首頁(yè)>>>技術(shù)>>>VoIP

VoIP:安全領(lǐng)域的尼斯湖怪獸?

2006/01/17

  當(dāng)越來越多VoIP安全的話題在媒體上露面時(shí),現(xiàn)實(shí)的應(yīng)用中,卻很少遇到實(shí)際的災(zāi)難事件。 于是,一些人開始困惑,VoIP安全威脅到底是椅子下面的定時(shí)炸彈,隨時(shí)可能引爆;還是傳說中的尼斯湖怪獸,只存在于人們的想象里……

誰的奶酪?

  “對(duì)于VoIP安全問題的擔(dān)憂,也許最大的原因并不是來源于技術(shù)本身,而是這個(gè)市場(chǎng)!辟愰T鐵克中國(guó)區(qū)首席安全顧問田成一語中的。

  的確,如果單從技術(shù)角度講,VoIP就是將語音通過數(shù)據(jù)包的方式來傳輸,它并不會(huì)比現(xiàn)有的數(shù)據(jù)網(wǎng)絡(luò)“更不安全”。然而這一市場(chǎng)巨大的含金量,卻注定讓它像藏在身上的巨款一樣,無論怎么包裹,總會(huì)讓人感到忐忑不安。

  根據(jù)市場(chǎng)調(diào)研公司In-Stat的預(yù)計(jì),從2005年至2009年,亞洲地區(qū)VoIP市場(chǎng)每年將增長(zhǎng)10億美元,2009年該市場(chǎng)規(guī)模將從目前的50多億美元飛躍到100億美元,同期用戶數(shù)量將增長(zhǎng)一倍以上。到那時(shí),VoIP將占到全球電話通信量的近一半。而且據(jù)行業(yè)分析家預(yù)計(jì),企業(yè)的應(yīng)用將更為廣泛,估計(jì)全球2000強(qiáng)公司到2009年,有三分之二將采用VoIP作為主要的語音通信方式。

  作為通信業(yè)歷史上最具革新性的技術(shù),VoIP是一塊令所有人垂涎欲滴的奶酪,當(dāng)然,對(duì)于黑客而言也不例外。現(xiàn)在所有的安全企業(yè)在談到新的安全威脅時(shí),都會(huì)強(qiáng)調(diào)一句話:那就是,黑客攻擊越來越受到經(jīng)濟(jì)利益的驅(qū)動(dòng)。對(duì)他們來說,擺在眼前的VoIP無疑就是一座金山,不要說涉及商業(yè)機(jī)密的語音仿冒與竊取,單單是話費(fèi)盜取和欺詐(比如入侵語音網(wǎng)關(guān),花別人的錢打國(guó)際長(zhǎng)途電話),以及發(fā)送語音垃圾郵件,就會(huì)產(chǎn)生驚人的收益。

  田成表示,“盡管從目前來看,賽門鐵克全球監(jiān)測(cè)網(wǎng)發(fā)現(xiàn)針對(duì)VoIP的攻擊報(bào)告很少,但隨著VoIP作為新的通信技術(shù)得到廣泛認(rèn)可和部署,攻擊者將它作為集中攻擊目標(biāo)只是時(shí)間問題!

  雖然有些人認(rèn)為,由于VoIP這樣的服務(wù)大多是由電信運(yùn)營(yíng)商來操控的,安全方面的問題可以依靠管制政策來控制,但是,VoIP的應(yīng)用遠(yuǎn)遠(yuǎn)不只于語音,而且由于IP網(wǎng)絡(luò)跨越國(guó)界,很難在全球范圍內(nèi)實(shí)現(xiàn)一致的管制,就可行性而言,VoIP的安全性問題,還是應(yīng)該主要通過技術(shù)手段來解決。那么從技術(shù)層面來看,VoIP安全的癥結(jié)究竟在那里呢?

軟肋有多軟

  如果用戶就VoIP的安全問題去咨詢,那么在IP通信商和專業(yè)安全廠商那里會(huì)得到截然不同的答案。前者認(rèn)為VoIP系統(tǒng)至少同傳統(tǒng)的語音系統(tǒng)一樣安全,而后者則認(rèn)為其安全問題比電子郵件、Web應(yīng)用等更加嚴(yán)重。

  當(dāng)然,這是站在不同利益立場(chǎng)上的發(fā)言,不過,單從技術(shù)上來看,在VoIP環(huán)境中,話音和數(shù)據(jù)一樣是一個(gè)個(gè)的“包”,它沒有理由可以躲避開各種病毒和黑客攻擊的困擾。從理論上來講,眼下黑客對(duì)數(shù)據(jù)網(wǎng)絡(luò)的所有攻擊手段,都有可能被應(yīng)用到IP語音之上。

  比如話費(fèi)盜取和欺詐,雖然IP話機(jī)不能通過并線的方式撥打電話,但通過竊取使用者IP電話的登錄密碼同樣能夠獲得話機(jī)的權(quán)限。這就如同在一根普通模擬話機(jī)線上又并接了一個(gè)電話一樣。再比如語音網(wǎng)頁(yè)仿冒,語音欺詐等。

  田成也介紹說,未來垃圾郵件的泛濫,同樣可能出現(xiàn)在VoIP系統(tǒng)之上。黑客會(huì)使用和尋找電子郵件地址一樣的目錄獲取攻擊,尋找出大量的合法IP電話地址,然后將一段wav文件放到某臺(tái)計(jì)算機(jī)上,就可以發(fā)送大量垃圾語音郵件,并且通過假造的IP電話地址,讓人無從追查。

  總之,如果“幸運(yùn)”的話,包括病毒、蠕蟲、木馬、DoS攻擊、垃圾郵件、網(wǎng)絡(luò)釣魚等這些“老朋友”,你都可能在VoIP環(huán)境中再次碰到。

  那么,為什么到目前為止,我們?cè)谝呀?jīng)應(yīng)用的VoIP系統(tǒng)中,并沒有看到大規(guī)模的攻擊事件,難道這些威脅只是存在于技術(shù)的理論層面嗎?

  對(duì)此,Juniper高級(jí)系統(tǒng)工程師王衛(wèi)認(rèn)為,之所以目前VoIP還沒有任何關(guān)于大規(guī)模網(wǎng)絡(luò)攻擊或安全系統(tǒng)遭破壞的報(bào)道,究其原因,很大程度上是因?yàn)閂oIP本身尚未成熟,比如大量的非標(biāo)準(zhǔn)化和互操作性問題,這些問題一方面給VoIP的部署應(yīng)用帶來了巨大的麻煩,但另一方面,也給黑客的攻擊造成了很大的障礙。

  我們知道,開放的、標(biāo)準(zhǔn)化的體系最容易受到病毒和惡意攻擊的影響,而眼下,VoIP廠商和服務(wù)提供商們?cè)跒榭蛻舭惭b系統(tǒng)時(shí),通常提供不同種類的防火墻、私有協(xié)議、預(yù)防侵入系統(tǒng)和其他一些保護(hù)裝置。此外,很多企業(yè)VoIP解決方案通常是封閉的系統(tǒng),分組語音只在LAN上傳送,而大多數(shù)外部傳輸流經(jīng)過網(wǎng)關(guān)在PSTN上傳送。不過,隨著VoIP的不斷成熟演進(jìn),走向開放、標(biāo)準(zhǔn)化、純IP的體系是必然趨勢(shì),到那時(shí),VoIP將因?yàn)楹芏嗾Z音和數(shù)據(jù)的融合應(yīng)用,向整個(gè)互聯(lián)網(wǎng)開放,而安全問題也必將隨之大量爆發(fā)。

威脅防護(hù)與盲人摸象

  現(xiàn)實(shí)的情況是,由于沒有看到嚴(yán)重的VoIP安全事件,很多企業(yè)總是在已經(jīng)部署VoIP之后,在逐漸依賴這一系統(tǒng)時(shí),才開始逐步意識(shí)到安全的重要性。企業(yè)擔(dān)心的安全問題主要包括通過電話記錄或者語音郵件泄漏公司敏感的信息、竊聽、惡意軟件導(dǎo)致的系統(tǒng)崩潰和其他惡意攻擊、以及機(jī)構(gòu)內(nèi)部和外部人員不正當(dāng)?shù)厥褂谜Z音服務(wù)等。

  要完全實(shí)現(xiàn)這些安全保障,企業(yè)需要在不同的網(wǎng)絡(luò)層次實(shí)施各種安全措施,如認(rèn)證、語音傳輸?shù)募用、分離語音和數(shù)據(jù)網(wǎng)絡(luò)、對(duì)語音服務(wù)器實(shí)施實(shí)時(shí)監(jiān)控,應(yīng)用一些專門防止黑客入侵和計(jì)算機(jī)病毒的產(chǎn)品如防火墻等。

  顯然,企業(yè)要一步做到所有這些是相當(dāng)困難的,而且在目前的情況下也并不必要。在對(duì)待VoIP的安全問題上,我們不能像盲人摸象一樣,每碰到一處就盲目放大,而是要根據(jù)實(shí)際的應(yīng)用,結(jié)合當(dāng)前主要的威脅所在,尋找適宜的防護(hù)方案。王衛(wèi)認(rèn)為目前VoIP的主要威脅可能來自于DoS,應(yīng)該盡量降低網(wǎng)絡(luò)暴露,加強(qiáng)網(wǎng)關(guān)的防護(hù)能力。

  在網(wǎng)絡(luò)的安全保護(hù)方面,人們首先最容易想到的產(chǎn)品就是防火墻。不過用傳統(tǒng)的防火墻來解決VoIP的安全問題卻有著很多的困難,首先協(xié)同工作就是一個(gè)問題。

  由于語音通信中同時(shí)包含了數(shù)據(jù)流和信號(hào)流,語音呼叫信息組成了數(shù)據(jù)流,而信號(hào)流則進(jìn)行呼叫建立和控制,依據(jù)的信號(hào)協(xié)議通常是H.323、會(huì)話初始協(xié)議(SIP)或媒體網(wǎng)關(guān)控制協(xié)議(MGCP)。對(duì)于信號(hào)信息的通過,我們一般可預(yù)留少量端口用于呼叫接入。而對(duì)于呼叫本身,由于是基于實(shí)時(shí)協(xié)議(RTP)和采用動(dòng)態(tài)分配UDP端口方式,而不是通常情況下防火墻針對(duì)特定用戶或應(yīng)用采用的靜態(tài)分配方式,因而讓VoIP呼叫接入通過,意味著為所有通信打開了通道,當(dāng)然其中也包括黑客。如此一來,防火墻也就失去了存在的意義。

防火墻的角色

  那么,在VoIP的安全上,防火墻究竟能夠扮演什么樣的角色呢?

  “實(shí)際上,現(xiàn)在的防火墻安全設(shè)備已經(jīng)超過了傳統(tǒng)的狀態(tài)檢查防火墻,采用深度數(shù)據(jù)包檢測(cè)技術(shù)大大增強(qiáng)了安全能力和應(yīng)用范圍! SonicWALL中國(guó)區(qū)技術(shù)經(jīng)理蔡永生這樣解釋道。“在VoIP網(wǎng)絡(luò)中,防火墻的傳統(tǒng)角色正在發(fā)生本質(zhì)上的變革。因?yàn)閂oIP要求因特網(wǎng)上基于IP的資源是可預(yù)測(cè)的、靜態(tài)可用的,但防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換功能給VoIP網(wǎng)絡(luò)帶來了障礙。通過“pin-holing”和其他技術(shù),安全供應(yīng)商已經(jīng)找到了適應(yīng)VoIP基礎(chǔ)設(shè)施、保證互操作的方法!

  “SonicWALL的防火墻可以對(duì)通過的每個(gè)VoIP信令和媒體數(shù)據(jù)包進(jìn)行狀態(tài)檢測(cè),保證所有業(yè)務(wù)流的合法性。對(duì)于攻擊者來說,攻擊所使用的主要方法就是利用特殊編制的數(shù)據(jù)包來窺探和利用軟硬件實(shí)現(xiàn)的缺陷,從而導(dǎo)致目標(biāo)設(shè)備出現(xiàn)緩沖區(qū)溢出等問題。SonicWALL能夠在非法數(shù)據(jù)包到達(dá)目標(biāo)之前檢測(cè)到它們并將其丟棄!

  對(duì)此,王衛(wèi)也向記者作出了解釋,他談到:“與HTTP不同,SIP協(xié)議把IP地址放在了消息負(fù)載中,而不是消息的頭文件中。因此,要讓防火墻傳遞SIP消息,防火墻必須要通過深度檢測(cè)了解這種應(yīng)用程序,以便翻譯出那個(gè)信息。Juniper開發(fā)的語音感知應(yīng)用層網(wǎng)關(guān)(ALGs)技術(shù),它使網(wǎng)絡(luò)能夠動(dòng)態(tài)開放和關(guān)閉防火墻端口,允許出入呼叫經(jīng)過防火墻。從而避免了開放大量防火墻端口,使網(wǎng)絡(luò)暴露在端口掃描和黑客的危險(xiǎn)之中!

  據(jù)王衛(wèi)介紹,現(xiàn)在,通過擴(kuò)展的協(xié)議支持,NetScreen深層檢測(cè)防火墻可防止650多種應(yīng)用級(jí)攻擊和異常情況?蛻艨墒褂妙A(yù)定義的規(guī)則,也可創(chuàng)建定制的攻擊組,并基于協(xié)議或嚴(yán)重程度安排應(yīng)答順序,從而為高效的網(wǎng)絡(luò)保護(hù)提供細(xì)粒度的控制。

  此外,深層檢測(cè)防火墻技術(shù)還提供應(yīng)用感知功能,使客戶不僅能夠抵御攻擊,還能控制應(yīng)用的使用。例如,客戶可允許IM聊天,同時(shí)拒絕文件傳輸。

  隨著企業(yè)范圍的VoIP部署涉及范圍越來越寬,網(wǎng)絡(luò)威脅越來越復(fù)雜,對(duì)VoIP防護(hù)的挑戰(zhàn)也在加大。無論如何,要時(shí)刻記住,對(duì)于黑客來說,所有可能大規(guī)模普及的信息應(yīng)用,都是等待上桌的美餐,VoIP也不例外,我們的企業(yè)不能再存有任何僥幸的心理,否則下一個(gè)被裝入盤中的,可能就是你。

現(xiàn)有VoIP安全性解決方案
  1. 無防火墻(或者防火墻不支持VoIP),優(yōu)點(diǎn)是不影響IP話音和視頻應(yīng)用,缺點(diǎn)是完全沒有網(wǎng)絡(luò)安全性, 端點(diǎn)需要公共IP地址。

  2. ‘繞過’防火墻的NAT穿透解決方案(如利用STUN協(xié)議),優(yōu)點(diǎn)是不需要防火墻升級(jí)/改變,缺點(diǎn)是僅有有限安全性,VoIP設(shè)備仍然暴露;對(duì)于對(duì)稱NAT仍然無法工作;僅適用于UDP -C 不支持基于TCP的H.323或SIP。

  3. 會(huì)話邊界控制器(SBC),優(yōu)點(diǎn)是不需要防火墻升級(jí)/改變,調(diào)節(jié)網(wǎng)絡(luò)與網(wǎng)絡(luò)界面之間的網(wǎng)絡(luò)流量,缺點(diǎn)是主要針對(duì)服務(wù)供應(yīng)商而設(shè)計(jì),需要額外的設(shè)備,成本較高。

  4. 全VoIP代理,優(yōu)點(diǎn)是不需要防火墻升級(jí)/改變,缺點(diǎn)是代理(Proxy)仍然暴露在攻擊者面前;每個(gè)防火墻后都需要代理;增加額外的延遲并成為瓶頸或引入抖動(dòng)。

  5. 狀態(tài)數(shù)據(jù)包檢測(cè)和變換,優(yōu)點(diǎn)是保護(hù)信令和媒體數(shù)據(jù);易于使用;支持多種VoIP協(xié)議,有良好的互操作性。缺點(diǎn)是前三代防火墻不支持。
編看編想:無知者無畏?

  關(guān)于VoIP安全話題的探討,讓記者對(duì)一個(gè)更深層的問題感到困惑:人們對(duì)于事務(wù)的危機(jī)感,是不是必須要建立在災(zāi)難性的安全事件之后?

  對(duì)于不了解的事務(wù),人們往往并不會(huì)心存恐懼。打個(gè)不太恰當(dāng)?shù)谋确,如果你用左輪手槍?duì)準(zhǔn)一位古代人,所起到的威懾作用,肯定遠(yuǎn)遜于一把明晃晃的大刀。與此相類似的例子是,在放射性物質(zhì)剛剛被人們所認(rèn)知的時(shí)候,有的人堅(jiān)持認(rèn)為這種看不見、摸不到的射線對(duì)人體是無害的,并為了證明這一點(diǎn),甚至不顧勸阻反復(fù)接受照射,其最終的結(jié)果可想而知。所有這些正印證了那句話——無知者無畏。

  當(dāng)面對(duì)未知事務(wù)時(shí),人的擔(dān)心與恐懼感只能來自于兩條途徑,一是痛苦的經(jīng)驗(yàn)教訓(xùn);另一條就是建立在對(duì)該事物的了解之上。

  然而,作為生活在信息社會(huì)的現(xiàn)代企業(yè)和個(gè)人,接觸的新事物不斷增多,不應(yīng)該總是要等到出現(xiàn)了負(fù)面的后果,才開始補(bǔ)救的行為。亡羊補(bǔ)牢,雖猶為晚,但最好的辦法當(dāng)然還是提前準(zhǔn)備,未雨綢繆。

  因此,對(duì)VoIP這類重要信息系統(tǒng)防護(hù)行為,更多的應(yīng)該建立在了解而不是教訓(xùn)的基礎(chǔ)之上。當(dāng)然,從另一個(gè)角度來講,這種防護(hù)也絕不能是盲目的,這樣做只能造成無謂的浪費(fèi)。安全防護(hù)建設(shè)要根據(jù)應(yīng)用的滲透與逐步深入分階段進(jìn)行,但最重要的一點(diǎn),就是始終要領(lǐng)先于潛在的威脅。

  Fusion通信公司是日本著名的新型VoIP供應(yīng)商,它也是日本VoIP電信業(yè)的先驅(qū),一直走在創(chuàng)新的前沿。作為日本第一家提供大規(guī)模IP (旁路長(zhǎng)話)電話業(yè)務(wù)的公司,F(xiàn)usion通過能夠完全繞過傳統(tǒng)電話交換網(wǎng)絡(luò)的專用IP網(wǎng)絡(luò)提供話音通信業(yè)務(wù),開創(chuàng)了行業(yè)的先河。

  作為新事物的領(lǐng)軍者,F(xiàn)usion當(dāng)然十分重視VoIP的安全和由此帶來的風(fēng)險(xiǎn),不過,初期他們并沒有大規(guī)模盲目建立防護(hù)系統(tǒng),是更多關(guān)注于話音質(zhì)量和便利性,在安全上的投資,也集中于這方面。

  現(xiàn)在,F(xiàn)usion運(yùn)行著日本最大的IP電話業(yè)務(wù),并有了240萬忠實(shí)的用戶,目前,他們的系統(tǒng)已經(jīng)演進(jìn)到完全擺脫交換和其他傳統(tǒng)系統(tǒng)的“純IP”網(wǎng)絡(luò),承載了更多的全新業(yè)務(wù)。雖然在運(yùn)行期間并未發(fā)生大的安全事故,但Fusion卻反而更加具有危機(jī)感。憑借對(duì)VoIP越來越深入地了解,F(xiàn)usion在安全系統(tǒng)建設(shè)上不斷投入重資,比如在網(wǎng)絡(luò)中全面部署Juniper公司VF系列會(huì)話邊界控制器等,以此提高VoIP應(yīng)用的安全性。就像Fusion CEO所說的“投資(指安全系統(tǒng)的建設(shè))是值得的,因?yàn)檫@個(gè)領(lǐng)域不會(huì)給我們犯第二次錯(cuò)誤的機(jī)會(huì)!

  也許這句話也應(yīng)該成為更多現(xiàn)代企業(yè)的座右銘。

網(wǎng)絡(luò)世界(cnw.ccw.com.cn)



相關(guān)鏈接:
日本IP電話監(jiān)管政策對(duì)我國(guó)的啟示 2006-01-17
網(wǎng)絡(luò)電話 請(qǐng)不要讓我們等太久 2006-01-13
淺析IP網(wǎng)絡(luò)的話音傳輸VoIP安全技術(shù) 2006-01-12
論VoIP在NGN演進(jìn)中的積極意義 2006-01-12
免費(fèi)電話離我們還有多遠(yuǎn) 2006-01-10

相關(guān)頻道:  voip_與_企業(yè)通信           文摘   技術(shù)_voip_文摘   技術(shù)_企業(yè)通信_(tái)文摘