深度檢測(cè)防火墻:VOIP網(wǎng)絡(luò)安全的基石
陸耀光 2005/06/03
SonicWALL大中華區(qū)銷售總經(jīng)理
陸耀光加入SonicWALL已有4年時(shí)間���。作為大中華區(qū)銷售總經(jīng)理,陸耀光負(fù)責(zé)本地區(qū)的總體業(yè)務(wù)開發(fā)工作,包括制定銷售和市場(chǎng)戰(zhàn)略以及管理技術(shù)團(tuán)隊(duì)。陸耀光成功地將SonicWALL在本地區(qū)的業(yè)務(wù)發(fā)展到數(shù)百萬美元,同時(shí)在中國(guó)樹立起SonicWALL的品牌形象�。
加入SonicWALL之前�����,陸耀光擔(dān)任朗訊科技公司的地區(qū)銷售經(jīng)理��,負(fù)責(zé)企業(yè)市場(chǎng)數(shù)據(jù)網(wǎng)絡(luò)銷售工作��。在朗訊之前�,陸耀光擔(dān)任3Com公司的銷售經(jīng)理。陸耀光在IT行業(yè)有10多年的銷售和市場(chǎng)經(jīng)驗(yàn)���,特別專注于數(shù)據(jù)網(wǎng)絡(luò)和數(shù)據(jù)安全技術(shù)�����。
陸耀光畢業(yè)于香港理工大學(xué)���,獲得電子工程學(xué)位。
摘要:本文討論了與安全VoIP網(wǎng)絡(luò)部署相關(guān)的問題和復(fù)雜性�,然后詳細(xì)介紹了SonicWALL公司的完全VoIP解決方案。
內(nèi)容
- 與VoIP和網(wǎng)絡(luò)安全性相關(guān)的問題
- 現(xiàn)有VoIP安全性解決方案
摘要
對(duì)于希望通過采用網(wǎng)絡(luò)電話(VoIP)技術(shù)來降低通信成本的企業(yè)來說���,語音和數(shù)據(jù)融合的網(wǎng)絡(luò)相關(guān)的安全風(fēng)險(xiǎn)不容忽視�����。通話費(fèi)用的降低����、集中管理和快速部署等好處顯而易見���,因此VoIP安全性和網(wǎng)絡(luò)完整性方面的問題經(jīng)常被忽略�。
在VoIP網(wǎng)絡(luò)中�����,有大量的目標(biāo)會(huì)受到潛在的威脅,呼叫服務(wù)器以及相應(yīng)的操作系統(tǒng)����、VoIP電話及軟件,甚至VoIP電話呼叫本身都容易受到攻擊���。
本文討論了與安全VoIP網(wǎng)絡(luò)部署相關(guān)的問題和復(fù)雜性����,然后詳細(xì)介紹了SonicWALL公司的完全VoIP解決方案���,特別是SonicWALL創(chuàng)新的狀態(tài)數(shù)據(jù)包變換技術(shù)����。
與VoIP和網(wǎng)絡(luò)安全性相關(guān)的問題
在VoIP網(wǎng)絡(luò)中��,防火墻*的傳統(tǒng)角色正在發(fā)生本質(zhì)上的變革�。過去,防火墻在VoIP環(huán)境中不影響VoIP的使用就可以了����。因?yàn)閂oIP要求因特網(wǎng)上基于IP的資源是可預(yù)測(cè)的、靜態(tài)可用的���,但防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能給VoIP網(wǎng)絡(luò)帶來了障礙���。通過“pin-holing”和其它技術(shù)�����,安全供應(yīng)商已經(jīng)找到了適應(yīng)VoIP基礎(chǔ)設(shè)施、保證互操作的方法���。
然而���,隨著網(wǎng)絡(luò)威脅越來越復(fù)雜,防火墻在VoIP環(huán)境中的角色也從“保證通暢”演化為全面支持和保護(hù)整個(gè)基礎(chǔ)設(shè)施�。從IP電話、軟電話和無線通信設(shè)備等最終用戶終端�,到H.323關(guān)守和SIP代理服務(wù)器等基礎(chǔ)設(shè)施設(shè)備,企業(yè)范圍的VoIP部署涉及范圍越來越寬����。簡(jiǎn)單拒絕服務(wù)(DoS)攻擊的目的是影響IP語音基礎(chǔ)設(shè)施的可用性,而全面的應(yīng)用層攻擊則主要針對(duì)VoIP協(xié)議本身�����?傊���,威脅的確存在�����,并且在不斷增長(zhǎng)�。
對(duì)于成功的VoIP實(shí)施����,有三個(gè)關(guān)鍵因素必須考慮:
- VoIP安全性
- VoIP網(wǎng)絡(luò)互操作性和協(xié)議支持
- VoIP供應(yīng)商互操作性
下面的章節(jié)討論了這幾個(gè)方面。
*在本文中��,“防火墻”一詞用來指任何為VoIP網(wǎng)絡(luò)提供外圍安全功能的安全設(shè)備����。實(shí)際上,現(xiàn)代安全設(shè)備已經(jīng)超過了狀態(tài)檢查防火墻�,采用深度數(shù)據(jù)包檢測(cè)技術(shù)大大增強(qiáng)了安全能力。
VoIP安全性
VoIP安全性包括許多方面��,但對(duì)于任何部署都必須考慮的主要因素包括接入���、可用性和實(shí)現(xiàn)�����。
接入
VoIP呼叫容易受到會(huì)話劫持和中間人攻擊����。沒有適當(dāng)?shù)陌踩胧粽呖梢越厝oIP呼叫并修改呼叫參數(shù)/地址�����。這就為電話欺騙�����、身份竊取��、呼叫重定向和其它攻擊打開了大門����。
即使不修改VoIP數(shù)據(jù)包�,攻擊者也可以竊聽到通過VoIP網(wǎng)絡(luò)傳輸?shù)碾娫捊徽劇H绻鸙oIP數(shù)據(jù)包無保護(hù)地通過因特網(wǎng)傳輸��,攻擊者就有機(jī)會(huì)獲得所包含的信息��。
對(duì)于標(biāo)準(zhǔn)的公共交換電話網(wǎng)絡(luò)(PSTN)連接,截取對(duì)話需要物理上接觸電話線或者小型交換機(jī)(PBX)���。但對(duì)于通常是通過公共因特網(wǎng)和TCP/IP協(xié)議傳輸?shù)脑捯?數(shù)據(jù)網(wǎng)絡(luò)來說���,并沒有提供類似電話線的“物理線路”安全性。通過在網(wǎng)絡(luò)基礎(chǔ)設(shè)施的某些部分(如VoIP網(wǎng)關(guān)的出入口)訪問和監(jiān)視網(wǎng)絡(luò)業(yè)務(wù)流�,攻擊者可以獲取并重組VoIP數(shù)據(jù)包。利用公開可以獲得的工具���,如Vomit(http://vomit.xtdnet.nl)���,可以將這些數(shù)據(jù)包轉(zhuǎn)換為.wav文件,這樣攻擊者就可以竊聽���,甚至錄制并重放通話內(nèi)容���。
可用性
VoIP網(wǎng)絡(luò)的可用性也是一個(gè)重要問題。PSTN網(wǎng)絡(luò)的可用性達(dá)到99.999% - 攻擊者要想影響其可用性必須物理上訪問電話交換機(jī)或切斷電話線�����。然而,對(duì)于沒有保護(hù)的VoIP網(wǎng)絡(luò)���,針對(duì)關(guān)鍵點(diǎn)的簡(jiǎn)單拒絕服務(wù)(DoS)攻擊就可以削弱或者中斷話音和數(shù)據(jù)通信�。
VoIP網(wǎng)絡(luò)對(duì)于DoS攻擊特別敏感����,例如:
- 畸形請(qǐng)求DoS - 可以利用精心編制的協(xié)議請(qǐng)求來利用已知的漏洞,從而導(dǎo)致服務(wù)部分或全部中斷����。可以利用這種方法導(dǎo)致目標(biāo)崩潰����,也可以用來控制目標(biāo)。
- 針對(duì)媒體的DoS - VoIP媒體由實(shí)時(shí)協(xié)議(RTP)數(shù)據(jù)包承載�,因此容易受到攻擊�����。例如�,網(wǎng)絡(luò)阻塞型攻擊,或者是削弱或破壞終端設(shè)備(電話或網(wǎng)關(guān))實(shí)時(shí)處理數(shù)據(jù)包的能力���。
如果攻擊者能夠訪問網(wǎng)絡(luò)中媒體傳輸經(jīng)過的部分�,那么只需要簡(jiǎn)單地注入大量媒體數(shù)據(jù)包或者高服務(wù)質(zhì)量(QoS)優(yōu)先級(jí)的數(shù)據(jù)包就可以擾亂合法媒體數(shù)據(jù)包的傳輸。
- 基于負(fù)載的DoS - DoS攻擊并不一定需要利用畸形數(shù)據(jù)包才能達(dá)到目的���。向目標(biāo)發(fā)送大量合法請(qǐng)求很容易就會(huì)使設(shè)計(jì)不好的系統(tǒng)癱瘓���。
甚至不需要發(fā)送實(shí)際的VoIP請(qǐng)求,利用TCP SYN Flood這樣的DoS攻擊就可以使設(shè)備在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)無法接收呼叫����。
實(shí)現(xiàn)問題
VoIP涉及大量標(biāo)準(zhǔn),如會(huì)話初始化協(xié)議(SIP)�����、H.323�、媒體網(wǎng)關(guān)控制協(xié)議(MGCP)和H.248。這些復(fù)雜的標(biāo)準(zhǔn)會(huì)由于軟件實(shí)現(xiàn)中的缺陷或錯(cuò)誤而留下漏洞�。對(duì)于PSTN,電話是簡(jiǎn)單的“啞終端”-
所有邏輯和智能都在PBX中�����。對(duì)于攻擊者來說�,破壞PSTN網(wǎng)絡(luò)的訪問可以使用的手段并不多。
然而對(duì)于VoIP,目前影響操作系統(tǒng)和應(yīng)用的錯(cuò)誤����、缺陷和漏洞也同樣適用于VoIP設(shè)備。不要忘記�,目前許多VoIP呼叫服務(wù)器和網(wǎng)關(guān)設(shè)備都使用了脆弱的Windows和Linux操作系統(tǒng)����?纯从嘘P(guān)H.323[CERT-H.323]或SIP[CERT
- SIP]的CERT建議就可以了解已經(jīng)發(fā)現(xiàn)如此大量的漏洞以及受到影響的十多家供應(yīng)商的名單。
VoIP網(wǎng)絡(luò)互操作性和協(xié)議支持
VoIP比基于TCP/UDP的標(biāo)準(zhǔn)應(yīng)用更為復(fù)雜�����。由于VoIP信令和協(xié)議的復(fù)雜性���,而且當(dāng)防火墻利用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)修改源地址和源端口信息時(shí)引入的不一致性���,因此VoIP有效地通過防火墻比較困難。原因有幾個(gè)�。
- VoIP工作時(shí)采用兩組協(xié)議 - 信令(在客戶和VoIP服務(wù)器)和媒體(客戶間)�。每個(gè)對(duì)話中媒體協(xié)議(RTP/RTCP)所使用的端口/IP地址是由信令協(xié)議動(dòng)態(tài)協(xié)商的。防火墻需要?jiǎng)討B(tài)跟蹤和維護(hù)這一信息��,在適當(dāng)?shù)臅r(shí)候?yàn)闀?huì)話安全地打開所選擇的端口并適時(shí)關(guān)閉它們。
- 多個(gè)媒體端口通過信令會(huì)話動(dòng)態(tài)協(xié)商;媒體端口的協(xié)商內(nèi)容包含在信令協(xié)議的凈荷中(IP地址和端口信息)�。防火墻需要深入檢測(cè)每個(gè)數(shù)據(jù)包來獲得所需要的信息并動(dòng)態(tài)維持會(huì)話,因此需要防火墻具備額外的處理能力�����。
- 源和目標(biāo)IP地址嵌入在VoIP信令數(shù)據(jù)包中��。支持NAT的防火墻對(duì)數(shù)據(jù)包在IP頭一級(jí)進(jìn)行IP地址和端口轉(zhuǎn)換�����。更為不利的是���,全對(duì)稱NAT防火墻經(jīng)常調(diào)整其NAT綁定�����,而且為了保護(hù)內(nèi)部網(wǎng)絡(luò)�����,可能會(huì)隨時(shí)關(guān)閉允許外部數(shù)據(jù)包進(jìn)入的針孔通道�����,從而使得服務(wù)供應(yīng)商無法向內(nèi)部網(wǎng)絡(luò)的客戶發(fā)送呼叫請(qǐng)求��。
- 為有效地支持VoIP�����,NAT防火墻需要在數(shù)據(jù)包通過防火墻時(shí)進(jìn)行深度數(shù)據(jù)包檢測(cè)并轉(zhuǎn)換嵌入的IP地址和端口信息�。
- 防火墻還必須能夠處理由不同VoIP系統(tǒng)所使用的不同消息格式組成的信令協(xié)議組。實(shí)際上���,兩家供應(yīng)商采用了同樣的協(xié)議組并不意味著他們之間就可以互操作��。
VoIP供應(yīng)商互操作性
有些VoIP供應(yīng)商的產(chǎn)品所實(shí)現(xiàn)的協(xié)議與基于RFC的標(biāo)準(zhǔn)VoIP協(xié)議有少量不同���,并不是所有都完全符合或兼容標(biāo)準(zhǔn)。而且�,有些供應(yīng)商采用了所謂“標(biāo)準(zhǔn)兼容的”專用VoIP協(xié)議。由于這一原因���,防火墻能夠與盡量廣泛的VoIP終端設(shè)備和呼叫服務(wù)器實(shí)現(xiàn)互操作就非常重要��。
最后����,每家供應(yīng)商都應(yīng)當(dāng)保證與其它供應(yīng)商的設(shè)備是兼容的�����。SonicWALL在這方面投入了大量的時(shí)間和精力����。SonicWALL設(shè)備可互操作的部分設(shè)備名單在本文檔后面列出。
現(xiàn)有VoIP安全性解決方案
目前有多種針對(duì)VoIP基礎(chǔ)設(shè)施安全保障方法��。下表簡(jiǎn)要概述了主要的方法���。
SonicWALL解決方法
SonicWALL公司的完全VoIP解決方案為VoIP基礎(chǔ)設(shè)施提供了無與倫比的安全性����,基于標(biāo)準(zhǔn)的VoIP兼容性��,以及與全球大多數(shù)主要VoIP網(wǎng)關(guān)和通信設(shè)備的互操作性�。
所有SonicWALL TZ 170 和 PRO 系列 (Gen 4) 安全設(shè)備都支持本文所描述的全面VoIP安全防護(hù)能力。這一點(diǎn)非常重要���,因?yàn)閂oIP網(wǎng)絡(luò)的總體安全性取決于網(wǎng)絡(luò)中最脆弱的鏈路�,這些地方需要最高水平的保護(hù)��,甚至在家庭辦公和個(gè)人通信設(shè)備方面也是如此。
SonicWALL安全設(shè)備基于SonicOS版或增強(qiáng)版固件�����,具有內(nèi)建的VoIP能力����。利用SonicWALL增強(qiáng)版,用戶可以獲得更多呼叫監(jiān)控和報(bào)告功能��,以及更多更全面的服務(wù)質(zhì)量(QoS)支持(例如����,進(jìn)入方向帶寬管理)。
圖 1.
SonicWALL VoIP 解決方法
SonicWALL VoIP解決方案的核心包括以下方面(將在本文后面的章節(jié)詳細(xì)描述):
- 在整個(gè)VoIP呼叫期間的狀態(tài)數(shù)據(jù)包檢測(cè)和變換
- 安全性
- VoIP入侵防御��、防病毒�����、內(nèi)容過濾
- VoIP over WLAN�,支持全面的威脅預(yù)防功能
- 檢測(cè)并丟棄畸形惡意數(shù)據(jù)包
- 強(qiáng)制‘封閉’VoIP網(wǎng)絡(luò) – 防止非授權(quán)呼叫
- 架構(gòu)
- 支持流式媒體和組播應(yīng)用
- 任意設(shè)備組合可以位于任何區(qū)域(H.323 和 SIP 端點(diǎn)、H.323 關(guān)守��、H.323 多點(diǎn)控制單元�����、SIP代理和重定向服務(wù)器)
- 網(wǎng)守和代理可以位于網(wǎng)絡(luò)的任何位置,甚至在DMZ區(qū)
- 全對(duì)稱NAT
- 豐富的報(bào)告
- 呼叫跟蹤
- ‘異����!瘮(shù)據(jù)包日志
- 簡(jiǎn)化問題排除和調(diào)試過程
SonicWALL VoIP安全性
SonicWALL公司功能強(qiáng)大的深度檢測(cè)技術(shù)為在VoIP基礎(chǔ)設(shè)施中的所有點(diǎn)檢測(cè)和強(qiáng)化業(yè)務(wù)流管理提供了一種靈活的框架����。
VoIP服務(wù)器和端點(diǎn)
- 業(yè)務(wù)流合法性
對(duì)通過防火墻的每個(gè)VoIP信令和媒體數(shù)據(jù)包進(jìn)行狀態(tài)檢測(cè)可保證所有業(yè)務(wù)流的合法性。對(duì)于攻擊者來說����,攻擊所使用的主要方法就是利用特殊編制的數(shù)據(jù)包來窺探和利用軟硬件實(shí)現(xiàn)的缺陷,從而導(dǎo)致目標(biāo)設(shè)備出現(xiàn)緩沖區(qū)溢出等問題�����。SonicWALL能夠在奇異或非法數(shù)據(jù)包到達(dá)目標(biāo)之前檢測(cè)到它們并將其丟棄��。
- 對(duì)VoIP協(xié)議的應(yīng)用層保護(hù)
SonicWALL入侵檢測(cè)服務(wù)(IPS)能夠?yàn)閂oIP協(xié)議應(yīng)用層提供全面保護(hù)���。IPS集成了一個(gè)可配置的超高性能掃描引擎���,配合動(dòng)態(tài)更新和擁有1900多攻擊和漏洞簽名的數(shù)據(jù)庫(kù)����,可以保護(hù)網(wǎng)絡(luò)免受最復(fù)雜的木馬和變形威脅的影響�。SonicWALL已經(jīng)利用一系列VoIP相關(guān)的簽名來擴(kuò)展其IPS簽名數(shù)據(jù)包,可以防止惡意業(yè)務(wù)流到達(dá)受保護(hù)的VoIP電話和服務(wù)器��。
Figure 2 SonicWALL IPS GUI
- DoS 和 DDoS攻擊保護(hù)
防止DoS和DDoS攻擊����,如SYN Flood、Ping of Death以及LAND(IP)攻擊��。這些攻擊會(huì)造成網(wǎng)絡(luò)或服務(wù)癱瘓���。
- 驗(yàn)證采用TCO的VoIP信令數(shù)據(jù)包的順序�。不允許失序或在窗口外重傳的數(shù)據(jù)包�����。
- 在每一TCP會(huì)話中采用隨機(jī)TCP順序號(hào)(在連接建立時(shí)由加密隨機(jī)數(shù)生成器生成)并驗(yàn)證數(shù)據(jù)流�����,防止重放和數(shù)據(jù)插入攻擊。
