首頁(yè) >> 新聞

“突破”IP電話網(wǎng)絡(luò)

2004/08/20

  IP電話網(wǎng)絡(luò)能防黑客嗎?最近,美國(guó)《網(wǎng)絡(luò)世界》對(duì)這個(gè)問(wèn)題進(jìn)行了有史以來(lái)第一次公開(kāi)測(cè)試,結(jié)果是肯定的。同時(shí),測(cè)試活動(dòng)也說(shuō)明:能否防黑客在很大程度上取決于你用的是哪個(gè)廠商的IP PBX,而且更重要的是,取決于你是否愿意為了防黑客在網(wǎng)絡(luò)安全規(guī)劃、網(wǎng)絡(luò)和人力資源以及額外的安全設(shè)備方面投入金錢(qián)和時(shí)間。

  思科和Avaya兩家公司的產(chǎn)品參加了這次橫向評(píng)測(cè)。在測(cè)試中,美國(guó)《網(wǎng)絡(luò)世界》制訂了一項(xiàng)計(jì)劃,以評(píng)估各廠商的IP電話產(chǎn)品在對(duì)抗堅(jiān)定的惡意攻擊者時(shí)的實(shí)際安全度。按照測(cè)試的基本原則,給4人攻擊小組設(shè)定了一些限制。例如,只能用黑客工具及可在Internet上獲得的攻擊手段; 攻擊必須通過(guò)最終用戶數(shù)據(jù)端口或IP電話連接發(fā)起,就像黑客進(jìn)入了辦公室中的標(biāo)準(zhǔn)小隔間一樣;攻擊者不能拆開(kāi)廠商的IP電話系統(tǒng)進(jìn)行仔細(xì)研究;等等。

  攻擊的目標(biāo)是破壞電話通信。攻擊小組通過(guò)數(shù)據(jù)和IP電話連接,用掃描工具和其他技巧來(lái)了解他們能對(duì)系統(tǒng)拓?fù)渥鍪裁。攻擊小組預(yù)先不知道廠商的任何配置信息。這些“黑客”在找到一些“目標(biāo)”后,就有系統(tǒng)地發(fā)起多次攻擊,有時(shí)同時(shí)攻擊多個(gè)目標(biāo)。

  因?yàn)槭艿交驹瓌t和測(cè)試時(shí)間的限制,所以需要說(shuō)明的是:對(duì)這些產(chǎn)品發(fā)起的攻擊不像在實(shí)際情況中可能遇到的攻擊那么嚴(yán)重。6位安全專(zhuān)家對(duì)此表示,這些攻擊屬于中等強(qiáng)度。

思科:“無(wú)法被破壞”的系統(tǒng)

  思科的方案配置為:一個(gè)基于中檔CallManager的系統(tǒng),具有呼叫控制、話音郵件和網(wǎng)關(guān);基于Catalyst 4500和Catalyst 6500的第二層/第三層基礎(chǔ)設(shè)施;大量入侵檢測(cè)系統(tǒng)(IDS)和PIX防火墻安全附加軟件。

  測(cè)試結(jié)果表明,采用了復(fù)雜攻擊手段的攻擊小組無(wú)法破壞思科公司的VoIP網(wǎng)絡(luò),甚至無(wú)法對(duì)其造成顯著的干擾。這套精心制造的IP電話系統(tǒng)(包括第二層和第三層基礎(chǔ)設(shè)施以及各式各樣的附加安全軟件)是“安全的”(參見(jiàn)表中所示的VoIP安全評(píng)價(jià)標(biāo)準(zhǔn)),它最大限度地全面發(fā)揮了思科公司的網(wǎng)絡(luò)安全專(zhuān)長(zhǎng),利用了思科公司擁有的每一種防御武器。

  與大多數(shù)用戶目前使用的系統(tǒng)相比,本次測(cè)試的思科拓?fù)浞桨傅拇_具有更安全的選項(xiàng)和更嚴(yán)格的安全設(shè)置,不過(guò)所有可選產(chǎn)品目前都收費(fèi)提供。

特別的CallManager

  4.0版CallManager處理呼叫控制軟件,是思科公司IP電話解決方案的核心,其中包括一些有關(guān)安全的新功能,主要的是該公司第一個(gè)VoIP加密功能。這次,只有思科公司較新的7970 IP電話機(jī)支持話音流(實(shí)時(shí)傳輸協(xié)議,Real-time Transfer Protocol,簡(jiǎn)稱RTP)加密。據(jù)思科公司透露,最新的CallManager除了運(yùn)行在Windows 2000操作系統(tǒng)上,還有新的增強(qiáng)功能。對(duì)本次的測(cè)試而言,這意味著關(guān)閉了一些開(kāi)放端口以及禁用了一些不必要的服務(wù)。

  在所測(cè)試的各個(gè)Catalyst IOS版本中包含了一些令人印象深刻的網(wǎng)絡(luò)自防御功能,如把IOS 12.2(17b)sxa放在核心Catalyst 6500上,把IOS 12.1(20)ew放在接入Catalyst 4500上。這些功能在阻止攻擊方面,比思科拓?fù)渲腥魏纹渌M件貢獻(xiàn)都大,因?yàn)樗鼈兪堑谝痪防御措施,其中包括:流量策略和承諾接入速率、第二層端口安全性、第二層動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol,簡(jiǎn)稱DHCP)監(jiān)聽(tīng)、動(dòng)態(tài)地址解析協(xié)議(Dynamic Address Resolution Protocol ,簡(jiǎn)稱ARP)檢查、IP源保護(hù)(IP Source Guard)以及虛擬LAN(VLAN)訪問(wèn)控制列表。

  Cisco安全代理(Cisco Security Agent,簡(jiǎn)稱CSA)是一個(gè)基于主機(jī)的防入侵系統(tǒng)(IPS),現(xiàn)在是CallManager IP電話服務(wù)器中的安全組件的組成部分。它還用在思科的Unity話音郵件服務(wù)器和所有在思科的網(wǎng)絡(luò)拓?fù)渲惺褂玫钠渌鸚indows 2000服務(wù)器上(總共7個(gè)CSA代理)。CSA代理自動(dòng)運(yùn)行,無(wú)需值守,在服務(wù)器上提供一些強(qiáng)大的安全措施,包括:
兩個(gè)“小小擔(dān)心”

  經(jīng)過(guò)3天的攻擊后,攻擊小組未能發(fā)現(xiàn)對(duì)電話通信有可察覺(jué)到的破壞。對(duì)所測(cè)試的思科系統(tǒng),僅有兩個(gè)小小的擔(dān)心。

  首先,我們的“黑客”很容易在IP電話機(jī)連接中插入一個(gè)無(wú)源探頭。從這個(gè)有利地點(diǎn),他們可以觀察和收集全部信息流細(xì)節(jié),包括協(xié)議、地址,甚至可以捕獲RTP。不過(guò),進(jìn)出Cisco 7970電話的VoIP信息流可以是128位加密的。本次活動(dòng)的“黑客”小組也承認(rèn),它不太可能解密這些信息流。

  第二點(diǎn),通過(guò)插入的探頭收集網(wǎng)絡(luò)信息后,“黑客”們就可以插入他們自己的計(jì)算機(jī),獲得對(duì)話音VLAN的訪問(wèn)并向VLAN上的其他設(shè)備發(fā)送信息流。不過(guò),他們無(wú)法假冒一個(gè)IP電話或用欺騙手法進(jìn)行IP電話呼叫。由于所有其他控制手段的存在,他們無(wú)法進(jìn)一步利用該系統(tǒng)。

  有一個(gè)按照思科說(shuō)明配置的防火墻,在任何方向都不傳輸信息流,這也許是安全的,但是卻不很實(shí)用。還有一個(gè)易受攻擊的服務(wù),被錯(cuò)誤地留在一個(gè)節(jié)點(diǎn)上運(yùn)行。雖然這些問(wèn)題都被迅速解決了,但也說(shuō)明,即使制訂得最好的安全性計(jì)劃,也可能因?yàn)椴磺‘?dāng)或不正確的設(shè)置而受到影響甚至損害。

Avaya:兩種配置 評(píng)價(jià)不同

  Avaya提供了兩種配置: 一種是沒(méi)有周邊產(chǎn)品、開(kāi)箱即用的Avaya IP電話實(shí)施方案,這種設(shè)備沒(méi)有額外收費(fèi)的安全選項(xiàng);另一種是最高安全性配置,VoIP設(shè)備相同,但是有附加防火墻和Extreme網(wǎng)絡(luò)公司的第二層/第三層基礎(chǔ)設(shè)施交換機(jī)。安全方面的弱點(diǎn)使基本的Avaya配置獲得了不好不壞的評(píng)價(jià); 而加強(qiáng)的產(chǎn)品組合綜合評(píng)價(jià)為“有抵抗力的”(參見(jiàn)表中所示的VoIP安全評(píng)價(jià)標(biāo)準(zhǔn))。

方案一:雖有安全機(jī)制,卻難免受到攻擊

  Avaya公司為參與安全評(píng)估提交的第一個(gè)方案根本沒(méi)有第三層網(wǎng)絡(luò)基礎(chǔ)設(shè)施,所有IP通信都通過(guò)一個(gè)扁平的交換式第二層網(wǎng)絡(luò),這個(gè)網(wǎng)絡(luò)分成兩個(gè)相互隔離的VLAN,一個(gè)用于話音,另一個(gè)用于數(shù)據(jù);沒(méi)有使用防火墻。盡管如此,它確實(shí)具有各種各樣固有的安全機(jī)制。例如:
  不過(guò),Avaya的呼叫控制信息沒(méi)有加密,用于IP電話驗(yàn)證的口令也不是很強(qiáng)壯。而Avaya Cajun P333交換機(jī)確實(shí)具有一些安全功能。

  攻擊小組成功突破和監(jiān)視思科系統(tǒng)的兩種主要技巧在Avaya環(huán)境中同樣很奏效!昂诳汀眰兛梢院苋菀椎卦贗P電話連接中插入一個(gè)無(wú)源探頭,觀察和收集全部信息流細(xì)節(jié)。進(jìn)出Avaya 4620 IP電話的VoIP流也進(jìn)行了加密!昂诳汀眰冞能把他們自己的計(jì)算機(jī)插入系統(tǒng),訪問(wèn)話音VLAN,與VLAN上的其他設(shè)備聯(lián)系,但是不能假冒IP電話或用欺騙手法進(jìn)行IP電話呼叫。

  攻擊小組發(fā)現(xiàn)了一些可以用來(lái)破壞話音通信的嚴(yán)重弱點(diǎn)。比如,連續(xù)幾分鐘向一個(gè)IP電話發(fā)送特殊類(lèi)型的高速信息流后,該電話在很多情況下會(huì)重新啟動(dòng)。這種重新啟動(dòng)使得電話易于受到第二步攻擊——傳遞少量的特殊信息包,這使該電話陷于禁用狀態(tài)達(dá)20分鐘。另外,Avaya IP電話后部的交換機(jī)數(shù)據(jù)端口利用所附的VLAN標(biāo)簽接受和傳遞用戶信息流,使黑客更容易搞破壞。

方案二:“抵抗力”大大增加

  Avaya正式表示,關(guān)于VoIP基礎(chǔ)設(shè)施之下的第二層和第三層設(shè)備,其IP電話系統(tǒng)是交換機(jī)不可知的。因此在第二個(gè)方案的測(cè)試中,用Extreme公司的第二層/第三層交換機(jī)取代了第一輪測(cè)試中使用的Avaya Cajun P333交換機(jī)(Extreme是Avaya的合作伙伴)。從結(jié)構(gòu)上看,增加的第三層IP路由和其他主要的配置變化防止了第一輪測(cè)試中所用的攻擊。

在這個(gè)方案中,使安全性得到增強(qiáng)的一些變化包括:
  Extreme Alpine可以限制它傳遞給已知的IP電話MAC地址的信息量。這意味著,黑客必須假冒合法IP電話的MAC地址來(lái)通過(guò)Alpine發(fā)送信息流。這也正是我們的攻擊小組所采用的方法。我們的攻擊小組設(shè)計(jì)的無(wú)源監(jiān)視電纜可以捕獲所有使用中的網(wǎng)絡(luò)地址,在這一配置增強(qiáng)的Avaya系統(tǒng)中也一樣。

  SG208防火墻配置成僅讓特定端口的信息流進(jìn)出呼叫控制設(shè)備。只有在狹窄的特定UDP端口范圍內(nèi)的信息流才允許傳遞到媒體處理模塊,只有與Avaya基于H.323的呼叫控制信令有關(guān)的端口和協(xié)議才傳遞到CLAN模塊。“黑客”們沒(méi)用多少時(shí)間就用簡(jiǎn)單的技巧推斷出哪個(gè)端口是開(kāi)放的。根據(jù)他們的監(jiān)視結(jié)果,呼叫處理是H.323。這意味著某些端口一定處于使用中,用偽造的真實(shí)電話IP身份,他們能夠與呼叫控制基礎(chǔ)設(shè)施聯(lián)系并得到響應(yīng)。

  在第一輪測(cè)試中成功攻擊了其他IP電話的方法對(duì)這次的配置不再起作用了。但是攻擊小組找到了另一個(gè)脆弱點(diǎn)。通過(guò)用特定協(xié)議和端口向呼叫控制設(shè)備發(fā)布一個(gè)非常小的信息包,可以阻止IP電話注冊(cè)。在通常情況下,這只會(huì)影響很少量的電話,因?yàn)镮P電話只在第一次插入時(shí)才注冊(cè)。

  因此,除非一個(gè)電話移動(dòng)或斷開(kāi)連接,它通常不需要重新注冊(cè)。另外,只要把很小量的信息流持續(xù)發(fā)送到呼叫控制器,也可能阻止電話注冊(cè)。Avaya表示,要消除這一脆弱點(diǎn),呼叫控制軟件需要增加一個(gè)修補(bǔ)軟件,該公司承諾要解決這個(gè)問(wèn)題。


VoIP安全性測(cè)試的基本原則

  為了對(duì)所有廠商的產(chǎn)品進(jìn)行一致的測(cè)試,要在測(cè)試之前,用這些基本原則設(shè)定一個(gè)公平的評(píng)測(cè)環(huán)境。

  1. 廠商完全控制IP電話環(huán)境及其下的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,采用哪些產(chǎn)品以及每個(gè)產(chǎn)品如何配置,完全由廠商決定。

  2. 模擬的是僅用于局域網(wǎng)的中檔VoIP環(huán)境(校園或大樓),不會(huì)通過(guò)遠(yuǎn)程分布式場(chǎng)所之間的WAN傳輸VoIP信息流。

  3. 安全設(shè)置不能限制IP電話和第二層/第三層數(shù)據(jù)連網(wǎng)功能,包括從PSTN進(jìn)出的普通IP電話呼叫。

  4. 配置完成后,廠商不能主動(dòng)操縱或重新配置其網(wǎng)絡(luò)。但是它們可以繼續(xù)被動(dòng)地監(jiān)視安全警報(bào)/報(bào)警日志。

  5. 所有攻擊都將從以下這些特定攻擊點(diǎn)發(fā)出:

  a. 通過(guò)辦公室隔間中的數(shù)據(jù)LAN端口,攻擊者可以合法進(jìn)入這些端口(例如有效MAC地址)。

  b. 通過(guò)辦公室隔間IP電話,攻擊者有這些IP電話的使用權(quán),包括電話機(jī)后面用于臺(tái)式機(jī)或膝上型機(jī)的“數(shù)據(jù)交換機(jī)端口”,其典型的代表是“內(nèi)部人攻擊”方案。

  6. 所有攻擊都將使用或基于可在Internet上公開(kāi)獲得的工具或攻擊手段。不能使用新程序或其他獨(dú)特或定制的攻擊手段。

  7. 攻擊者不能獲得、分解并仔細(xì)研究廠商的IP電話系統(tǒng)硬件。

整體評(píng)價(jià)

  本次測(cè)試結(jié)果反映了保證網(wǎng)絡(luò)安全的一個(gè)原則:有效的安全性必須涉及網(wǎng)絡(luò)的所有層。思科在第二層和第三層(Catalyst交換機(jī))、第四層和第五層(防火墻和IPS)、第六層(RTP話音流加密,不過(guò)仍然僅限于某些電話)以及第七層(用基于服務(wù)器的軟件,如CSA)采用了有效的措施。

  Avaya的第一次配置只有有限的第二層防御措施,除了第六層,在第三層及其上的防御措施很少。值得贊揚(yáng)的是,Avaya的所有電話上確實(shí)都有很好的RTP加密(第六層)支持。Avaya增強(qiáng)的最高安全性配置更有效地保證了第三層、第四層和第六層的安全,但仍然有一些漏洞。

  VoIP安全問(wèn)題是由IP電話的普及和增長(zhǎng)催生的,這是一個(gè)至關(guān)重要的問(wèn)題。我們也希望其他IP電話系統(tǒng)廠商參加到保證VoIP安全的戰(zhàn)斗中來(lái)。

計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)
分類(lèi)信息:      文摘