VoIP安全迫在眉睫_voip

VoIP安全迫在眉睫

2005/12/23

　　VoIP在安全方面的隐患，增加了网络风险，但同时，VoIP自身的特殊性，也可能为其提供防御之道。

　　VoIP，特别是企业级VoIP应当在安全方面引起人们的注意，还是有关它的威胁基本上属于一些别有用心的夸大其词？这就要看你是在跟谁说话了。

　　伯顿集团的高级分析师Irwin Lazar说：“企业VoIP安全方面的隐患被人为夸大了，人们把过多注意力放在了担心遭到攻击上，而不是放在实际有可能发生的问题上。”

　　思科公司的安全IP通信营销经理Roger Farnsworth也认为：“VoIP系统至少能够做到和传统的语音系统一样安全，而未来的IP技术和语音应用会使它们变得更安全。”

　　但Mark Collier并不完全认同，作为面向传统电话系统和VoIP的语音管理和安全平台厂商SecureLogix公司的CEO，他表示：“由于IP是VoIP的基础，期望VoIP比电子邮件、Web或者DNS更安全的想法是根本不现实的。”他认为，非常不可靠的IP机制决定了在其上的任何一种业务和应用都有可能被轻易地攻击，而电子邮件、Web、DNS等应用已经证实了这一点，匆忙地从服务可靠的传统企业电话转移到与电子邮件一样不安全的平台，属于不明智之举，现在最大的吸引力不过是VoIP能够更多地节约成本，而如果说安全上有所保障，他认为是不可取的。

仅仅是另一种应用

　　其实，企业VoIP实质上只是IP网络上的另一种应用，和电子邮件、Web浏览类似，如今典型的企业IP电话系统其基本要素包括：（1）呼叫控制服务器，它通常运行在Linux、Windows或者VxWorks等操作系统上；（2）VoIP客户机，或电话机或软电话；（3）VoIP网关，它位于网络边缘，负责在VoIP和公共交换电话网（PSTN）之间进行转换。

　　这些产品都使用标准的协议，通常是国际电信联盟（ITU）的H.323系列协议，或者因特网工程任务组（IETF）的会话初始化协议（SIP），主要用在服务器与客户机上。而媒体网关控制协议（MGCP）或Megaco/H.248协议则用于网关上，绝大部分企业VoIP系统共享数据网络，依赖和其他应用相同的路由器和交换机进行语音包传输，在理想情况下，还能与其他数据应用（包括消息传送）配合工作。

　　所以，VoIP系统和其他数据应用一样也容易遭到攻击，至少从理论上讲是这样。面临的一系列潜在威胁包括：拒绝服务攻击、病毒、蠕虫、特洛伊木马、数据包嗅探、垃圾邮件和网络钓鱼，还会遭到垃圾邮件的侵扰（例如带宽被占用时，VoIP的效果将大打折扣，甚至出现连接中断现象），而且网络钓鱼也容易得逞，只要假冒拨号人的身份信息，就可以伪装成某家合法机构的代表拨打VoIP电话。

　　但是VoIP也有其便利之处。BorderWare科技公司的技术副总裁Andrew Graydon说：“如果我想打100个电话，就得拨100次电话或者使用自动拨号器。但有了IP连接，我可以把一个WAV文件上传到巴哈马群岛的一台计算机上，按一下键，马上就能发给2000名员工。” 而且，厂商和分析人士强调说，由于IP PBX运行在不同的操作系统（通常经过精简和加固）上，并结合使用不断发展的标准和更多的专有协议，譬如思科的Skinny呼叫控制协议，从而使VoIP应用比通常的数据应用更难成为攻击目标。

　　还有可能面临的威胁是中间人攻击（黑客伪装成SIP代理，然后记录所有呼叫活动）以及信任关系利用，例如闯入与VoIP服务器有着信任关系的数据服务器，从而获得对VoIP服务器的访问；还有话费欺诈，主要的做法是通过闯入语音网关，花别人的钱盗打国际长途电话；再有就是窃听，如果用户可以访问网络，并且拥有两种随手可得的免费工具TCPdump和呼叫偷听器（VOMIT），就能重新组装基于IP的语音会话，把它转换成标准的WAV语音文件。

　　此外，VoIP系统常常依赖易受攻击的应用来正常运行。Collier说：“微软SQL Server遭到了SQL Slammer的攻击，但因为思科的Call Manager电话服务器依赖SQL Server，因此它同样有可能遭受来自SQL Slammer的破坏。”

时延问题

　　与其他应用相比，VoIP也面临自己的独特挑战。据Gartner公司负责联邦业务分析的主管David Fraley声称，为了达到和PSTN相媲美的语音质量，单向流量的时延不得超过150毫秒，否则用户体验将非常糟糕。“语音编码可能占用长达30毫秒的时间，而横跨相当远的距离在公共IP网络上传送的语音呼叫可能占用长达100毫秒、甚至125毫秒的时间。”而这还没有算上防火墙、加密和入侵防御等安全措施所带来的时延。

　　大多数主流防火墙并没有把VoIP考虑在内，也没有顾及SIP和H.323的一些特殊情况。譬如说，SIP至少使用三个端口号，其中只有一个是静态的；H.323使用端口7和端口11就属于静态端口，从防火墙内外开始建立会议时，SIP和H.323都使用TCP和用户数据报协议（UDP）。这就意味着你必须在标准防火墙上打开大量端口，而这从面临的威胁角度来看是相当令人头疼的，除了包头里面的IP地址外，SIP和H.323还嵌入了IP地址，所以入站呼叫在防火墙和路由器的传统NAT设置上可能会遇到问题。

　　运营商和一些大型企业可以选用价格稍微昂贵的设备，例如会话边界控制器（SBC）等，来处理NAT和开放端口问题。CheckPoint、Juniper和WatchGuard等各大防火墙和入侵防护系统厂商出品的较新型防火墙产品也开始具有较强的VoIP功能，采用NAT穿透技术，就能根据对VoIP会话进行严格监控，动态地打开及关闭端口，甚至实现某些服务质量（QoS）特性，不过这往往意味着需要不断地升级软硬件（即追加投资），所以购买之前应当慎重考虑。

寻找解决之道

　　鉴于所有这些潜在的威胁和安全漏洞，VoIP用户会不会很快发现自己面临服务中断和窃听的困扰？到目前为止，还没有出现针对企业VoIP系统的破坏性极大的大规模攻击，但并不意味着这种安全感状况会一直延续，分析人士给出了几个令人信服的理由。

　　首先，大多数较新的企业VoIP解决方案是封闭系统，语音数据包只是在普通局域网上传送，而大部分外部流量通过网关在PSTN上传送。Gartner的Fraley说：“如果你只在局域网上传送VoIP流量，就比较容易获得PSTN音质并确保安全。”办公室间的流量通常在受保护的办公室到办公室的连接上进行传送，因此在很多情况下，保护内部VoIP意味着对呼叫服务器、交换机和网关的安全进行加固，并且使用合适类型的防火墙和入侵防护系统对它们进行保护。

　　厂商还建议把局域网上的语音流量与数据流量进行隔离，保护语音流量远离恶意软件、窃听和拒绝服务攻击。如果为语音构建独立的基础设施，VoIP节省成本的好处就荡然无存。不过，你所用交换机具有的802.1q特性提供了很多同样种类的保护，可以把语音和数据放在不同的虚拟局域网（VLAN）上；而且利用具有语音识别功能的防火墙以及/或者入侵防护系统，保护语音VLAN与数据VLAN之间的交汇点，譬如消息传送服务器。实际上，Cisco提供采用其最新版本的Call Manager的内置入侵防护系统。

　　Farnsworth说：“合理使用VLAN还可以防止偶然的VoIP嗅探行为。”他又说，现在比较容易针对语音应用采取恰当的安全措施。

　　VoIP厂商和安全专家说，最好避免使用软电话（即运行在PC上的电话软件），而改用IP电话机，因为软电话几乎不可能隔离语音和数据。把IP电话机的IP地址绑定到其媒体访问控制（MAC）地址不失为有助于挫败IP地址欺诈的一个好办法。有几种解决方案使用数字证书用于设备和服务器验证，你还可以要求提供口令或者个人身份识别号才能使用IP电话。对语音－信令数据及VoIP管理交互信息进行加密非常重要；在高度安全的环境下，甚至有必要对语音流进行加密。

未来挑战

　　这些观点在今天很具有针对性，也容易实施，但将来呢？随着各种网络工具的不断出现，侦听工具及黑客关注范围的不断扩展，情形又会如何？Graydon说：“最根本的是，企业希望利用VoIP节省国际长途电话费。”这意味着，用VoIP干线取代ISDN的基群速率接口（PRI）和PSTN干线，以便把呼叫转发至离国际电话目的地比较近的那个网关，成为最终的目标所在。

　　Graydon说：“一旦企业向因特网敞开VoIP，就可能会给自己的网络带来可能重大的安全漏洞。”实际上，封闭型企业VoIP系统的日子已经过去了。Graydon还指出，电信公司正在把内部基础设施由铜线上的PSTN改为光纤上的IP，以减少自身的费用，并逐渐使用与其他提供商之间的基于IP的对等连接。他说：“重大的IP融合现象正在这方面悄然出现。”Collier同意这番观点，他说：“一旦MCI（美国电信运营商，编者注）的VoIP网络有1000个客户在使用，要控制安全威胁将变得异常困难。”

　　怀疑人士指出，避免使用软电话、把语音与数据完全隔离是不现实的。Collier说：“语音与数据的互相联系正是所有那些新颖的融合应用不断发展的方向。”Jeff Rothel是利用BorderWare公司的VoIP安全解决方案来提供企业VoIP服务的CentricVoice公司的CEO，他赞同这种说法：“我们计划继续推出把语音直接集成到企业数据应用的软件层当中的众多服务。”事实上，Rothel及其他人看到了这股潮流，企业从大大小小的许多提供商购买一系列语音服务和应用，它们统一使用IP和SIP标准。

　　Rothel声称，传统的语音提供商不是特别了解潜在的VoIP威胁。“其中有许多提供商根本不懂数据领域。它们从未遇到过导致PSTN交换机瘫痪的病毒。”

　　还有一些颠覆性的应用，譬如来自Skype及其他提供商的对等语音应用。“如今出现了一大批并不符合标准的企业VoIP环境的VoIP应用，它们可能会渗透到企业当中。”David Endler说。此人是入侵防护系统提供商TippingPoint（现隶属3Com公司）的安全研究主管兼VoIP 安全联盟主席。VoIP 安全联盟是由旨在促进安全研究的多家VoIP和安全厂商组成的组织。

　　怀疑人士还指出，VoIP厂商建议的许多安全措施不是特别实用，也没有得到广泛应用。SecureLogix的Collier说：“当然你可以实施语音与信令加密以及强验证等机制，但它们配置起来是件头痛的事。”IT安全提供商Sentegrity公司的CTO Brian Ham说，当前的密钥交换标准如Diffie-Hellman密钥协商协议扩展性不够好，无法应用于广泛实施VoIP验证和加密机制：“如果你看一下论坛、公布板和行业领导者，就会发现大家都在问：‘我们如何才能进行合理的密钥交换？’”Sentegrity提供自己的轻便型密钥交换解决方案。

面临攻势

　　IP电话系统一直没有遭到大规模的攻击并不意味着这类攻击不会发生。BorderWare透露，呼叫中心和金融机构早已遭到了攻击，不过该公司官员不愿透露这些机构的名字。

　　Collier说：“除非某项技术得到广泛部署、自动发动攻击的工具出现在大众面前，否则你通常不会看到大规模的威胁。”Endler也认为：“随着应用得到更广泛的部署，它们会成为更有吸引力的攻击对象。” BorderWare、SecureLogix甚至TippingPoint等VoIP安全厂商已经开始提供专门的VoIP防火墙和入侵防护系统，旨在防范可能会在将来影响VoIP的应用层漏洞。

　　最终，VoIP可能会开始遭到困扰电子邮件、即时消息及其他PC通信方式的同样类型的入侵。好消息是，VoIP和安全厂商已开始及早处理这些问题。Kuhn说：“毫无疑问，VoIP安全选项功能很快变得越来越好。”他又说，语音应用和数据应用相融合的好处如此之大，安全问题不可能阻碍用户部署它们。

　　Sentegrity的CEO James Largotta也认为：“VoIP的想法太棒了。一旦部分缺陷得到了解决，它差不多会大获成功。”

计算机世界网(www.ccw.com.cn)