深度检测防火墙:VOIP网络安全的基石
陆耀光 2005/06/03
SonicWALL大中华区销售总经理
陆耀光加入SonicWALL已有4年时间。作为大中华区销售总经理,陆耀光负责本地区的总体业务开发工作,包括制定销售和市场战略以及管理技术团队。陆耀光成功地将SonicWALL在本地区的业务发展到数百万美元,同时在中国树立起SonicWALL的品牌形象。
加入SonicWALL之前,陆耀光担任朗讯科技公司的地区销售经理,负责企业市场数据网络销售工作。在朗讯之前,陆耀光担任3Com公司的销售经理。陆耀光在IT行业有10多年的销售和市场经验,特别专注于数据网络和数据安全技术。
陆耀光毕业于香港理工大学,获得电子工程学位。
摘要:本文讨论了与安全VoIP网络部署相关的问题和复杂性,然后详细介绍了SonicWALL公司的完全VoIP解决方案。
内容
- 与VoIP和网络安全性相关的问题
- 现有VoIP安全性解决方案
摘要
对于希望通过采用网络电话(VoIP)技术来降低通信成本的企业来说,语音和数据融合的网络相关的安全风险不容忽视。通话费用的降低、集中管理和快速部署等好处显而易见,因此VoIP安全性和网络完整性方面的问题经常被忽略。
在VoIP网络中,有大量的目标会受到潜在的威胁,呼叫服务器以及相应的操作系统、VoIP电话及软件,甚至VoIP电话呼叫本身都容易受到攻击。
本文讨论了与安全VoIP网络部署相关的问题和复杂性,然后详细介绍了SonicWALL公司的完全VoIP解决方案,特别是SonicWALL创新的状态数据包变换技术。
与VoIP和网络安全性相关的问题
在VoIP网络中,防火墙*的传统角色正在发生本质上的变革。过去,防火墙在VoIP环境中不影响VoIP的使用就可以了。因为VoIP要求因特网上基于IP的资源是可预测的、静态可用的,但防火墙的网络地址转换(NAT)功能给VoIP网络带来了障碍。通过“pin-holing”和其它技术,安全供应商已经找到了适应VoIP基础设施、保证互操作的方法。
然而,随着网络威胁越来越复杂,防火墙在VoIP环境中的角色也从“保证通畅”演化为全面支持和保护整个基础设施。从IP电话、软电话和无线通信设备等最终用户终端,到H.323关守和SIP代理服务器等基础设施设备,企业范围的VoIP部署涉及范围越来越宽。简单拒绝服务(DoS)攻击的目的是影响IP语音基础设施的可用性,而全面的应用层攻击则主要针对VoIP协议本身。总之,威胁的确存在,并且在不断增长。
对于成功的VoIP实施,有三个关键因素必须考虑:
- VoIP安全性
- VoIP网络互操作性和协议支持
- VoIP供应商互操作性
下面的章节讨论了这几个方面。
*在本文中,“防火墙”一词用来指任何为VoIP网络提供外围安全功能的安全设备。实际上,现代安全设备已经超过了状态检查防火墙,采用深度数据包检测技术大大增强了安全能力。
VoIP安全性
VoIP安全性包括许多方面,但对于任何部署都必须考虑的主要因素包括接入、可用性和实现。
接入
VoIP呼叫容易受到会话劫持和中间人攻击。没有适当的安全措施,攻击者可以截取VoIP呼叫并修改呼叫参数/地址。这就为电话欺骗、身份窃取、呼叫重定向和其它攻击打开了大门。
即使不修改VoIP数据包,攻击者也可以窃听到通过VoIP网络传输的电话交谈。如果VoIP数据包无保护地通过因特网传输,攻击者就有机会获得所包含的信息。
对于标准的公共交换电话网络(PSTN)连接,截取对话需要物理上接触电话线或者小型交换机(PBX)。但对于通常是通过公共因特网和TCP/IP协议传输的话音/数据网络来说,并没有提供类似电话线的“物理线路”安全性。通过在网络基础设施的某些部分(如VoIP网关的出入口)访问和监视网络业务流,攻击者可以获取并重组VoIP数据包。利用公开可以获得的工具,如Vomit(http://vomit.xtdnet.nl),可以将这些数据包转换为.wav文件,这样攻击者就可以窃听,甚至录制并重放通话内容。
可用性
VoIP网络的可用性也是一个重要问题。PSTN网络的可用性达到99.999% - 攻击者要想影响其可用性必须物理上访问电话交换机或切断电话线。然而,对于没有保护的VoIP网络,针对关键点的简单拒绝服务(DoS)攻击就可以削弱或者中断话音和数据通信。
VoIP网络对于DoS攻击特别敏感,例如:
- 畸形请求DoS - 可以利用精心编制的协议请求来利用已知的漏洞,从而导致服务部分或全部中断。可以利用这种方法导致目标崩溃,也可以用来控制目标。
- 针对媒体的DoS - VoIP媒体由实时协议(RTP)数据包承载,因此容易受到攻击。例如,网络阻塞型攻击,或者是削弱或破坏终端设备(电话或网关)实时处理数据包的能力。
如果攻击者能够访问网络中媒体传输经过的部分,那么只需要简单地注入大量媒体数据包或者高服务质量(QoS)优先级的数据包就可以扰乱合法媒体数据包的传输。
- 基于负载的DoS - DoS攻击并不一定需要利用畸形数据包才能达到目的。向目标发送大量合法请求很容易就会使设计不好的系统瘫痪。
甚至不需要发送实际的VoIP请求,利用TCP SYN Flood这样的DoS攻击就可以使设备在相当长的一段时间内无法接收呼叫。
实现问题
VoIP涉及大量标准,如会话初始化协议(SIP)、H.323、媒体网关控制协议(MGCP)和H.248。这些复杂的标准会由于软件实现中的缺陷或错误而留下漏洞。对于PSTN,电话是简单的“哑终端”-
所有逻辑和智能都在PBX中。对于攻击者来说,破坏PSTN网络的访问可以使用的手段并不多。
然而对于VoIP,目前影响操作系统和应用的错误、缺陷和漏洞也同样适用于VoIP设备。不要忘记,目前许多VoIP呼叫服务器和网关设备都使用了脆弱的Windows和Linux操作系统。看看有关H.323[CERT-H.323]或SIP[CERT
- SIP]的CERT建议就可以了解已经发现如此大量的漏洞以及受到影响的十多家供应商的名单。
VoIP网络互操作性和协议支持
VoIP比基于TCP/UDP的标准应用更为复杂。由于VoIP信令和协议的复杂性,而且当防火墙利用网络地址转换(NAT)技术修改源地址和源端口信息时引入的不一致性,因此VoIP有效地通过防火墙比较困难。原因有几个。
- VoIP工作时采用两组协议 - 信令(在客户和VoIP服务器)和媒体(客户间)。每个对话中媒体协议(RTP/RTCP)所使用的端口/IP地址是由信令协议动态协商的。防火墙需要动态跟踪和维护这一信息,在适当的时候为会话安全地打开所选择的端口并适时关闭它们。
- 多个媒体端口通过信令会话动态协商;媒体端口的协商内容包含在信令协议的净荷中(IP地址和端口信息)。防火墙需要深入检测每个数据包来获得所需要的信息并动态维持会话,因此需要防火墙具备额外的处理能力。
- 源和目标IP地址嵌入在VoIP信令数据包中。支持NAT的防火墙对数据包在IP头一级进行IP地址和端口转换。更为不利的是,全对称NAT防火墙经常调整其NAT绑定,而且为了保护内部网络,可能会随时关闭允许外部数据包进入的针孔通道,从而使得服务供应商无法向内部网络的客户发送呼叫请求。
- 为有效地支持VoIP,NAT防火墙需要在数据包通过防火墙时进行深度数据包检测并转换嵌入的IP地址和端口信息。
- 防火墙还必须能够处理由不同VoIP系统所使用的不同消息格式组成的信令协议组。实际上,两家供应商采用了同样的协议组并不意味着他们之间就可以互操作。
VoIP供应商互操作性
有些VoIP供应商的产品所实现的协议与基于RFC的标准VoIP协议有少量不同,并不是所有都完全符合或兼容标准。而且,有些供应商采用了所谓“标准兼容的”专用VoIP协议。由于这一原因,防火墙能够与尽量广泛的VoIP终端设备和呼叫服务器实现互操作就非常重要。
最后,每家供应商都应当保证与其它供应商的设备是兼容的。SonicWALL在这方面投入了大量的时间和精力。SonicWALL设备可互操作的部分设备名单在本文档后面列出。
现有VoIP安全性解决方案
目前有多种针对VoIP基础设施安全保障方法。下表简要概述了主要的方法。
SonicWALL解决方法
SonicWALL公司的完全VoIP解决方案为VoIP基础设施提供了无与伦比的安全性,基于标准的VoIP兼容性,以及与全球大多数主要VoIP网关和通信设备的互操作性。
所有SonicWALL TZ 170 和 PRO 系列 (Gen 4) 安全设备都支持本文所描述的全面VoIP安全防护能力。这一点非常重要,因为VoIP网络的总体安全性取决于网络中最脆弱的链路,这些地方需要最高水平的保护,甚至在家庭办公和个人通信设备方面也是如此。
SonicWALL安全设备基于SonicOS版或增强版固件,具有内建的VoIP能力。利用SonicWALL增强版,用户可以获得更多呼叫监控和报告功能,以及更多更全面的服务质量(QoS)支持(例如,进入方向带宽管理)。
图 1.
SonicWALL VoIP 解决方法
SonicWALL VoIP解决方案的核心包括以下方面(将在本文后面的章节详细描述):
- 在整个VoIP呼叫期间的状态数据包检测和变换
- 安全性
- VoIP入侵防御、防病毒、内容过滤
- VoIP over WLAN,支持全面的威胁预防功能
- 检测并丢弃畸形恶意数据包
- 强制‘封闭’VoIP网络 – 防止非授权呼叫
- 架构
- 支持流式媒体和组播应用
- 任意设备组合可以位于任何区域(H.323 和 SIP 端点、H.323 关守、H.323 多点控制单元、SIP代理和重定向服务器)
- 网守和代理可以位于网络的任何位置,甚至在DMZ区
- 全对称NAT
- 丰富的报告
- 呼叫跟踪
- ‘异常’数据包日志
- 简化问题排除和调试过程
SonicWALL VoIP安全性
SonicWALL公司功能强大的深度检测技术为在VoIP基础设施中的所有点检测和强化业务流管理提供了一种灵活的框架。
VoIP服务器和端点
- 业务流合法性
对通过防火墙的每个VoIP信令和媒体数据包进行状态检测可保证所有业务流的合法性。对于攻击者来说,攻击所使用的主要方法就是利用特殊编制的数据包来窥探和利用软硬件实现的缺陷,从而导致目标设备出现缓冲区溢出等问题。SonicWALL能够在奇异或非法数据包到达目标之前检测到它们并将其丢弃。
- 对VoIP协议的应用层保护
SonicWALL入侵检测服务(IPS)能够为VoIP协议应用层提供全面保护。IPS集成了一个可配置的超高性能扫描引擎,配合动态更新和拥有1900多攻击和漏洞签名的数据库,可以保护网络免受最复杂的木马和变形威胁的影响。SonicWALL已经利用一系列VoIP相关的签名来扩展其IPS签名数据包,可以防止恶意业务流到达受保护的VoIP电话和服务器。
Figure 2 SonicWALL IPS GUI
- DoS 和 DDoS攻击保护
防止DoS和DDoS攻击,如SYN Flood、Ping of Death以及LAND(IP)攻击。这些攻击会造成网络或服务瘫痪。
- 验证采用TCO的VoIP信令数据包的顺序。不允许失序或在窗口外重传的数据包。
- 在每一TCP会话中采用随机TCP顺序号(在连接建立时由加密随机数生成器生成)并验证数据流,防止重放和数据插入攻击。
- SYN Flood保护保证了攻击者无法通过打开多个TCP/IP连接(并未完全建立 – 通常是采用欺骗源地址)来使服务器过载。
- 状态监控
状态监控保证数据包(即使表面上看起来正确)符合目前所关联的VoIP连接的状态。
- SonicWALL防病毒
SonicWALL防病毒产品保护软电话客户免受基于病毒的威胁,同时自动强制应用病毒定义DAT文件。这大大缩短了整个网络的防病毒策略管理所需要的时间,并降低了成本。
VoIP会话
- 无缝支持加密媒体
一些VoIP设备可以利用加密来保护VoIP会话期间交换的媒体数据,防止窃听和重放。
- 强认证和加密
SonicWALL公司的点到点(site-to-site)和远程移动用户IPSec VPN经过了ICSA认证,为远程用户、远程办公人员和分支机构访问网络资源提供了经济可靠和安全的远程访问通道。配置健壮的认证服务,可以利用公共密钥基础设施(PKI)和数字证书为因特网VPN用户提供强大的认证机制。
为保护不支持加密媒体传输的VoIP设备,IPSec VPN提供了完全的解决方案,可保证VoIP呼叫的私密性。
VoIP网络
- 无线局域网上的VoIP ( VoIP over WLAN)
SonicWALL利用其分布式无线解决方案将完全的VoIP安全性扩展到附属的无线网络。无论是利用内置802.11无线功能的TZ 170系列,还是配合使用PRO系列设备和SonicPoint
802.11a/b/g智能接入点,利用无线网络的VoIP设备可以拥有与SonicWALL设备后面有线网络上的VoIP设备一样的所有安全特性和优点。
- 通过带宽管理保证可用性和呼叫质量
带宽管理(包括入和出两个方向)可保证时间敏感的VoIP业务流所需要的带宽。通过连续监控和管理可用的带宽,SonicWALL可以保证VoIP设备享有呼叫所需要的带宽。
- WAN冗余和负载平衡
WAN冗余和负载平衡允许利用一个接口做为辅助或备份WAN端口。辅助WAN端口可采用简单的主/被(active/passive)设置,仅在主WAN端口故障和/或不可用时业务流才会路由到这个端口。辅助WAN端口还可采用更为动态的(active/active)配置,出口业务流被分配到主和辅WAN端口,以提供更大的吞吐能力。
- 高可用性
SonicWALL硬件故障切换能力可在系统故障时保证可靠连接的连接,从而保障了高可用性。
ChinaByte(e.chinabyte.com)
相关链接: