VoIP安全：挑戰(zhàn)與對策

馬云飛 2005/05/24

VoIP攻擊主要利用IP電話協(xié)議

VoIP安全 點擊之誰動了我的VoIP安全

　　 文 飛天 云飛

　　在VoIP的情況下，話音也是和數(shù)據(jù)應用一樣，也是一個個的“包”，同樣也將遭受各種病毒和黑客攻擊的困擾。語音和數(shù)據(jù)網(wǎng)絡的融合增加了網(wǎng)絡被攻擊的風險。對于數(shù)據(jù)網(wǎng)絡的攻擊手段都會出現(xiàn)在語音和數(shù)據(jù)融合的網(wǎng)絡中，例如拒絕服務攻擊等。Avaya公司的一位安全顧問表示：“一旦進入VoIP時代，那么當前數(shù)據(jù)網(wǎng)絡所存在的安全隱患將全部轉移到互聯(lián)網(wǎng)通話中。”對于IP網(wǎng)絡安全可靠性能的懷疑制約了IP電話的發(fā)展。

　　普遍認為，影響VoIP安全性的主要因素有以下幾條：（1）產(chǎn)品本身。目前VoIP技術最常用的話音建立和控制信令是H.323和SIP協(xié)議，總體上都是開放的協(xié)議體系。而開放的體系就容易受到病毒和惡意攻擊的影響。（2）基于開放端口的DoS(拒絕服務)攻擊。攻擊者向服務器發(fā)送相當多數(shù)量的帶有虛假地址的服務請求，但因為所包含的回復地址是虛假的，服務器將等不到回傳的消息，直至所有的資源被耗盡。VoIP已有很多知名的端口，像1719、5060等。最近NISCC(UK National Infrastructure Security Co-ordi-nation Center)報道的一個VoIP的安全漏洞：“市場上很多采用H.323協(xié)議的VoIP系統(tǒng)在H.245建立過程中都存在漏洞，容易在1720端口上受到DoS的攻擊，導致從而系統(tǒng)的不穩(wěn)定甚至癱瘓”。（3）服務竊取。雖然IP話機不能通過并線的方式撥打電話，但通過竊取使用者IP電話的登錄密碼同樣能夠獲得話機的權限。這就如同在一根普通模擬話機線上又并接了一個電話一樣。（4）流媒體的偵聽。一個典型的VoIP呼叫需要信令和流媒體兩個建立的步驟，RTP/RTCP是在基于包的網(wǎng)絡上傳輸?shù)葧r話音信息的協(xié)議。由于協(xié)議本身是開放的，即使是一小段的流媒體都可以被重放出來而不需要前后信息的關聯(lián)。如果有人在數(shù)據(jù)網(wǎng)絡上通過Sniffer的方式記錄所有信息并通過軟件加以重放，會引起員工對話音通信的信任危機。

　　為了保證IP電話的安全性，最合適的辦法是采用IPSec方式來加密。IPSec允許IP包用ESP（Encapsulated Security Payload）方式來加密，在IP包頭增加了AH(Authentication Header)頭來驗證數(shù)據(jù)包的完整性。從最大程度上抵御來自網(wǎng)絡的攻擊，尤其對于語音、數(shù)據(jù)和視頻環(huán)境來說更合適。但僅為了IP電話的安全來建立IPSec的架構是不經(jīng)濟的，系統(tǒng)過于復雜，成本也過高。

　　當然，為了確保VoIP系統(tǒng)的安全，各種安全解決方案固然不可或缺，但僅僅依靠這類方案還是不夠的，還需要從以下幾個方面加以關注：

　　一、慎重選擇VoIP協(xié)議。當前，冠以“VoIP”的協(xié)議有多種，每種VoIP協(xié)議都各有其優(yōu)缺點，使用安全性能更好的協(xié)議有助于消除額外的風險和攻擊因素。

　　二、停用不必要的協(xié)議。在現(xiàn)有的各種協(xié)議中，有大量尚未被發(fā)現(xiàn)的安全漏洞。因此，為了減少被攻擊的機率，應盡量不要啟用不必要和未用過的協(xié)議與服務

　　三、周密考慮VoIP組件遭遇攻擊的可能性。包括IP電話和終端在內(nèi)的VoIP組件都是運行于硬件平臺之上的軟件系統(tǒng)，因此VoIP基礎架構中的每一組件都如同計算機一樣可以被訪問，因而都有遭受攻擊的可能。

　　四、將VoIP與其它IP架構分而治之。將VoIP與其它IP架構進行物理或邏輯隔離、分別進行管理是增強VoIP系統(tǒng)安全的一種有效措施。

　　五、對遠程操作進行認證。VoIP終端可以進行遠程升級和管理，要確保這類操作只能基于合法用戶和合法地址，并部署一個能夠進行服務管理的遠程系統(tǒng)。

　　六、將VoIP服務器與內(nèi)部網(wǎng)絡隔離。部分安全設備不能完全識別VoIP信令命令，因此，它們可能會打開動態(tài)通信端口，使網(wǎng)絡遭受跳轉攻擊的威脅，并可能使攻擊者入侵內(nèi)部LAN中的其他核心業(yè)務組件。

　　七、確保VoIP安全系統(tǒng)能夠對通信端口進行跟蹤。

　　八、使用NAT(Network Address Translation)網(wǎng)絡地址翻譯。NAT網(wǎng)絡地址翻譯可將內(nèi)部IP地址轉換為能夠實現(xiàn)Internet路由的全球唯一IP地址，并能夠實現(xiàn)內(nèi)部IP地址的隱藏。

　　九、使用可對VoIP進行安全檢查的解決方案。用于VoIP系統(tǒng)的安全解決方案應能夠對VoIP流內(nèi)部進行檢查，分析呼叫狀態(tài)并檢查服務內(nèi)容，確保所有參數(shù)的一致性和有效性。

　　VoIP安全 點擊之無線VoIP：明日安全挑戰(zhàn)

　　文 馬云飛

　　當前，基于無線LAN的移動數(shù)據(jù)應用在企業(yè)領域得到了很大成功，許多企業(yè)用戶逐漸意識到了WLAN在提高工作效率方面的巨大作用，并相繼著手開始部署更多WLAN應用，其中，基于無線LAN的語音服務—VoWLAN(Voice over WLAN)就是其中最重要的應用之一。InStat/MDR調研公司的一項針對358家WLAN商業(yè)用戶的調查顯示，有半數(shù)以上的用戶正著手或計劃為其現(xiàn)有WLAN網(wǎng)絡增加VoWLAN服務。

　　但如同WLAN應用的安全問題曾在業(yè)界備受關注一樣，在現(xiàn)行WLAN網(wǎng)絡中引入VoIP服務，也同樣面臨著比常規(guī)VoIP服務更多的安全挑戰(zhàn)。

　　VoWLAN系統(tǒng)的安全也主要體現(xiàn)在兩個方面，即語音呼叫的安全性和系統(tǒng)防御DoS攻擊的能力。為此，必須確保無線LAN內(nèi)身份驗證與包流量的安全性。同時，在WLAN內(nèi)，語音流量還必須確保與其它流量類型分離，并對訪問網(wǎng)絡主干的語音設備進行嚴格限制，以確保語音流量只能到達諸如VoIP網(wǎng)關等特定目的地，避免黑客利用VoWLAN應用入侵企業(yè)數(shù)據(jù)資源。

　　在目前WLAN采用的各種加密機制中，由于WPA等基于可變密鑰的加密模式在不同接入點之間需要重新建立安全會話，會出現(xiàn)明顯延遲，導致出現(xiàn)語音呼叫中斷，因而不能適應語音應用的需要。

　　而WEP(wired equivalent privacy) 有線等效私密協(xié)議主要依賴于預先存儲于各個接入點的靜態(tài)密鑰實現(xiàn)數(shù)據(jù)加密。這種加密模式雖可以較好地解決會話延遲問題，但由于WEP協(xié)議用于數(shù)據(jù)流量的底層密鑰易被破解，因而對于企業(yè)應用而言，WEP協(xié)議的安全性是不夠的。而且由于WEP是一種靜態(tài)加密協(xié)議，因此，在更換密鑰時，每一接入點的密鑰都需要相應進行更改。

　　為了解決安全性與語音應用性能之間的矛盾，業(yè)內(nèi)又研發(fā)了新的802.11i標準。這一標準是基于MAC層的安全標準，可提供包流量與身份驗證的安全性。其中的身份驗證功能主要源自802.1x協(xié)議。802.1x協(xié)議并不提供密碼認證，而是提供架構認證、以及提供基于擴展身份認證協(xié)議的密鑰管理功能，這一協(xié)議可使網(wǎng)絡中的服務器為每一WLAN客戶端提供動態(tài)密鑰。

　　由于802.11i標準支持的密碼與身份認證提供了一個用于WLAN保護的層，因而也在一定程度上增加了語音流量的復雜性。如基于服務器的身份認證將會增加建立語音呼叫的延遲，而基于WEP、WPA或AES的密碼驗證則增加了包括語音流量在內(nèi)的所有包的延遲。因此，為了最大限度地減少VoWLAN系統(tǒng)的延遲時間，最好的解決方案是將身份與密碼認證集成到硬件中。

　　VoIP安全 點擊之VoIP安全方案：誰比誰差多少

　　文 馬云飛 王艷寧

　　由于受到諸多現(xiàn)實問題的掣肘，與面向單純的數(shù)據(jù)網(wǎng)絡或PSTN網(wǎng)絡的安全解決方案相比，VoIP安全解決方案的研發(fā)面臨著更大的挑戰(zhàn)，不僅要實現(xiàn)安全性能與服務性能的最佳平衡，還要兼顧到執(zhí)法部門的監(jiān)管問題。同時，由于VoIP安全解決方案產(chǎn)品市場起步不久，不夠成熟，尚缺乏有影響的專業(yè)VoIP安全解決方案供應商。目前市場上的VoIP安全解決方案大多出自思科、Avaya等數(shù)據(jù)網(wǎng)絡設備供應商以及SonicWALL等少數(shù)專業(yè)安全廠商之手，產(chǎn)品類型也相對有限，這些解決方案各有其優(yōu)缺點，用戶可以根據(jù)自己的安全需求酌情選擇。

　　幾類VoIP安全解決方案優(yōu)缺點概覽

　　解決方案類型 優(yōu)點 缺點

　　無防火墻(或無針對 不影響IP語音應用 1、網(wǎng)絡安全無保障。2、終端需要公共

　　VoIP應用的防火墻) 性能。 IP地址。3、終端可隨意訪問。

　　可繞過防火墻的網(wǎng)絡 無需更動或升級防 開放端口安全無保障，VoIP設備仍不

　　地址轉換解決方案 火墻。 安全。不支持對稱性NAT[IETFTURN]。

　　(如STUN [IETF-STUN]) 僅支持UDP，不支持H.323或SIP。可能

　　 不支持RTCP。

　　會話邊界控制 無需更動或升級防 應用有限制。主要面向服務供應商。

　　 火墻。 需要進行額外的管理。每一網(wǎng)絡都

　　 需要安裝客戶端軟件，可能會成為

　　 VoIP應用瓶頸。由于采用集中控制模

　　 式，VoIP安全主要由運營商而非用戶

　　 自行控制。

　　完全VoIP代理 無需更動或升級防 代理仍易受攻擊。每一種VoIP協(xié)議需

　　 火墻。 要獨立代理。代理需置于防火墻之后。

　　 需要成對部署以增強可靠性。增加了

　　 延遲，可能會成為系統(tǒng)瓶頸。

　　SonicWALL狀態(tài)數(shù)據(jù) 易于使用-‘即插 前三代防火墻不支持

　　包變換 即保護’（plug and

　　 protect）技術；不需

　　 要額外的設備-利

　　 用現(xiàn)有的第四代

　　 SonicWALL防火墻；

　　 支持多種VoIP協(xié)議

　　VoIP安全 點擊之OKI應對VoIP安全

　　文 本報記者 飛天 洪飛

　　VoIP安全問題一直是業(yè)界十分關注的話題，而且也是一個逃避不開的關鍵問題。針對VoIP的安全，沖電氣軟件技術（江蘇）有限公司上海分公司總經(jīng)理池上晶子指出，從總體上看，VoIP安全問題主要還是由VoIP的互操作性、兼容性問題以及VoIP網(wǎng)絡本身的安全性問題所造成的。

　　所謂的兼容性問題主要是現(xiàn)在的眾多廠商采用不同的標準協(xié)議而不兼容，而目前許多供應商的H.323v1-4兼容性只是紙面上的兼容，需要進一步努力才能保證系統(tǒng)完全互操作。

　　另外，VoIP網(wǎng)絡還具有開放性以及IP分組網(wǎng)本身的脆弱性。針對脆弱的VoIP組件，DoS攻擊會用虛假的語音通信擁塞網(wǎng)絡，從而降低網(wǎng)絡性能或者直接導致語音和數(shù)據(jù)通信的中止。此外，如果PC感染了截獲LAN通信包的特洛伊木馬病毒，基于PC的Softphone就會非常容易遭到竊聽，所以從某種程度上說，VoIP也正在使語音通信面臨與數(shù)據(jù)通信一樣的安全威脅。

　　VoIP設備是一種網(wǎng)絡設備，設備的操作系統(tǒng)安全情況當然也直接會影響到整個VoIP系統(tǒng)的安全。在目前的VoIP發(fā)展中，大多數(shù)用戶和廠商考慮最多的是如何改善話音質量以及如何同現(xiàn)有數(shù)據(jù)網(wǎng)絡的融合，而較少考慮到VoIP的安全。

　　針對市場的現(xiàn)狀，OKI在其推出的最新IP呼叫中心產(chǎn)品CTstage和VoIP領域的產(chǎn)品IVG中，都采用了SIP協(xié)議，SIP協(xié)議廣泛的兼容性決定了其具有很好的互操作性。針對病毒攻擊與人為攻擊這兩種情況，OKI目前主要采取了以下措施：

　　針對病毒攻擊,OKI產(chǎn)品具備了Email病毒檢測功能，可以實時進行檢測，一旦發(fā)現(xiàn)情況，立刻以Email的方式報告信息，還可以根據(jù)客戶需要配備不同安全級別的防火墻，并且定期通過服務器進行更新，把病毒感染的機會降到了最低。

　　針對人為攻擊, OKI的產(chǎn)品通過設置了兩級訪問密碼(普通用戶及超級用戶級)等方式,加強訪問權限控制，減少系統(tǒng)信息的外泄, 增加系統(tǒng)安全性。

　　但是，不管怎樣說，VoIP的安全問題對通信界來說還是一個值得繼續(xù)研究開發(fā)的課題，OKI也正在為之持續(xù)努力。

　　VoIP安全 點擊之Juniper解決VoIP安全之道

　　文 本報記者 陳翔 飛天

　　隨著VoIP繼續(xù)從小眾市場向主流市場發(fā)展，黑客攻擊VoIP設施可能存在的漏洞只是一個時間問題。因為VoIP是建立在IP協(xié)議的基礎上，而且它有時要路由公共互聯(lián)，所以自然就和使用同一媒介的傳統(tǒng)數(shù)據(jù)通信一樣具有安全風險。

　　在清楚了解VoIP網(wǎng)絡構成之后，Juniper網(wǎng)絡公司用分層式防御策略來保護核心、外圍和客戶端設備。分層防御主要圍繞三個因素進行：對訪問網(wǎng)絡者進行認證授權；控制機制；和保護各個組件的技術。前兩個目標可以通過正式的安全審核達到，在審核中我們識別相關操作人員，并定義安全特權來執(zhí)行特定任務。

　　第三項任務，也就是保護一個由應用服務器和設備組成的核心網(wǎng)絡，則與保護一個內(nèi)部局域網(wǎng)（LAN）類似。由于網(wǎng)絡是基于IP的，它很容易遭遇所有已知的IP攻擊風險，例如，OS弱點、DoS/DDoS或其他任何攻擊類型。

　　另外，企業(yè)還應考慮部署一個入侵檢測和防御系統(tǒng)（IDP/IPS）以監(jiān)控應用流量。IDP與防火墻不同，它能檢測至第7層的數(shù)據(jù)包流量。為管理員和Web服務器提供了Web界面的VoIP應用是蠕蟲經(jīng)常攻擊的一個目標。IDP可以通過丟棄從網(wǎng)絡來的數(shù)據(jù)包，利用不同的方法檢測攻擊，阻止惡意流量到達Web服務器。

　　外圍層也常有各種網(wǎng)關設施。通常服務器會提供用戶注冊，識別VoIP進入流量，并將呼叫轉移至目標地址。

　　和保護其他IP網(wǎng)絡一樣，Juniper網(wǎng)絡公司在VoIP安全方面也是從最佳安全實踐著手。首先，必須清楚地知道所有的組件，包括服務器、IP協(xié)議、進程和用戶。然后，利用風險分析模型識別可能具有的風險。最后，選擇合適的技術或方法減輕風險。

賽迪網(wǎng) 中國信息化(industry.ccidnet.com)