誰(shuí)來(lái)“護(hù)法”VoIP
清華大學(xué)網(wǎng)絡(luò)中心 陳曉峰 2006/10/20
VoIP原本應(yīng)該是一炮走紅�����,以壓倒性的優(yōu)勢(shì)迅速取代傳統(tǒng)業(yè)務(wù)的新技術(shù)���,但是VoIP的發(fā)展沒(méi)有人們預(yù)期得那么快。除了政策����、使用習(xí)慣與方便程度、互聯(lián)網(wǎng)發(fā)展是VoIP大規(guī)模應(yīng)用的桎梏外�����,各個(gè)層面的安全問(wèn)題也是運(yùn)營(yíng)商引入VoIP的一個(gè)顧慮���。
安全從四點(diǎn)開(kāi)始
互聯(lián)網(wǎng)應(yīng)用系統(tǒng)中一直令人頭疼的垃圾郵件�����、網(wǎng)絡(luò)釣魚(yú)式攻擊和拒絕服務(wù)攻擊一樣會(huì)影響VoIP系統(tǒng)��。因此�����,VoIP安全應(yīng)該分為平臺(tái)安全���、傳輸網(wǎng)的安全、承載協(xié)議安全和部署安全四個(gè)方面����。
平臺(tái)安全
VoIP服務(wù)器必須架設(shè)在一定的操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用服務(wù)器平臺(tái)上����,因此DDos攻擊、漏洞攻擊���,這種傳統(tǒng)的攻擊對(duì)于VoIP系統(tǒng)的安全性影響也存在��。利用DDos攻擊����,黑客造成服務(wù)器業(yè)務(wù)處理能力下降而無(wú)法正常進(jìn)行業(yè)務(wù),目前應(yīng)對(duì)這種安全問(wèn)題能夠通過(guò)購(gòu)買(mǎi)前置防攻擊硬件來(lái)進(jìn)行過(guò)濾��。業(yè)界評(píng)價(jià)較好的思科CallManager電話服務(wù)器以來(lái)SQLServer進(jìn)行數(shù)據(jù)存儲(chǔ)���,而SQLServer的漏洞也成為了CallManager電話服務(wù)器的漏洞����。這種安全的最大問(wèn)題在于�,黑客能夠進(jìn)行話費(fèi)詐欺,竊取客戶資料�。使用Unix,Solaris這些穩(wěn)定操作系統(tǒng)平臺(tái)與軟件并且及時(shí)地進(jìn)行在線升級(jí)����,是運(yùn)營(yíng)商能夠采取的有效的防范辦法。
通信層面的安全
由于VoIP以互聯(lián)網(wǎng)為載體進(jìn)行語(yǔ)音和信令的傳遞��,其傳輸途徑安全性相比電信網(wǎng)絡(luò)要低很多����。傳統(tǒng)的電信網(wǎng)絡(luò)基本屬于私有網(wǎng)絡(luò),采用七號(hào)信令進(jìn)行業(yè)務(wù)管理��,很少有非法監(jiān)聽(tīng),因此電信網(wǎng)絡(luò)是一個(gè)相對(duì)較為安全可靠的通信網(wǎng)絡(luò)��。而互聯(lián)網(wǎng)的分布式自治特點(diǎn)從它的誕生開(kāi)始就一直受到安全的困擾���,網(wǎng)絡(luò)中的黑客��、特工��、間諜等無(wú)數(shù)雙眼睛盯著網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包��,國(guó)際流量尤其嚴(yán)重���。國(guó)內(nèi)各大網(wǎng)絡(luò)運(yùn)營(yíng)商的互聯(lián)互通也開(kāi)始產(chǎn)生了不安全的因素,現(xiàn)在各個(gè)運(yùn)營(yíng)商在互聯(lián)互通接口��、城域網(wǎng)出口進(jìn)行業(yè)務(wù)分析已經(jīng)不是秘密�������;ヂ(lián)網(wǎng)安全研究一直都是一個(gè)熱點(diǎn)����,目前能夠?qū)W(wǎng)絡(luò)傳輸信息進(jìn)行反監(jiān)聽(tīng)的方法只有各種形式的加密。但是加密也不是一勞永逸的方法�����,首先加密需要開(kāi)銷(xiāo)���,越難攻破的加密方式需要處理的計(jì)算就越多���,進(jìn)而影響VoIP性能,另外VoIP加密也存在部署的問(wèn)題����。
協(xié)議安全
目前流行的VoIP承載協(xié)議都是以國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)的,這樣的協(xié)議在尋找VoIP落地代理商��、國(guó)際出口時(shí)不需要轉(zhuǎn)化網(wǎng)關(guān)����,可以方便的進(jìn)行研發(fā)和部署。國(guó)內(nèi)使用的SIP�����、MGCP/H.248和H.323協(xié)議基本都是明文傳輸信息����,網(wǎng)絡(luò)監(jiān)聽(tīng)設(shè)備很容易監(jiān)聽(tīng)到使用這些協(xié)議的VoIP呼叫����,而且非常容易分出用戶名��、密碼�、主叫被叫號(hào)碼、網(wǎng)關(guān)地址等信息����。
采取一些成熟的加密方式,例如3DES��、SSH����、AES等,可以非常有效的組織網(wǎng)絡(luò)探針對(duì)于信息的分析��,VoIP采取這些加密從技術(shù)角度來(lái)說(shuō)是容易實(shí)現(xiàn)的���。不過(guò)目前VoIP傳輸協(xié)議加密的非常少,遵從國(guó)際標(biāo)準(zhǔn)���,互聯(lián)互通是VoIP很少使用加密方式的原因���。
VoIP協(xié)議的檢測(cè)方法研究也是VoIP安全問(wèn)題的一大心病���。SKYPE購(gòu)買(mǎi)了一種較為私有的語(yǔ)音壓縮協(xié)議,而且采用P2P的方式進(jìn)行通信來(lái)避免協(xié)議攻擊���,對(duì)于SKYPE的檢測(cè)一直是一個(gè)難點(diǎn)���。不過(guò)SKYPE協(xié)議神秘的面紗現(xiàn)在已經(jīng)揭開(kāi),目前已經(jīng)有人成功解密SKYPE協(xié)議細(xì)節(jié)����,而且能夠成功的通過(guò)偽造數(shù)據(jù)包的方式干擾或者中斷通話的正常進(jìn)行。
部署安全
VoIP部署也存在安全問(wèn)題�。市場(chǎng)上的主流防火墻在設(shè)計(jì)時(shí)并沒(méi)有考慮到VoIP協(xié)議本身的特點(diǎn),也沒(méi)有顧及SIP和H.323的一些特殊情況����。SIP至少使用三個(gè)端口號(hào)、H.323使用端口1721靜態(tài)端口�,從防火墻內(nèi)外開(kāi)始建立會(huì)議時(shí),SIP和H.323都使用TCP和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)�。這就意味著VoIP部署必須在標(biāo)準(zhǔn)防火墻上打開(kāi)大量端口��,而這種設(shè)置從屏蔽攻擊角度來(lái)看是相當(dāng)令人頭疼的��,除了包頭里面的IP地址外�,SIP和H.323還嵌入了IP地址��,這種入站呼叫在防火墻和路由器的傳統(tǒng)NAT設(shè)置上非常的麻煩���。運(yùn)營(yíng)商和一些大型企業(yè)可以選用價(jià)格稍微昂貴的設(shè)備����,例如會(huì)話邊界控制器(SBC)等��,來(lái)處理NAT和開(kāi)放端口問(wèn)題�����。CheckPoint�、Juniper和WatchGuard等各大防火墻和入侵防護(hù)系統(tǒng)廠商出品的較新型防火墻產(chǎn)品也開(kāi)始具有較強(qiáng)的VoIP功能,采用NAT穿透技術(shù)�,就能根據(jù)對(duì)VoIP會(huì)話進(jìn)行嚴(yán)格監(jiān)控,動(dòng)態(tài)地打開(kāi)及關(guān)閉端口�����,甚至實(shí)現(xiàn)某些服務(wù)質(zhì)量(QoS)特性��,不過(guò)這往往意味著需要不斷地升級(jí)軟硬件�����。
“寄生”式VoIP運(yùn)營(yíng)安全
上面從各個(gè)網(wǎng)絡(luò)到應(yīng)用的各個(gè)層面分析了VoIP存在的安全����,以及目前的應(yīng)對(duì)措施。運(yùn)營(yíng)VoIP業(yè)務(wù)��,一種是大的業(yè)務(wù)提供商通過(guò)自己的網(wǎng)絡(luò)提供的真正的VoIP��,一種是Skype�、Net2Phone、Vonage等提供的“寄生”式的VoIP���。
如今典型的企業(yè)IP電話系統(tǒng)其基本要素包括:呼叫控制服務(wù)器����、VoIP客戶機(jī)和VoIP網(wǎng)關(guān)��。利用企業(yè)VoIP�,企業(yè)能夠?yàn)榉止净蛘咄獬龀霾钫咛峁┟赓M(fèi)的通訊方式��,也可以為企業(yè)的最終用戶提供企業(yè)800VoIP電話服務(wù)����,當(dāng)前發(fā)展較為火熱�。
企業(yè)VoIP系統(tǒng)和其他數(shù)據(jù)應(yīng)用一樣也容易遭到攻擊,至少?gòu)睦碚撋现v是這樣�。面臨的一系列潛在威脅包括:拒絕服務(wù)攻擊、病毒����、蠕蟲(chóng)、特洛伊木馬�����、數(shù)據(jù)包嗅探����、垃圾郵件和網(wǎng)絡(luò)釣魚(yú),還會(huì)遭到垃圾郵件的侵?jǐn)_�����,而且網(wǎng)絡(luò)釣魚(yú)也容易得逞,只要假冒撥號(hào)人的身份信息�����,就可以偽裝成某家合法機(jī)構(gòu)的代表?yè)艽騐oIP電話��,因此許多關(guān)鍵的商業(yè)信息傳輸仍用傳真來(lái)實(shí)現(xiàn)�����。今年年初���,美國(guó)政府提出了一些建議。
電信運(yùn)營(yíng)商VoIP運(yùn)營(yíng)安全
電信級(jí)VoIP必須符合“電信級(jí)”這個(gè)概念�,電信級(jí)的高可用性要求VoIP必須像現(xiàn)今PSTN一樣,達(dá)到6個(gè)9(99.9999%)的基本標(biāo)準(zhǔn)�����。隨著電信運(yùn)營(yíng)商逐漸認(rèn)識(shí)到VoIP的重要性���,已經(jīng)開(kāi)始進(jìn)行VoIP運(yùn)營(yíng)了���,相比“寄生”式VoIP系統(tǒng),電信運(yùn)營(yíng)商的VoIP系統(tǒng)相對(duì)來(lái)說(shuō)較為安全,而且協(xié)議選擇也能夠較為靈活����。不過(guò)電信級(jí)的VoIP安全問(wèn)題來(lái)自于網(wǎng)絡(luò)的問(wèn)題,隨著P2P的各種應(yīng)用的大規(guī)模膨脹����,電信的帶寬已經(jīng)開(kāi)始非常吃緊,很多運(yùn)營(yíng)商增加的帶寬在幾天之內(nèi)就被耗盡�,在這樣的環(huán)境下部署實(shí)時(shí)性非常高的VoIP應(yīng)用,高可用性很難達(dá)到“電信級(jí)”的要求�����。
目前已經(jīng)有運(yùn)營(yíng)商的設(shè)計(jì)單位分析了當(dāng)前的情形后�����,在網(wǎng)絡(luò)二期擴(kuò)容建設(shè)時(shí)已經(jīng)開(kāi)始考慮將互聯(lián)網(wǎng)和VoIP承載網(wǎng)絡(luò)進(jìn)行分開(kāi)建設(shè)�����,從而避免因?yàn)榫W(wǎng)絡(luò)帶寬問(wèn)題影響VoIP的高可用性���,這也體現(xiàn)了電信級(jí)VoIP的最大安全問(wèn)題���。不過(guò)運(yùn)營(yíng)商目前能夠采取的對(duì)策除了被動(dòng)的分開(kāi)建設(shè)以外�,網(wǎng)絡(luò)帶寬分配策略�、合理選擇VPN和加密、防火墻技術(shù)也都是可行的方案���。
通信產(chǎn)業(yè)報(bào)
相關(guān)鏈接: