VoIP 的“防彈衣”
沈陽理工大學通信與網(wǎng)絡(luò)工程中心 馬明
2005/11/15
實際上�����,沒有什么簡單的解決方法可以有效確保VoIP的絕對安全����,不過還是有些辦法可以盡量減小風險、改進整體的安全策略��。
安全問題對語音服務(wù)而言根本不是什么新鮮事���。幾十年來�,傳統(tǒng)電話系統(tǒng)就飽受話費欺詐之困擾。如今�,一些企業(yè)出于對安全問題的擔憂而對安裝IP語音(VoIP)系統(tǒng)猶豫不決,而另一些企業(yè)卻在沒有解決安全問題的前提下貿(mào)然行事�。大多數(shù)行業(yè)的分析師估計,今年企業(yè)新安裝的語音電話至少有一半將會是VoIP手機�,這意味著你可能很快就會面臨語音安全問題,如果不正視這些問題�����,你的系統(tǒng)就會隨時遭到攻擊���。
說到如何有效地確保VoIP 安全��,根本沒有靈丹妙藥��,但必須把這方面的安全作為整體安全策略的一部分來考慮��。因為如今VoIP應(yīng)用已成為IP網(wǎng)絡(luò)的一部分���,如果IP網(wǎng)絡(luò)已經(jīng)落實了良好的安全措施,整個網(wǎng)絡(luò)安全系數(shù)越高�����,那么攻擊者進行竊聽、發(fā)動拒絕服務(wù)(DoS)攻擊或者闖入VoIP系統(tǒng)中的操作系統(tǒng)或者應(yīng)用系統(tǒng)的難度就會越大���。
一開始就讓安全小組參與VoIP項目也非常重要����。語音小組和數(shù)據(jù)小組也根本犯不著卷入地盤之爭���。畢竟,現(xiàn)在它們應(yīng)當作為一個團隊開展工作���。
遵守一系列的嚴格規(guī)定
主要的VoIP安全策略很簡單: 首先���,在你確保各種VoIP部件和因特網(wǎng)之間沒有任何通信之前,不要把這些設(shè)備接入網(wǎng)絡(luò)�����。 其次�,不要允許與因特網(wǎng)及VoIP系統(tǒng)進行聯(lián)系的PC之間有任何通信。這是因為��,PC特別容易受到攻擊�����,可能會被用來闖入VoIP系統(tǒng),或者對語音應(yīng)用發(fā)動拒絕服務(wù)攻擊�。它們還會強行利用VoIP電話從事話費欺詐、暗中竊聽或者冒充他人等勾當���。
如果你無法遵守這項策略���,就要確保每個人都知道其中的風險,并且落實了相應(yīng)的對策以緩解風險���。這就要求清楚地知道安全�、系統(tǒng)架構(gòu)以及有關(guān)的VoIP協(xié)議���。
要實施安全策略����,第一步就是把所有VoIP電話放在單獨的虛擬局域網(wǎng)(VLAN)上�����,并且使用不可路由的RFC 1918地址。大多數(shù)VoIP電話都有內(nèi)置的交換機����,支持802.1p/Q虛擬局域網(wǎng)標準。這樣一來��,就有可能在桌面系統(tǒng)和距離最近的布線室交換機之間建立虛擬局域網(wǎng)���,而布線室交換機可以通過網(wǎng)絡(luò)進行延伸�����。
如果語音用戶的PC被接到電話的交換機上,你就可以自始至終地讓語音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸�����。記住一點: 虛擬局域網(wǎng)無法彼此聯(lián)系����,除非彼此之間有路由,所以這是確保語音和數(shù)據(jù)分開的一個辦法����。你還可以使用訪問控制列表(ACL)防止虛擬局域網(wǎng)之間進行通信,作為保護語音的另一道安全層。讓語音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸�,還可以簡化為VoIP流量配置服務(wù)質(zhì)量(QoS)。隨后只是為VoIP虛擬局域網(wǎng)賦予優(yōu)先級的問題而已���,如果你通過路由器傳輸�����,仍需要第三層服務(wù)質(zhì)量��。
服務(wù)質(zhì)量通常與確保性能聯(lián)系在一起���,不過它在安全方面也起到關(guān)鍵作用。在不同邏輯虛擬局域網(wǎng)上傳輸?shù)恼Z音和數(shù)據(jù)仍使用相同的物理帶寬�。這意味著,即便PC被病毒或者蠕蟲感染���、這些PC進而向網(wǎng)絡(luò)發(fā)送大批流量���,VoIP流量仍能夠在共同的物理帶寬上獲得優(yōu)先權(quán),因而就不會淪為拒絕服務(wù)攻擊的受害者���。與此同時���,ACL和防火墻可以阻止VoIP系統(tǒng)訪問因特網(wǎng)��,反之亦然���。
虛擬局域網(wǎng)還可以緩解有人竊聽電話的現(xiàn)象。如果語音包被人用分析儀獲取��,重放語音就輕而易舉�。IP具有的移動性和靈活性使得它容易受到“中間人攻擊”,即地址解析協(xié)議(ARP)被用來強制流量通過某臺PC傳輸���,然后就能獲取這些流量���。虛擬局域網(wǎng)可以阻止有人從外面發(fā)動攻擊,但內(nèi)部攻擊比較難以預防��。內(nèi)部人只要把某臺PC接入墻上的插座��,對PC進行配置���,成為VoIP虛擬局域網(wǎng)的一部分,就可以發(fā)動攻擊��。要防止這種破壞,最好的辦法就是購買具有強加密功能的VoIP電話�����,而這種方法要奏效�����,每只電話都要有加密功能�����。
你還需要在電話和通向公共交換電話網(wǎng)絡(luò)(PSTN)的網(wǎng)關(guān)之間進行加密�����。如今VoIP電話廠商開始把媒體加密和信令加密功能融入各自的設(shè)備當中��。譬如說�����,Avaya聲稱它的所有電話現(xiàn)在都支持加密功能; 而北電網(wǎng)絡(luò)公司聲稱�����,它的電話很快也具有同樣的功能。加密還可以挫敗需要對基礎(chǔ)設(shè)施獲得物理訪問權(quán)的其他類型的竊聽����,譬如利用交換機的端口鏡像,或者利用以太網(wǎng)接頭接入某條以太網(wǎng)連接線���。
當然���,加密以增加時延為代價。這對普通局域網(wǎng)來說不成問題�,但對廣域網(wǎng)來說可能會成問題。要考慮的另一個因素就是���,如果對電話之間傳輸?shù)男盘栠M行加密(這在應(yīng)用層實現(xiàn))�����,工作在應(yīng)用層的防火墻就很難對加密信號進行解密����。
雖然防火墻必不可少����,但別以為它們能夠勝任各項工作。VoIP協(xié)議很難過濾�����。盡管會話初始化協(xié)議(SIP)是VoIP信號傳輸標準����,但許多廠商采用的卻是專有的信令協(xié)議,而防火墻必須理解這些協(xié)議��。
實時協(xié)議(RTP)用于傳輸實際的語音媒體�����,不過有一系列眾多的端口動態(tài)分配給了每路呼叫�����。信令協(xié)議會表明應(yīng)使用哪個RTP端口用于某路呼叫�����。一款好的防火墻會從信令協(xié)議處接到該指示�����,隨后開啟某個端點的IP地址所必需的那個端口。然而����,不是所有的防火墻都具有這種功能。有些只是開啟某段范圍的端口��,所以要確保你對防火墻的運行情況了如指掌�。
有些防火墻必須處理專用地址和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),這樣一來���,保護VoIP的安全難度就更大了����,如果處理的請求是針對采用專用地址的某個端點��,更是如此����。了解信令協(xié)議的防火墻能跟蹤用戶注冊登記的最新地址,然后相應(yīng)地為請求安排路由�����。Check Point軟件技術(shù)公司聲稱�,其最新款的FireWall-1具有這種功能,可以提供最低程度的安全接入����。
另一個辦法就是把防火墻放置在專門為IP語音設(shè)計的VoIP系統(tǒng)前面。譬如說��,Ingate公司的防火墻就是為基于SIP的VoIP系統(tǒng)而設(shè)計��。Ingate最近宣布��,如今其產(chǎn)品已通過了認證�����,能夠與Avaya公司的基于SIP的產(chǎn)品協(xié)同工作��。確保你實施的VoIP系統(tǒng)基于SIP����,那樣以后需要安全選項功能時不至于只能求助于你現(xiàn)有的VoIP廠商。
另外還要當心��,防火墻可能會帶來時延��,從而成為性能方面的一個瓶頸�����。
支持VoIP的服務(wù)器每個都有各自的操作系統(tǒng),而這些操作系統(tǒng)又存在許多相關(guān)漏洞����,所以你必須確保把服務(wù)器放到你的網(wǎng)絡(luò)上之前,它們都已打上了補丁�����。注意時時打上最新補丁����,還要認真限制對它們的訪問。每個IP電話其實也是一臺電腦����,有著自己的應(yīng)用軟件和操作系統(tǒng),所以對你的電話也要采取同樣的防范措施�����,并確保電話帶有良好的補丁管理系統(tǒng)����。
一些例外情況
有些應(yīng)用可能會讓你考慮打開語音虛擬局域網(wǎng)和數(shù)據(jù)虛擬局域網(wǎng)之間的通信通道�����。譬如說,大多數(shù)VoIP廠商提供的桌面客戶系統(tǒng)能夠管理VoIP電話��,并且提供豐富的用戶狀態(tài)信息����。許多廠商提供的客戶端還可以讓你監(jiān)控其他系統(tǒng)用戶的電話和即時通信(IM)狀態(tài),并且發(fā)布你自己的狀態(tài)信息�����。這些特性需要桌面系統(tǒng)和VoIP系統(tǒng)之間進行一定的直接聯(lián)系���,所以你要想辦法安全地實現(xiàn)這項功能���。
說到這里,使用防火墻最為穩(wěn)妥�。做法是,提供最低程度的接入權(quán)限�����,不允許PC在無意中成為用來搜尋VoIP系統(tǒng)中存在漏洞的平臺。但如果蠕蟲占用了網(wǎng)絡(luò)上的大量帶寬��,PC和布線室之間的連接上所用的這些應(yīng)用就無法得到保護�,因為數(shù)據(jù)來自PC,因而會在數(shù)據(jù)虛擬局域網(wǎng)上傳輸�����。不過好消息是�����,VoIP電話的通信將得到保護���,只要你實施了服務(wù)質(zhì)量����。但如果你在PC上使用的僅僅是軟電話��,就沒有辦法為PC和布線室交換機之間的語音包提供服務(wù)質(zhì)量�。
如果你的遠程辦公人員要通過因特網(wǎng)訪問IP PBX,虛擬專用網(wǎng)(VPN)顯然是防止竊聽的解決辦法���。Zultys科技公司等VoIP廠商提供的產(chǎn)品旨在便于通過VPN訪問IP PBX���。Zultys的有些電話可以直接在電話到PBX之間建立一條VPN隧道��。北電公司的Contivity VPN PC客戶機則可以通過連接的PC���,為其電話建立VPN隧道。
你最不希望把IP PBX暴露于因特網(wǎng)面前���。如果你提供只能訪問相關(guān)端口的功能,而且通過VPN進行驗證����,那么就可以盡量減小這個風險。當然�����,你還會希望在IP PBX和VPN網(wǎng)關(guān)之間安裝一只防火墻���,只允許訪問被認為絕對有必要的端口����。
另外,也很有必要落實相應(yīng)機制���,以保護你的VoIP系統(tǒng)免受針對應(yīng)用的拒絕服務(wù)攻擊�����。如果需要從虛擬局域網(wǎng)進行額外的一道驗證�����,應(yīng)當不會面臨來自外部的重大危害; 但如果有人獲得了訪問權(quán)�,從內(nèi)部發(fā)動攻擊可能會是個問題����。譬如說,利用SIP�����,發(fā)送大量的“注冊”請求會導致服務(wù)器無力處理請求�。入侵防護系統(tǒng)(IPS)可以緩解這個問題,而如果IPS或者入侵檢測系統(tǒng)(IDS)能理解SIP�����,就可以檢測這些攻擊。一款好的IPS還能夠防止基于SIP的中間人攻擊�����,以免通過另一個設(shè)備改變流量傳輸方向�。
可以訪問VoIP系統(tǒng)的任何桌面系統(tǒng)都必須加以保護。如今許多廠商提供集中管理的防火墻以及可以檢查操作系統(tǒng)補丁及病毒更新狀況的軟件�����。這對使用IP軟電話的遠程辦公人員來說尤為重要��。
所以不要被VoIP安全問題捆住了手腳����。有了可靠的IP語音安全策略以及合理搭配的安全工具��,沒有理由錯過VoIP具有的諸多優(yōu)點����。
計算機世界網(wǎng)(www.ccw.com.cn)
相關(guān)鏈接: