一語(yǔ)音通信途徑的用戶保留一部移動(dòng)電話作為應(yīng)急之用。如在美國(guó)得克薩斯州,就曾發(fā)生過(guò)一對(duì)老年夫婦遭遇入室搶劫時(shí),他們的女兒試圖通過(guò)家中的VoIP電話撥打911求救,卻只能聽到“這項(xiàng)服務(wù)尚未開通的留言提示”的悲劇。

  許多涉及SIP呼叫信令、RTP語(yǔ)音信息傳遞和RTCP控制協(xié)議的安全漏洞既可以危及運(yùn)營(yíng)商,也可以危及VoIP用戶。與IP電話一樣,VoIP呼叫服務(wù)器也同樣能夠被非授權(quán)呼叫控制包實(shí)施Flood攻擊。攻擊者可以對(duì)VoIP運(yùn)營(yíng)商的基礎(chǔ)架構(gòu)與Internet協(xié)議發(fā)起全面攻擊,諸如語(yǔ)音郵件等VoIP應(yīng)用被攻擊后,可能會(huì)導(dǎo)致合法用戶無(wú)法發(fā)送語(yǔ)音郵件信息。


幾種常見(jiàn)的VoIP部署模式示意


VoIP攻擊主要利用IP電話協(xié)議

VoIP安全 點(diǎn)擊之誰(shuí)動(dòng)了我的VoIP安全

   文 飛天 云飛

  在VoIP的情況下,話音也是和數(shù)據(jù)應(yīng)用一樣,也是一個(gè)個(gè)的“包”,同樣也將遭受各種病毒和黑客攻擊的困擾。語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)的融合增加了網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)。對(duì)于數(shù)據(jù)網(wǎng)絡(luò)的攻擊手段都會(huì)出現(xiàn)在語(yǔ)音和數(shù)據(jù)融合的網(wǎng)絡(luò)中,例如拒絕服務(wù)攻擊等。Avaya公司的一位安全顧問(wèn)表示:“一旦進(jìn)入VoIP時(shí)代,那么當(dāng)前數(shù)據(jù)網(wǎng)絡(luò)所存在的安全隱患將全部轉(zhuǎn)移到互聯(lián)網(wǎng)通話中!睂(duì)于IP網(wǎng)絡(luò)安全可靠性能的懷疑制約了IP電話的發(fā)展。

  普遍認(rèn)為,影響VoIP安全性的主要因素有以下幾條:(1)產(chǎn)品本身。目前VoIP技術(shù)最常用的話音建立和控制信令是H.323和SIP協(xié)議,總體上都是開放的協(xié)議體系。而開放的體系就容易受到病毒和惡意攻擊的影響。(2)基于開放端口的DoS(拒絕服務(wù))攻擊。攻擊者向服務(wù)器發(fā)送相當(dāng)多數(shù)量的帶有虛假地址的服務(wù)請(qǐng)求,但因?yàn)樗幕貜?fù)地址是虛假的,服務(wù)器將等不到回傳的消息,直至所有的資源被耗盡。VoIP已有很多知名的端口,像1719、5060等。最近NISCC(UK National Infrastructure Security Co-ordi-nation Center)報(bào)道的一個(gè)VoIP的安全漏洞:“市場(chǎng)上很多采用H.323協(xié)議的VoIP系統(tǒng)在H.245建立過(guò)程中都存在漏洞,容易在1720端口上受到DoS的攻擊,導(dǎo)致從而系統(tǒng)的不穩(wěn)定甚至癱瘓”。(3)服務(wù)竊取。雖然IP話機(jī)不能通過(guò)并線的方式撥打電話,但通過(guò)竊取使用者IP電話的登錄密碼同樣能夠獲得話機(jī)的權(quán)限。這就如同在一根普通模擬話機(jī)線上又并接了一個(gè)電話一樣。(4)流媒體的偵聽。一個(gè)典型的VoIP呼叫需要信令和流媒體兩個(gè)建立的步驟,RTP/RTCP是在基于包的網(wǎng)絡(luò)上傳輸?shù)葧r(shí)話音信息的協(xié)議。由于協(xié)議本身是開放的,即使是一小段的流媒體都可以被重放出來(lái)而不需要前后信息的關(guān)聯(lián)。如果有人在數(shù)據(jù)網(wǎng)絡(luò)上通過(guò)Sniffer的方式記錄所有信息并通過(guò)軟件加以重放,會(huì)引起員工對(duì)話音通信的信任危機(jī)。

  為了保證IP電話的安全性,最合適的辦法是采用IPSec方式來(lái)加密。IPSec允許IP包用ESP(Encapsulated Security Payload)方式來(lái)加密,在IP包頭增加了AH(Authentication Header)頭來(lái)驗(yàn)證數(shù)據(jù)包的完整性。從最大程度上抵御來(lái)自網(wǎng)絡(luò)的攻擊,尤其對(duì)于語(yǔ)音、數(shù)據(jù)和視頻環(huán)境來(lái)說(shuō)更合適。但僅為了IP電話的安全來(lái)建立IPSec的架構(gòu)是不經(jīng)濟(jì)的,系統(tǒng)過(guò)于復(fù)雜,成本也過(guò)高。

  當(dāng)然,為了確保VoIP系統(tǒng)的安全,各種安全解決方案固然不可或缺,但僅僅依靠這類方案還是不夠的,還需要從以下幾個(gè)方面加以關(guān)注:

  一、慎重選擇VoIP協(xié)議。當(dāng)前,冠以“VoIP”的協(xié)議有多種,每種VoIP協(xié)議都各有其優(yōu)缺點(diǎn),使用安全性能更好的協(xié)議有助于消除額外的風(fēng)險(xiǎn)和攻擊因素。

  二、停用不必要的協(xié)議。在現(xiàn)有的各種協(xié)議中,有大量尚未被發(fā)現(xiàn)的安全漏洞。因此,為了減少被攻擊的機(jī)率,應(yīng)盡量不要啟用不必要和未用過(guò)的協(xié)議與服務(wù)

  三、周密考慮VoIP組件遭遇攻擊的可能性。包括IP電話和終端在內(nèi)的VoIP組件都是運(yùn)行于硬件平臺(tái)之上的軟件系統(tǒng),因此VoIP基礎(chǔ)架構(gòu)中的每一組件都如同計(jì)算機(jī)一樣可以被訪問(wèn),因而都有遭受攻擊的可能。

  四、將VoIP與其它IP架構(gòu)分而治之。將VoIP與其它IP架構(gòu)進(jìn)行物理或邏輯隔離、分別進(jìn)行管理是增強(qiáng)VoIP系統(tǒng)安全的一種有效措施。

  五、對(duì)遠(yuǎn)程操作進(jìn)行認(rèn)證。VoIP終端可以進(jìn)行遠(yuǎn)程升級(jí)和管理,要確保這類操作只能基于合法用戶和合法地址,并部署一個(gè)能夠進(jìn)行服務(wù)管理的遠(yuǎn)程系統(tǒng)。

  六、將VoIP服務(wù)器與內(nèi)部網(wǎng)絡(luò)隔離。部分安全設(shè)備不能完全識(shí)別VoIP信令命令,因此,它們可能會(huì)打開動(dòng)態(tài)通信端口,使網(wǎng)絡(luò)遭受跳轉(zhuǎn)攻擊的威脅,并可能使攻擊者入侵內(nèi)部LAN中的其他核心業(yè)務(wù)組件。

  七、確保VoIP安全系統(tǒng)能夠?qū)νㄐ哦丝谶M(jìn)行跟蹤。

  八、使用NAT(Network Address Translation)網(wǎng)絡(luò)地址翻譯。NAT網(wǎng)絡(luò)地址翻譯可將內(nèi)部IP地址轉(zhuǎn)換為能夠?qū)崿F(xiàn)Internet路由的全球唯一IP地址,并能夠?qū)崿F(xiàn)內(nèi)部IP地址的隱藏。

  九、使用可對(duì)VoIP進(jìn)行安全檢查的解決方案。用于VoIP系統(tǒng)的安全解決方案應(yīng)能夠?qū)oIP流內(nèi)部進(jìn)行檢查,分析呼叫狀態(tài)并檢查服務(wù)內(nèi)容,確保所有參數(shù)的一致性和有效性。

  VoIP安全 點(diǎn)擊之無(wú)線VoIP:明日安全挑戰(zhàn)

  文 馬云飛

  當(dāng)前,基于無(wú)線LAN的移動(dòng)數(shù)據(jù)應(yīng)用在企業(yè)領(lǐng)域得到了很大成功,許多企業(yè)用戶逐漸意識(shí)到了WLAN在提高工作效率方面的巨大作用,并相繼著手開始部署更多WLAN應(yīng)用,其中,基于無(wú)線LAN的語(yǔ)音服務(wù)—VoWLAN(Voice over WLAN)就是其中最重要的應(yīng)用之一。InStat/MDR調(diào)研公司的一項(xiàng)針對(duì)358家WLAN商業(yè)用戶的調(diào)查顯示,有半數(shù)以上的用戶正著手或計(jì)劃為其現(xiàn)有WLAN網(wǎng)絡(luò)增加VoWLAN服務(wù)。

  但如同WLAN應(yīng)用的安全問(wèn)題曾在業(yè)界備受關(guān)注一樣,在現(xiàn)行WLAN網(wǎng)絡(luò)中引入VoIP服務(wù),也同樣面臨著比常規(guī)VoIP服務(wù)更多的安全挑戰(zhàn)。

  VoWLAN系統(tǒng)的安全也主要體現(xiàn)在兩個(gè)方面,即語(yǔ)音呼叫的安全性和系統(tǒng)防御DoS攻擊的能力。為此,必須確保無(wú)線LAN內(nèi)身份驗(yàn)證與包流量的安全性。同時(shí),在WLAN內(nèi),語(yǔ)音流量還必須確保與其它流量類型分離,并對(duì)訪問(wèn)網(wǎng)絡(luò)主干的語(yǔ)音設(shè)備進(jìn)行嚴(yán)格限制,以確保語(yǔ)音流量只能到達(dá)諸如VoIP網(wǎng)關(guān)等特定目的地,避免黑客利用VoWLAN應(yīng)用入侵企業(yè)數(shù)據(jù)資源。

  在目前WLAN采用的各種加密機(jī)制中,由于WPA等基于可變密鑰的加密模式在不同接入點(diǎn)之間需要重新建立安全會(huì)話,會(huì)出現(xiàn)明顯延遲,導(dǎo)致出現(xiàn)語(yǔ)音呼叫中斷,因而不能適應(yīng)語(yǔ)音應(yīng)用的需要。

  而WEP(wired equivalent privacy) 有線等效私密協(xié)議主要依賴于預(yù)先存儲(chǔ)于各個(gè)接入點(diǎn)的靜態(tài)密鑰實(shí)現(xiàn)數(shù)據(jù)加密。這種加密模式雖可以較好地解決會(huì)話延遲問(wèn)題,但由于WEP協(xié)議用于數(shù)據(jù)流量的底層密鑰易被破解,因而對(duì)于企業(yè)應(yīng)用而言,WEP協(xié)議的安全性是不夠的。而且由于WEP是一種靜態(tài)加密協(xié)議,因此,在更換密鑰時(shí),每一接入點(diǎn)的密鑰都需要相應(yīng)進(jìn)行更改。

  為了解決安全性與語(yǔ)音應(yīng)用性能之間的矛盾,業(yè)內(nèi)又研發(fā)了新的802.11i標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)是基于MAC層的安全標(biāo)準(zhǔn),可提供包流量與身份驗(yàn)證的安全性。其中的身份驗(yàn)證功能主要源自802.1x協(xié)議。802.1x協(xié)議并不提供密碼認(rèn)證,而是提供架構(gòu)認(rèn)證、以及提供基于擴(kuò)展身份認(rèn)證協(xié)議的密鑰管理功能,這一協(xié)議可使網(wǎng)絡(luò)中的服務(wù)器為每一WLAN客戶端提供動(dòng)態(tài)密鑰。

  由于802.11i標(biāo)準(zhǔn)支持的密碼與身份認(rèn)證提供了一個(gè)用于WLAN保護(hù)的層,因而也在一定程度上增加了語(yǔ)音流量的復(fù)雜性。如基于服務(wù)器的身份認(rèn)證將會(huì)增加建立語(yǔ)音呼叫的延遲,而基于WEP、WPA或AES的密碼驗(yàn)證則增加了包括語(yǔ)音流量在內(nèi)的所有包的延遲。因此,為了最大限度地減少VoWLAN系統(tǒng)的延遲時(shí)間,最好的解決方案是將身份與密碼認(rèn)證集成到硬件中。

  VoIP安全 點(diǎn)擊之VoIP安全方案:誰(shuí)比誰(shuí)差多少

  文 馬云飛 王艷寧

  由于受到諸多現(xiàn)實(shí)問(wèn)題的掣肘,與面向單純的數(shù)據(jù)網(wǎng)絡(luò)或PSTN網(wǎng)絡(luò)的安全解決方案相比,VoIP安全解決方案的研發(fā)面臨著更大的挑戰(zhàn),不僅要實(shí)現(xiàn)安全性能與服務(wù)性能的最佳平衡,還要兼顧到執(zhí)法部門的監(jiān)管問(wèn)題。同時(shí),由于VoIP安全解決方案產(chǎn)品市場(chǎng)起步不久,不夠成熟,尚缺乏有影響的專業(yè)VoIP安全解決方案供應(yīng)商。目前市場(chǎng)上的VoIP安全解決方案大多出自思科、Avaya等數(shù)據(jù)網(wǎng)絡(luò)設(shè)備供應(yīng)商以及SonicWALL等少數(shù)專業(yè)安全廠商之手,產(chǎn)品類型也相對(duì)有限,這些解決方案各有其優(yōu)缺點(diǎn),用戶可以根據(jù)自己的安全需求酌情選擇。

  幾類VoIP安全解決方案優(yōu)缺點(diǎn)概覽

  解決方案類型 優(yōu)點(diǎn) 缺點(diǎn)

  無(wú)防火墻(或無(wú)針對(duì) 不影響IP語(yǔ)音應(yīng)用 1、網(wǎng)絡(luò)安全無(wú)保障。2、終端需要公共

  VoIP應(yīng)用的防火墻) 性能。 IP地址。3、終端可隨意訪問(wèn)。

  可繞過(guò)防火墻的網(wǎng)絡(luò) 無(wú)需更動(dòng)或升級(jí)防 開放端口安全無(wú)保障,VoIP設(shè)備仍不

  地址轉(zhuǎn)換解決方案 火墻。 安全。不支持對(duì)稱性NAT[IETFTURN]。

  (如STUN [IETF-STUN]) 僅支持UDP,不支持H.323或SIP。可能

   不支持RTCP。

  會(huì)話邊界控制 無(wú)需更動(dòng)或升級(jí)防 應(yīng)用有限制。主要面向服務(wù)供應(yīng)商。

   火墻。 需要進(jìn)行額外的管理。每一網(wǎng)絡(luò)都

   需要安裝客戶端軟件,可能會(huì)成為

   VoIP應(yīng)用瓶頸。由于采用集中控制模

   式,VoIP安全主要由運(yùn)營(yíng)商而非用戶

   自行控制。

  完全VoIP代理 無(wú)需更動(dòng)或升級(jí)防 代理仍易受攻擊。每一種VoIP協(xié)議需

   火墻。 要獨(dú)立代理。代理需置于防火墻之后。

   需要成對(duì)部署以增強(qiáng)可靠性。增加了

   延遲,可能會(huì)成為系統(tǒng)瓶頸。

  SonicWALL狀態(tài)數(shù)據(jù) 易于使用-‘即插 前三代防火墻不支持

  包變換 即保護(hù)’(plug and

   protect)技術(shù);不需

   要額外的設(shè)備-利

   用現(xiàn)有的第四代

   SonicWALL防火墻;

   支持多種VoIP協(xié)議

  VoIP安全 點(diǎn)擊之OKI應(yīng)對(duì)VoIP安全

  文 本報(bào)記者 飛天 洪飛

  VoIP安全問(wèn)題一直是業(yè)界十分關(guān)注的話題,而且也是一個(gè)逃避不開的關(guān)鍵問(wèn)題。針對(duì)VoIP的安全,沖電氣軟件技術(shù)(江蘇)有限公司上海分公司總經(jīng)理池上晶子指出,從總體上看,VoIP安全問(wèn)題主要還是由VoIP的互操作性、兼容性問(wèn)題以及VoIP網(wǎng)絡(luò)本身的安全性問(wèn)題所造成的。

  所謂的兼容性問(wèn)題主要是現(xiàn)在的眾多廠商采用不同的標(biāo)準(zhǔn)協(xié)議而不兼容,而目前許多供應(yīng)商的H.323v1-4兼容性只是紙面上的兼容,需要進(jìn)一步努力才能保證系統(tǒng)完全互操作。

  另外,VoIP網(wǎng)絡(luò)還具有開放性以及IP分組網(wǎng)本身的脆弱性。針對(duì)脆弱的VoIP組件,DoS攻擊會(huì)用虛假的語(yǔ)音通信擁塞網(wǎng)絡(luò),從而降低網(wǎng)絡(luò)性能或者直接導(dǎo)致語(yǔ)音和數(shù)據(jù)通信的中止。此外,如果PC感染了截獲LAN通信包的特洛伊木馬病毒,基于PC的Softphone就會(huì)非常容易遭到竊聽,所以從某種程度上說(shuō),VoIP也正在使語(yǔ)音通信面臨與數(shù)據(jù)通信一樣的安全威脅。

  VoIP設(shè)備是一種網(wǎng)絡(luò)設(shè)備,設(shè)備的操作系統(tǒng)安全情況當(dāng)然也直接會(huì)影響到整個(gè)VoIP系統(tǒng)的安全。在目前的VoIP發(fā)展中,大多數(shù)用戶和廠商考慮最多的是如何改善話音質(zhì)量以及如何同現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)的融合,而較少考慮到VoIP的安全。

  針對(duì)市場(chǎng)的現(xiàn)狀,OKI在其推出的最新IP呼叫中心產(chǎn)品CTstage和VoIP領(lǐng)域的產(chǎn)品IVG中,都采用了SIP協(xié)議,SIP協(xié)議廣泛的兼容性決定了其具有很好的互操作性。針對(duì)病毒攻擊與人為攻擊這兩種情況,OKI目前主要采取了以下措施:

  針對(duì)病毒攻擊,OKI產(chǎn)品具備了Email病毒檢測(cè)功能,可以實(shí)時(shí)進(jìn)行檢測(cè),一旦發(fā)現(xiàn)情況,立刻以Email的方式報(bào)告信息,還可以根據(jù)客戶需要配備不同安全級(jí)別的防火墻,并且定期通過(guò)服務(wù)器進(jìn)行更新,把病毒感染的機(jī)會(huì)降到了最低。

  針對(duì)人為攻擊, OKI的產(chǎn)品通過(guò)設(shè)置了兩級(jí)訪問(wèn)密碼(普通用戶及超級(jí)用戶級(jí))等方式,加強(qiáng)訪問(wèn)權(quán)限控制,減少系統(tǒng)信息的外泄, 增加系統(tǒng)安全性。

  但是,不管怎樣說(shuō),VoIP的安全問(wèn)題對(duì)通信界來(lái)說(shuō)還是一個(gè)值得繼續(xù)研究開發(fā)的課題,OKI也正在為之持續(xù)努力。

  VoIP安全 點(diǎn)擊之Juniper解決VoIP安全之道

  文 本報(bào)記者 陳翔 飛天

  隨著VoIP繼續(xù)從小眾市場(chǎng)向主流市場(chǎng)發(fā)展,黑客攻擊VoIP設(shè)施可能存在的漏洞只是一個(gè)時(shí)間問(wèn)題。因?yàn)閂oIP是建立在IP協(xié)議的基礎(chǔ)上,而且它有時(shí)要路由公共互聯(lián),所以自然就和使用同一媒介的傳統(tǒng)數(shù)據(jù)通信一樣具有安全風(fēng)險(xiǎn)。

  在清楚了解VoIP網(wǎng)絡(luò)構(gòu)成之后,Juniper網(wǎng)絡(luò)公司用分層式防御策略來(lái)保護(hù)核心、外圍和客戶端設(shè)備。分層防御主要圍繞三個(gè)因素進(jìn)行:對(duì)訪問(wèn)網(wǎng)絡(luò)者進(jìn)行認(rèn)證授權(quán);控制機(jī)制;和保護(hù)各個(gè)組件的技術(shù)。前兩個(gè)目標(biāo)可以通過(guò)正式的安全審核達(dá)到,在審核中我們識(shí)別相關(guān)操作人員,并定義安全特權(quán)來(lái)執(zhí)行特定任務(wù)。

  第三項(xiàng)任務(wù),也就是保護(hù)一個(gè)由應(yīng)用服務(wù)器和設(shè)備組成的核心網(wǎng)絡(luò),則與保護(hù)一個(gè)內(nèi)部局域網(wǎng)(LAN)類似。由于網(wǎng)絡(luò)是基于IP的,它很容易遭遇所有已知的IP攻擊風(fēng)險(xiǎn),例如,OS弱點(diǎn)、DoS/DDoS或其他任何攻擊類型。

  另外,企業(yè)還應(yīng)考慮部署一個(gè)入侵檢測(cè)和防御系統(tǒng)(IDP/IPS)以監(jiān)控應(yīng)用流量。IDP與防火墻不同,它能檢測(cè)至第7層的數(shù)據(jù)包流量。為管理員和Web服務(wù)器提供了Web界面的VoIP應(yīng)用是蠕蟲經(jīng)常攻擊的一個(gè)目標(biāo)。IDP可以通過(guò)丟棄從網(wǎng)絡(luò)來(lái)的數(shù)據(jù)包,利用不同的方法檢測(cè)攻擊,阻止惡意流量到達(dá)Web服務(wù)器。

  外圍層也常有各種網(wǎng)關(guān)設(shè)施。通常服務(wù)器會(huì)提供用戶注冊(cè),識(shí)別VoIP進(jìn)入流量,并將呼叫轉(zhuǎn)移至目標(biāo)地址。

  和保護(hù)其他IP網(wǎng)絡(luò)一樣,Juniper網(wǎng)絡(luò)公司在VoIP安全方面也是從最佳安全實(shí)踐著手。首先,必須清楚地知道所有的組件,包括服務(wù)器、IP協(xié)議、進(jìn)程和用戶。然后,利用風(fēng)險(xiǎn)分析模型識(shí)別可能具有的風(fēng)險(xiǎn)。最后,選擇合適的技術(shù)或方法減輕風(fēng)險(xiǎn)。

賽迪網(wǎng) 中國(guó)信息化(industry.ccidnet.com)


相關(guān)鏈接:
電話行業(yè)新革命 全面解析VOIP電話 2005-05-23
NGN的推動(dòng)力 2005-05-20
VoIP八大問(wèn)題挑戰(zhàn)監(jiān)管 各國(guó)措施不盡相同 2005-05-18
抉擇VoIP 2005-05-17
VoIP市場(chǎng)到底有多大? 2005-04-27

相關(guān)頻道:           文摘   技術(shù)_voip_文摘