- SYN Flood保護(hù)保證了攻擊者無法通過打開多個(gè)TCP/IP連接(并未完全建立 – 通常是采用欺騙源地址)來使服務(wù)器過載��。
- 狀態(tài)監(jiān)控
狀態(tài)監(jiān)控保證數(shù)據(jù)包(即使表面上看起來正確)符合目前所關(guān)聯(lián)的VoIP連接的狀態(tài)���。
- SonicWALL防病毒
SonicWALL防病毒產(chǎn)品保護(hù)軟電話客戶免受基于病毒的威脅���,同時(shí)自動(dòng)強(qiáng)制應(yīng)用病毒定義DAT文件。這大大縮短了整個(gè)網(wǎng)絡(luò)的防病毒策略管理所需要的時(shí)間���,并降低了成本。
VoIP會(huì)話
- 無縫支持加密媒體
一些VoIP設(shè)備可以利用加密來保護(hù)VoIP會(huì)話期間交換的媒體數(shù)據(jù)��,防止竊聽和重放���。
- 強(qiáng)認(rèn)證和加密
SonicWALL公司的點(diǎn)到點(diǎn)(site-to-site)和遠(yuǎn)程移動(dòng)用戶IPSec VPN經(jīng)過了ICSA認(rèn)證�����,為遠(yuǎn)程用戶��、遠(yuǎn)程辦公人員和分支機(jī)構(gòu)訪問網(wǎng)絡(luò)資源提供了經(jīng)濟(jì)可靠和安全的遠(yuǎn)程訪問通道�����。配置健壯的認(rèn)證服務(wù)�,可以利用公共密鑰基礎(chǔ)設(shè)施(PKI)和數(shù)字證書為因特網(wǎng)VPN用戶提供強(qiáng)大的認(rèn)證機(jī)制。
為保護(hù)不支持加密媒體傳輸?shù)腣oIP設(shè)備����,IPSec VPN提供了完全的解決方案,可保證VoIP呼叫的私密性�����。
VoIP網(wǎng)絡(luò)
- 無線局域網(wǎng)上的VoIP ( VoIP over WLAN)
SonicWALL利用其分布式無線解決方案將完全的VoIP安全性擴(kuò)展到附屬的無線網(wǎng)絡(luò)����。無論是利用內(nèi)置802.11無線功能的TZ 170系列,還是配合使用PRO系列設(shè)備和SonicPoint
802.11a/b/g智能接入點(diǎn)��,利用無線網(wǎng)絡(luò)的VoIP設(shè)備可以擁有與SonicWALL設(shè)備后面有線網(wǎng)絡(luò)上的VoIP設(shè)備一樣的所有安全特性和優(yōu)點(diǎn)�����。
- 通過帶寬管理保證可用性和呼叫質(zhì)量
帶寬管理(包括入和出兩個(gè)方向)可保證時(shí)間敏感的VoIP業(yè)務(wù)流所需要的帶寬���。通過連續(xù)監(jiān)控和管理可用的帶寬�����,SonicWALL可以保證VoIP設(shè)備享有呼叫所需要的帶寬�����。
- WAN冗余和負(fù)載平衡
WAN冗余和負(fù)載平衡允許利用一個(gè)接口做為輔助或備份WAN端口���。輔助WAN端口可采用簡(jiǎn)單的主/被(active/passive)設(shè)置�,僅在主WAN端口故障和/或不可用時(shí)業(yè)務(wù)流才會(huì)路由到這個(gè)端口�����。輔助WAN端口還可采用更為動(dòng)態(tài)的(active/active)配置���,出口業(yè)務(wù)流被分配到主和輔WAN端口,以提供更大的吞吐能力�。
- 高可用性
SonicWALL硬件故障切換能力可在系統(tǒng)故障時(shí)保證可靠連接的連接,從而保障了高可用性�����。
ChinaByte(e.chinabyte.com)
相關(guān)鏈接: