VoIP安全:挑戰(zhàn)與對(duì)策
馬云飛 2005/05/24
Jupiter研究公司最近數(shù)據(jù)預(yù)計(jì),到2010年,美國(guó)的VoIP用戶將達(dá)1200萬(wàn),屆時(shí)VoIP的安全性將是業(yè)界面臨的主要問(wèn)題之一。而最近“VoIP安全聯(lián)盟”的正式成立,也向公眾傳達(dá)了這樣一個(gè)理念:VoIP并非絕對(duì)安全可靠,業(yè)界需要在其安全性方面做出更多努力。
VoIP攻擊主要利用IP電話協(xié)議
VoIP安全 點(diǎn)擊之誰(shuí)動(dòng)了我的VoIP安全
文 飛天 云飛
在VoIP的情況下,話音也是和數(shù)據(jù)應(yīng)用一樣,也是一個(gè)個(gè)的“包”,同樣也將遭受各種病毒和黑客攻擊的困擾。語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)的融合增加了網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)。對(duì)于數(shù)據(jù)網(wǎng)絡(luò)的攻擊手段都會(huì)出現(xiàn)在語(yǔ)音和數(shù)據(jù)融合的網(wǎng)絡(luò)中,例如拒絕服務(wù)攻擊等。Avaya公司的一位安全顧問(wèn)表示:“一旦進(jìn)入VoIP時(shí)代,那么當(dāng)前數(shù)據(jù)網(wǎng)絡(luò)所存在的安全隱患將全部轉(zhuǎn)移到互聯(lián)網(wǎng)通話中!睂(duì)于IP網(wǎng)絡(luò)安全可靠性能的懷疑制約了IP電話的發(fā)展。
普遍認(rèn)為,影響VoIP安全性的主要因素有以下幾條:(1)產(chǎn)品本身。目前VoIP技術(shù)最常用的話音建立和控制信令是H.323和SIP協(xié)議,總體上都是開放的協(xié)議體系。而開放的體系就容易受到病毒和惡意攻擊的影響。(2)基于開放端口的DoS(拒絕服務(wù))攻擊。攻擊者向服務(wù)器發(fā)送相當(dāng)多數(shù)量的帶有虛假地址的服務(wù)請(qǐng)求,但因?yàn)樗幕貜?fù)地址是虛假的,服務(wù)器將等不到回傳的消息,直至所有的資源被耗盡。VoIP已有很多知名的端口,像1719、5060等。最近NISCC(UK
National Infrastructure Security Co-ordi-nation Center)報(bào)道的一個(gè)VoIP的安全漏洞:“市場(chǎng)上很多采用H.323協(xié)議的VoIP系統(tǒng)在H.245建立過(guò)程中都存在漏洞,容易在1720端口上受到DoS的攻擊,導(dǎo)致從而系統(tǒng)的不穩(wěn)定甚至癱瘓”。(3)服務(wù)竊取。雖然IP話機(jī)不能通過(guò)并線的方式撥打電話,但通過(guò)竊取使用者IP電話的登錄密碼同樣能夠獲得話機(jī)的權(quán)限。這就如同在一根普通模擬話機(jī)線上又并接了一個(gè)電話一樣。(4)流媒體的偵聽。一個(gè)典型的VoIP呼叫需要信令和流媒體兩個(gè)建立的步驟,RTP/RTCP是在基于包的網(wǎng)絡(luò)上傳輸?shù)葧r(shí)話音信息的協(xié)議。由于協(xié)議本身是開放的,即使是一小段的流媒體都可以被重放出來(lái)而不需要前后信息的關(guān)聯(lián)。如果有人在數(shù)據(jù)網(wǎng)絡(luò)上通過(guò)Sniffer的方式記錄所有信息并通過(guò)軟件加以重放,會(huì)引起員工對(duì)話音通信的信任危機(jī)。
為了保證IP電話的安全性,最合適的辦法是采用IPSec方式來(lái)加密。IPSec允許IP包用ESP(Encapsulated Security
Payload)方式來(lái)加密,在IP包頭增加了AH(Authentication Header)頭來(lái)驗(yàn)證數(shù)據(jù)包的完整性。從最大程度上抵御來(lái)自網(wǎng)絡(luò)的攻擊,尤其對(duì)于語(yǔ)音、數(shù)據(jù)和視頻環(huán)境來(lái)說(shuō)更合適。但僅為了IP電話的安全來(lái)建立IPSec的架構(gòu)是不經(jīng)濟(jì)的,系統(tǒng)過(guò)于復(fù)雜,成本也過(guò)高。
當(dāng)然,為了確保VoIP系統(tǒng)的安全,各種安全解決方案固然不可或缺,但僅僅依靠這類方案還是不夠的,還需要從以下幾個(gè)方面加以關(guān)注:
一、慎重選擇VoIP協(xié)議。當(dāng)前,冠以“VoIP”的協(xié)議有多種,每種VoIP協(xié)議都各有其優(yōu)缺點(diǎn),使用安全性能更好的協(xié)議有助于消除額外的風(fēng)險(xiǎn)和攻擊因素。
二、停用不必要的協(xié)議。在現(xiàn)有的各種協(xié)議中,有大量尚未被發(fā)現(xiàn)的安全漏洞。因此,為了減少被攻擊的機(jī)率,應(yīng)盡量不要啟用不必要和未用過(guò)的協(xié)議與服務(wù)
三、周密考慮VoIP組件遭遇攻擊的可能性。包括IP電話和終端在內(nèi)的VoIP組件都是運(yùn)行于硬件平臺(tái)之上的軟件系統(tǒng),因此VoIP基礎(chǔ)架構(gòu)中的每一組件都如同計(jì)算機(jī)一樣可以被訪問(wèn),因而都有遭受攻擊的可能。
四、將VoIP與其它IP架構(gòu)分而治之。將VoIP與其它IP架構(gòu)進(jìn)行物理或邏輯隔離、分別進(jìn)行管理是增強(qiáng)VoIP系統(tǒng)安全的一種有效措施。
五、對(duì)遠(yuǎn)程操作進(jìn)行認(rèn)證。VoIP終端可以進(jìn)行遠(yuǎn)程升級(jí)和管理,要確保這類操作只能基于合法用戶和合法地址,并部署一個(gè)能夠進(jìn)行服務(wù)管理的遠(yuǎn)程系統(tǒng)。
六、將VoIP服務(wù)器與內(nèi)部網(wǎng)絡(luò)隔離。部分安全設(shè)備不能完全識(shí)別VoIP信令命令,因此,它們可能會(huì)打開動(dòng)態(tài)通信端口,使網(wǎng)絡(luò)遭受跳轉(zhuǎn)攻擊的威脅,并可能使攻擊者入侵內(nèi)部LAN中的其他核心業(yè)務(wù)組件。
七、確保VoIP安全系統(tǒng)能夠?qū)νㄐ哦丝谶M(jìn)行跟蹤。
八、使用NAT(Network Address Translation)網(wǎng)絡(luò)地址翻譯。NAT網(wǎng)絡(luò)地址翻譯可將內(nèi)部IP地址轉(zhuǎn)換為能夠?qū)崿F(xiàn)Internet路由的全球唯一IP地址,并能夠?qū)崿F(xiàn)內(nèi)部IP地址的隱藏。
九、使用可對(duì)VoIP進(jìn)行安全檢查的解決方案。用于VoIP系統(tǒng)的安全解決方案應(yīng)能夠?qū)oIP流內(nèi)部進(jìn)行檢查,分析呼叫狀態(tài)并檢查服務(wù)內(nèi)容,確保所有參數(shù)的一致性和有效性。
VoIP安全 點(diǎn)擊之無(wú)線VoIP:明日安全挑戰(zhàn)
文 馬云飛
當(dāng)前,基于無(wú)線LAN的移動(dòng)數(shù)據(jù)應(yīng)用在企業(yè)領(lǐng)域得到了很大成功,許多企業(yè)用戶逐漸意識(shí)到了WLAN在提高工作效率方面的巨大作用,并相繼著手開始部署更多WLAN應(yīng)用,其中,基于無(wú)線LAN的語(yǔ)音服務(wù)—VoWLAN(Voice
over WLAN)就是其中最重要的應(yīng)用之一。InStat/MDR調(diào)研公司的一項(xiàng)針對(duì)358家WLAN商業(yè)用戶的調(diào)查顯示,有半數(shù)以上的用戶正著手或計(jì)劃為其現(xiàn)有WLAN網(wǎng)絡(luò)增加VoWLAN服務(wù)。
但如同WLAN應(yīng)用的安全問(wèn)題曾在業(yè)界備受關(guān)注一樣,在現(xiàn)行WLAN網(wǎng)絡(luò)中引入VoIP服務(wù),也同樣面臨著比常規(guī)VoIP服務(wù)更多的安全挑戰(zhàn)。
VoWLAN系統(tǒng)的安全也主要體現(xiàn)在兩個(gè)方面,即語(yǔ)音呼叫的安全性和系統(tǒng)防御DoS攻擊的能力。為此,必須確保無(wú)線LAN內(nèi)身份驗(yàn)證與包流量的安全性。同時(shí),在WLAN內(nèi),語(yǔ)音流量還必須確保與其它流量類型分離,并對(duì)訪問(wèn)網(wǎng)絡(luò)主干的語(yǔ)音設(shè)備進(jìn)行嚴(yán)格限制,以確保語(yǔ)音流量只能到達(dá)諸如VoIP網(wǎng)關(guān)等特定目的地,避免黑客利用VoWLAN應(yīng)用入侵企業(yè)數(shù)據(jù)資源。
在目前WLAN采用的各種加密機(jī)制中,由于WPA等基于可變密鑰的加密模式在不同接入點(diǎn)之間需要重新建立安全會(huì)話,會(huì)出現(xiàn)明顯延遲,導(dǎo)致出現(xiàn)語(yǔ)音呼叫中斷,因而不能適應(yīng)語(yǔ)音應(yīng)用的需要。
而WEP(wired equivalent privacy) 有線等效私密協(xié)議主要依賴于預(yù)先存儲(chǔ)于各個(gè)接入點(diǎn)的靜態(tài)密鑰實(shí)現(xiàn)數(shù)據(jù)加密。這種加密模式雖可以較好地解決會(huì)話延遲問(wèn)題,但由于WEP協(xié)議用于數(shù)據(jù)流量的底層密鑰易被破解,因而對(duì)于企業(yè)應(yīng)用而言,WEP協(xié)議的安全性是不夠的。而且由于WEP是一種靜態(tài)加密協(xié)議,因此,在更換密鑰時(shí),每一接入點(diǎn)的密鑰都需要相應(yīng)進(jìn)行更改。
為了解決安全性與語(yǔ)音應(yīng)用性能之間的矛盾,業(yè)內(nèi)又研發(fā)了新的802.11i標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)是基于MAC層的安全標(biāo)準(zhǔn),可提供包流量與身份驗(yàn)證的安全性。其中的身份驗(yàn)證功能主要源自802.1x協(xié)議。802.1x協(xié)議并不提供密碼認(rèn)證,而是提供架構(gòu)認(rèn)證、以及提供基于擴(kuò)展身份認(rèn)證協(xié)議的密鑰管理功能,這一協(xié)議可使網(wǎng)絡(luò)中的服務(wù)器為每一WLAN客戶端提供動(dòng)態(tài)密鑰。
由于802.11i標(biāo)準(zhǔn)支持的密碼與身份認(rèn)證提供了一個(gè)用于WLAN保護(hù)的層,因而也在一定程度上增加了語(yǔ)音流量的復(fù)雜性。如基于服務(wù)器的身份認(rèn)證將會(huì)增加建立語(yǔ)音呼叫的延遲,而基于WEP、WPA或AES的密碼驗(yàn)證則增加了包括語(yǔ)音流量在內(nèi)的所有包的延遲。因此,為了最大限度地減少VoWLAN系統(tǒng)的延遲時(shí)間,最好的解決方案是將身份與密碼認(rèn)證集成到硬件中。
VoIP安全 點(diǎn)擊之VoIP安全方案:誰(shuí)比誰(shuí)差多少
文 馬云飛 王艷寧
由于受到諸多現(xiàn)實(shí)問(wèn)題的掣肘,與面向單純的數(shù)據(jù)網(wǎng)絡(luò)或PSTN網(wǎng)絡(luò)的安全解決方案相比,VoIP安全解決方案的研發(fā)面臨著更大的挑戰(zhàn),不僅要實(shí)現(xiàn)安全性能與服務(wù)性能的最佳平衡,還要兼顧到執(zhí)法部門的監(jiān)管問(wèn)題。同時(shí),由于VoIP安全解決方案產(chǎn)品市場(chǎng)起步不久,不夠成熟,尚缺乏有影響的專業(yè)VoIP安全解決方案供應(yīng)商。目前市場(chǎng)上的VoIP安全解決方案大多出自思科、Avaya等數(shù)據(jù)網(wǎng)絡(luò)設(shè)備供應(yīng)商以及SonicWALL等少數(shù)專業(yè)安全廠商之手,產(chǎn)品類型也相對(duì)有限,這些解決方案各有其優(yōu)缺點(diǎn),用戶可以根據(jù)自己的安全需求酌情選擇。
幾類VoIP安全解決方案優(yōu)缺點(diǎn)概覽
解決方案類型 優(yōu)點(diǎn) 缺點(diǎn)
無(wú)防火墻(或無(wú)針對(duì) 不影響IP語(yǔ)音應(yīng)用 1、網(wǎng)絡(luò)安全無(wú)保障。2、終端需要公共
VoIP應(yīng)用的防火墻) 性能。 IP地址。3、終端可隨意訪問(wèn)。
可繞過(guò)防火墻的網(wǎng)絡(luò) 無(wú)需更動(dòng)或升級(jí)防 開放端口安全無(wú)保障,VoIP設(shè)備仍不
地址轉(zhuǎn)換解決方案 火墻。 安全。不支持對(duì)稱性NAT[IETFTURN]。
(如STUN [IETF-STUN]) 僅支持UDP,不支持H.323或SIP。可能
不支持RTCP。
會(huì)話邊界控制 無(wú)需更動(dòng)或升級(jí)防 應(yīng)用有限制。主要面向服務(wù)供應(yīng)商。
火墻。 需要進(jìn)行額外的管理。每一網(wǎng)絡(luò)都
需要安裝客戶端軟件,可能會(huì)成為
VoIP應(yīng)用瓶頸。由于采用集中控制模
式,VoIP安全主要由運(yùn)營(yíng)商而非用戶
自行控制。
完全VoIP代理 無(wú)需更動(dòng)或升級(jí)防 代理仍易受攻擊。每一種VoIP協(xié)議需
火墻。 要獨(dú)立代理。代理需置于防火墻之后。
需要成對(duì)部署以增強(qiáng)可靠性。增加了
延遲,可能會(huì)成為系統(tǒng)瓶頸。
SonicWALL狀態(tài)數(shù)據(jù) 易于使用-‘即插 前三代防火墻不支持
包變換 即保護(hù)’(plug and
protect)技術(shù);不需
要額外的設(shè)備-利
用現(xiàn)有的第四代
SonicWALL防火墻;
支持多種VoIP協(xié)議
VoIP安全 點(diǎn)擊之OKI應(yīng)對(duì)VoIP安全
文 本報(bào)記者 飛天 洪飛
VoIP安全問(wèn)題一直是業(yè)界十分關(guān)注的話題,而且也是一個(gè)逃避不開的關(guān)鍵問(wèn)題。針對(duì)VoIP的安全,沖電氣軟件技術(shù)(江蘇)有限公司上海分公司總經(jīng)理池上晶子指出,從總體上看,VoIP安全問(wèn)題主要還是由VoIP的互操作性、兼容性問(wèn)題以及VoIP網(wǎng)絡(luò)本身的安全性問(wèn)題所造成的。
所謂的兼容性問(wèn)題主要是現(xiàn)在的眾多廠商采用不同的標(biāo)準(zhǔn)協(xié)議而不兼容,而目前許多供應(yīng)商的H.323v1-4兼容性只是紙面上的兼容,需要進(jìn)一步努力才能保證系統(tǒng)完全互操作。
另外,VoIP網(wǎng)絡(luò)還具有開放性以及IP分組網(wǎng)本身的脆弱性。針對(duì)脆弱的VoIP組件,DoS攻擊會(huì)用虛假的語(yǔ)音通信擁塞網(wǎng)絡(luò),從而降低網(wǎng)絡(luò)性能或者直接導(dǎo)致語(yǔ)音和數(shù)據(jù)通信的中止。此外,如果PC感染了截獲LAN通信包的特洛伊木馬病毒,基于PC的Softphone就會(huì)非常容易遭到竊聽,所以從某種程度上說(shuō),VoIP也正在使語(yǔ)音通信面臨與數(shù)據(jù)通信一樣的安全威脅。
VoIP設(shè)備是一種網(wǎng)絡(luò)設(shè)備,設(shè)備的操作系統(tǒng)安全情況當(dāng)然也直接會(huì)影響到整個(gè)VoIP系統(tǒng)的安全。在目前的VoIP發(fā)展中,大多數(shù)用戶和廠商考慮最多的是如何改善話音質(zhì)量以及如何同現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)的融合,而較少考慮到VoIP的安全。
針對(duì)市場(chǎng)的現(xiàn)狀,OKI在其推出的最新IP呼叫中心產(chǎn)品CTstage和VoIP領(lǐng)域的產(chǎn)品IVG中,都采用了SIP協(xié)議,SIP協(xié)議廣泛的兼容性決定了其具有很好的互操作性。針對(duì)病毒攻擊與人為攻擊這兩種情況,OKI目前主要采取了以下措施:
針對(duì)病毒攻擊,OKI產(chǎn)品具備了Email病毒檢測(cè)功能,可以實(shí)時(shí)進(jìn)行檢測(cè),一旦發(fā)現(xiàn)情況,立刻以Email的方式報(bào)告信息,還可以根據(jù)客戶需要配備不同安全級(jí)別的防火墻,并且定期通過(guò)服務(wù)器進(jìn)行更新,把病毒感染的機(jī)會(huì)降到了最低。
針對(duì)人為攻擊, OKI的產(chǎn)品通過(guò)設(shè)置了兩級(jí)訪問(wèn)密碼(普通用戶及超級(jí)用戶級(jí))等方式,加強(qiáng)訪問(wèn)權(quán)限控制,減少系統(tǒng)信息的外泄, 增加系統(tǒng)安全性。
但是,不管怎樣說(shuō),VoIP的安全問(wèn)題對(duì)通信界來(lái)說(shuō)還是一個(gè)值得繼續(xù)研究開發(fā)的課題,OKI也正在為之持續(xù)努力。
VoIP安全 點(diǎn)擊之Juniper解決VoIP安全之道
文 本報(bào)記者 陳翔 飛天
隨著VoIP繼續(xù)從小眾市場(chǎng)向主流市場(chǎng)發(fā)展,黑客攻擊VoIP設(shè)施可能存在的漏洞只是一個(gè)時(shí)間問(wèn)題。因?yàn)閂oIP是建立在IP協(xié)議的基礎(chǔ)上,而且它有時(shí)要路由公共互聯(lián),所以自然就和使用同一媒介的傳統(tǒng)數(shù)據(jù)通信一樣具有安全風(fēng)險(xiǎn)。
在清楚了解VoIP網(wǎng)絡(luò)構(gòu)成之后,Juniper網(wǎng)絡(luò)公司用分層式防御策略來(lái)保護(hù)核心、外圍和客戶端設(shè)備。分層防御主要圍繞三個(gè)因素進(jìn)行:對(duì)訪問(wèn)網(wǎng)絡(luò)者進(jìn)行認(rèn)證授權(quán);控制機(jī)制;和保護(hù)各個(gè)組件的技術(shù)。前兩個(gè)目標(biāo)可以通過(guò)正式的安全審核達(dá)到,在審核中我們識(shí)別相關(guān)操作人員,并定義安全特權(quán)來(lái)執(zhí)行特定任務(wù)。
第三項(xiàng)任務(wù),也就是保護(hù)一個(gè)由應(yīng)用服務(wù)器和設(shè)備組成的核心網(wǎng)絡(luò),則與保護(hù)一個(gè)內(nèi)部局域網(wǎng)(LAN)類似。由于網(wǎng)絡(luò)是基于IP的,它很容易遭遇所有已知的IP攻擊風(fēng)險(xiǎn),例如,OS弱點(diǎn)、DoS/DDoS或其他任何攻擊類型。
另外,企業(yè)還應(yīng)考慮部署一個(gè)入侵檢測(cè)和防御系統(tǒng)(IDP/IPS)以監(jiān)控應(yīng)用流量。IDP與防火墻不同,它能檢測(cè)至第7層的數(shù)據(jù)包流量。為管理員和Web服務(wù)器提供了Web界面的VoIP應(yīng)用是蠕蟲經(jīng)常攻擊的一個(gè)目標(biāo)。IDP可以通過(guò)丟棄從網(wǎng)絡(luò)來(lái)的數(shù)據(jù)包,利用不同的方法檢測(cè)攻擊,阻止惡意流量到達(dá)Web服務(wù)器。
外圍層也常有各種網(wǎng)關(guān)設(shè)施。通常服務(wù)器會(huì)提供用戶注冊(cè),識(shí)別VoIP進(jìn)入流量,并將呼叫轉(zhuǎn)移至目標(biāo)地址。
和保護(hù)其他IP網(wǎng)絡(luò)一樣,Juniper網(wǎng)絡(luò)公司在VoIP安全方面也是從最佳安全實(shí)踐著手。首先,必須清楚地知道所有的組件,包括服務(wù)器、IP協(xié)議、進(jìn)程和用戶。然后,利用風(fēng)險(xiǎn)分析模型識(shí)別可能具有的風(fēng)險(xiǎn)。最后,選擇合適的技術(shù)或方法減輕風(fēng)險(xiǎn)。
賽迪網(wǎng)
中國(guó)信息化(industry.ccidnet.com)
電話行業(yè)新革命 全面解析VOIP電話 2005-05-23 |
NGN的推動(dòng)力 2005-05-20 |
VoIP八大問(wèn)題挑戰(zhàn)監(jiān)管 各國(guó)措施不盡相同 2005-05-18 |
抉擇VoIP 2005-05-17 |
VoIP市場(chǎng)到底有多大? 2005-04-27 |