多層防范VoIP“隔墻之耳”
張靜 2008/01/28
即使在VoIP技術(shù)廣泛應(yīng)用的今天��,VoIP的安全性仍屢遭質(zhì)疑。英國安全專家�、防火墻公司Borderware創(chuàng)辦人之一Peter
Cox就在近日公開宣稱��,基于網(wǎng)絡(luò)的VoIP電話極不安全,容易給黑客造成可乘之機(jī)���。為了證實(shí)這個(gè)觀點(diǎn)���,他研發(fā)了可以竊聽VoIP網(wǎng)絡(luò)電話的“概念證實(shí)”(Proof—of—Concept)型軟件SIPtap。該軟件利用一個(gè)安裝在公司網(wǎng)絡(luò)上的特洛伊木馬軟件�,成功對(duì)VoIP網(wǎng)絡(luò)進(jìn)行監(jiān)聽,并可以生成后綴為“.wav”的文件供黑客隨后在互聯(lián)網(wǎng)上傳播使用�����。
VoIP成為無論專家還是黑客攻擊的靶子并非偶然�����。作為一種在網(wǎng)絡(luò)上應(yīng)用的IP技術(shù)��,與Web和電子郵件等IP應(yīng)用一樣���,VoIP技術(shù)存在特有的威脅和風(fēng)險(xiǎn)。這些威脅和漏洞包括所有IP網(wǎng)絡(luò)層面的威脅�����、VoIP協(xié)議和應(yīng)用的威脅以及與內(nèi)容有關(guān)的威脅等。就如同裸露的皮膚最容易受傷��,解決辦法就是給你的VoIP多穿幾層鎧甲——采取多層次安全機(jī)制��,在潛在入侵者的攻擊路線上盡可能多地設(shè)置各種障礙�。
建立一個(gè)安全的VoIP網(wǎng)絡(luò),首先要將其從數(shù)據(jù)網(wǎng)絡(luò)中獨(dú)立出來����。要將虛擬局域網(wǎng)(VLAN)上的VoIP話機(jī)設(shè)為非路由的地址,然后禁止連接互聯(lián)網(wǎng)的電腦與VoIP之間有任何交流����,還要使用存取控制列表(Access
Control Lists)來阻止VLAN之間的通訊。
而且�,需要一個(gè)特別設(shè)計(jì)的防火墻,能識(shí)別和分析VoIP協(xié)議����,對(duì)VoIP的數(shù)據(jù)包進(jìn)行深度檢查,并能分析VoIP的有效載荷���,以便發(fā)現(xiàn)任何與攻擊有關(guān)的行為����。
還要在幾個(gè)層次上設(shè)置障礙,包括保護(hù)好VoIP網(wǎng)關(guān)��,鎖閉網(wǎng)絡(luò)物理層����,用IPSec加密,用TLS鎖定會(huì)話層和用SRTP來對(duì)應(yīng)用層的介質(zhì)進(jìn)行加密����。
網(wǎng)關(guān)是數(shù)據(jù)進(jìn)出VoIP網(wǎng)絡(luò)的關(guān)鍵點(diǎn),它會(huì)同時(shí)連接不同的網(wǎng)絡(luò)���,如IP網(wǎng)絡(luò)和公共電話交換網(wǎng)(PSTN)����。在網(wǎng)關(guān)上使用授權(quán)機(jī)制和存取控制�,以便控制可通過VoIP系統(tǒng)撥打和接聽的電話���,以及設(shè)定可以執(zhí)行管理任務(wù)的不同人員權(quán)限等��。
對(duì)一個(gè)語音網(wǎng)絡(luò)而言��,限制對(duì)介質(zhì)訪問以及對(duì)VoIP服務(wù)器和端點(diǎn)訪問非常重要���。 要達(dá)到限制對(duì)介質(zhì)訪問或?qū)oIP服務(wù)器和端點(diǎn)訪問的目的����,首先對(duì)所有呼叫服務(wù)器以及與服務(wù)器有關(guān)的接觸進(jìn)行控制�����;然后限制對(duì)終端的接觸�,并將線纜埋設(shè)在墻體中的管道里以保證它們自身的安全;最后還要謹(jǐn)慎選擇無線AP的位置�,限制無線交流,限制信號(hào)強(qiáng)度���,使用屏蔽材料將無線信號(hào)盡量阻擋在建筑物之內(nèi)�����。
用IPSec加密來保護(hù)網(wǎng)絡(luò)中的VoIP數(shù)據(jù)����,能保證即使攻擊者穿越物理層防護(hù)措施截獲了VoIP數(shù)據(jù)包�,也無法破譯其中的內(nèi)容。
TLS使用的是數(shù)字簽名和公共密鑰加密,這意味著每一個(gè)端點(diǎn)都必須有一個(gè)可信任的�、由權(quán)威CA認(rèn)證的簽名。也可以通過一個(gè)內(nèi)部CA(如一臺(tái)運(yùn)行了認(rèn)證服務(wù)的Windows服務(wù)器)來進(jìn)行企業(yè)內(nèi)部的通話��,并經(jīng)由一個(gè)公共CA來進(jìn)行公司之外的通話��。
用SRTP來對(duì)應(yīng)用層的介質(zhì)進(jìn)行加密����,可以提供信息認(rèn)證、機(jī)密性���、回放保護(hù)等安全機(jī)制��。
VoIP安全保護(hù)偏方
無論VoIP網(wǎng)絡(luò)防范多么嚴(yán)密��,攻擊不可避免會(huì)發(fā)生�����。因此���,有必要通過部署合適的監(jiān)視工具和入侵檢測系統(tǒng)���,發(fā)現(xiàn)試圖攻入VoIP網(wǎng)絡(luò)的各種嘗試�����。通過仔細(xì)觀察這些工具所記錄下來的日志���,有助于及時(shí)發(fā)現(xiàn)各種數(shù)據(jù)流量的異常狀況����,從而發(fā)現(xiàn)是否有人通過暴力破解賬號(hào)的方式進(jìn)入網(wǎng)絡(luò)����。
與此同時(shí),及時(shí)維護(hù)操作系統(tǒng)和VoIP應(yīng)用系統(tǒng)的補(bǔ)丁�����,對(duì)于防范來自惡意軟件或病毒的威脅是非常重要的��。
還有一個(gè)點(diǎn)子可能會(huì)有幫助�,那就是制定一個(gè)計(jì)劃,把你自己假想成一個(gè)黑客高手�����,然后嘗試用各種辦法來攻擊你的VoIP系統(tǒng)。沒有找到攻擊入口���,并不代表你的VoIP系統(tǒng)是安全的��。但是如果你能找到入口�,那么別人也可以��,那就趕快堵住這個(gè)漏洞吧���!
中計(jì)報(bào)(www.ccidnet.com)
相關(guān)鏈接: