日韩免费高清一级毛片久久_VoIP安全迫在眉睫_voip

VoIP安全迫在眉睫

2005/12/23

　　VoIP在安全方面的隱患，增加了網(wǎng)絡(luò )風(fēng)險，但同時(shí)，VoIP自身的特殊性，也可能為其提供防御之道。

　　VoIP，特別是企業(yè)級VoIP應當在安全方面引起人們的注意，還是有關(guān)它的威脅基本上屬于一些別有用心的夸大其詞？這就要看你是在跟誰(shuí)說(shuō)話(huà)了。

　　伯頓集團的高級分析師Irwin Lazar說(shuō)：“企業(yè)VoIP安全方面的隱患被人為夸大了，人們把過(guò)多注意力放在了擔心遭到攻擊上，而不是放在實(shí)際有可能發(fā)生的問(wèn)題上。”

　　思科公司的安全IP通信營(yíng)銷(xiāo)經(jīng)理Roger Farnsworth也認為：“VoIP系統至少能夠做到和傳統的語(yǔ)音系統一樣安全，而未來(lái)的IP技術(shù)和語(yǔ)音應用會(huì )使它們變得更安全。”

　　但Mark Collier并不完全認同，作為面向傳統電話(huà)系統和VoIP的語(yǔ)音管理和安全平臺廠(chǎng)商SecureLogix公司的CEO，他表示：“由于IP是VoIP的基礎，期望VoIP比電子郵件、Web或者DNS更安全的想法是根本不現實(shí)的。”他認為，非常不可靠的IP機制決定了在其上的任何一種業(yè)務(wù)和應用都有可能被輕易地攻擊，而電子郵件、Web、DNS等應用已經(jīng)證實(shí)了這一點(diǎn)，匆忙地從服務(wù)可靠的傳統企業(yè)電話(huà)轉移到與電子郵件一樣不安全的平臺，屬于不明智之舉，現在最大的吸引力不過(guò)是VoIP能夠更多地節約成本，而如果說(shuō)安全上有所保障，他認為是不可取的。

僅僅是另一種應用

　　其實(shí)，企業(yè)VoIP實(shí)質(zhì)上只是IP網(wǎng)絡(luò )上的另一種應用，和電子郵件、Web瀏覽類(lèi)似，如今典型的企業(yè)IP電話(huà)系統其基本要素包括：（1）呼叫控制服務(wù)器，它通常運行在Linux、Windows或者VxWorks等操作系統上；（2）VoIP客戶(hù)機，或電話(huà)機或軟電話(huà)；（3）VoIP網(wǎng)關(guān)，它位于網(wǎng)絡(luò )邊緣，負責在VoIP和公共交換電話(huà)網(wǎng)（PSTN）之間進(jìn)行轉換。

　　這些產(chǎn)品都使用標準的協(xié)議，通常是國際電信聯(lián)盟（ITU）的H.323系列協(xié)議，或者因特網(wǎng)工程任務(wù)組（IETF）的會(huì )話(huà)初始化協(xié)議（SIP），主要用在服務(wù)器與客戶(hù)機上。而媒體網(wǎng)關(guān)控制協(xié)議（MGCP）或Megaco/H.248協(xié)議則用于網(wǎng)關(guān)上，絕大部分企業(yè)VoIP系統共享數據網(wǎng)絡(luò )，依賴(lài)和其他應用相同的路由器和交換機進(jìn)行語(yǔ)音包傳輸，在理想情況下，還能與其他數據應用（包括消息傳送）配合工作。

　　所以，VoIP系統和其他數據應用一樣也容易遭到攻擊，至少從理論上講是這樣。面臨的一系列潛在威脅包括：拒絕服務(wù)攻擊、病毒、蠕蟲(chóng)、特洛伊木馬、數據包嗅探、垃圾郵件和網(wǎng)絡(luò )釣魚(yú)，還會(huì )遭到垃圾郵件的侵擾（例如帶寬被占用時(shí)，VoIP的效果將大打折扣，甚至出現連接中斷現象），而且網(wǎng)絡(luò )釣魚(yú)也容易得逞，只要假冒撥號人的身份信息，就可以偽裝成某家合法機構的代表?yè)艽騐oIP電話(huà)。

　　但是VoIP也有其便利之處。BorderWare科技公司的技術(shù)副總裁Andrew Graydon說(shuō)：“如果我想打100個(gè)電話(huà)，就得撥100次電話(huà)或者使用自動(dòng)撥號器。但有了IP連接，我可以把一個(gè)WAV文件上傳到巴哈馬群島的一臺計算機上，按一下鍵，馬上就能發(fā)給2000名員工。” 而且，廠(chǎng)商和分析人士強調說(shuō)，由于IP PBX運行在不同的操作系統（通常經(jīng)過(guò)精簡(jiǎn)和加固）上，并結合使用不斷發(fā)展的標準和更多的專(zhuān)有協(xié)議，譬如思科的Skinny呼叫控制協(xié)議，從而使VoIP應用比通常的數據應用更難成為攻擊目標。

　　還有可能面臨的威脅是中間人攻擊（黑客偽裝成SIP代理，然后記錄所有呼叫活動(dòng)）以及信任關(guān)系利用，例如闖入與VoIP服務(wù)器有著(zhù)信任關(guān)系的數據服務(wù)器，從而獲得對VoIP服務(wù)器的訪(fǎng)問(wèn)；還有話(huà)費欺詐，主要的做法是通過(guò)闖入語(yǔ)音網(wǎng)關(guān)，花別人的錢(qián)盜打國際長(cháng)途電話(huà)；再有就是竊聽(tīng)，如果用戶(hù)可以訪(fǎng)問(wèn)網(wǎng)絡(luò )，并且擁有兩種隨手可得的免費工具TCPdump和呼叫偷聽(tīng)器（VOMIT），就能重新組裝基于IP的語(yǔ)音會(huì )話(huà)，把它轉換成標準的WAV語(yǔ)音文件。

　　此外，VoIP系統常常依賴(lài)易受攻擊的應用來(lái)正常運行。Collier說(shuō)：“微軟SQL Server遭到了SQL Slammer的攻擊，但因為思科的Call Manager電話(huà)服務(wù)器依賴(lài)SQL Server，因此它同樣有可能遭受來(lái)自SQL Slammer的破壞。”

時(shí)延問(wèn)題

　　與其他應用相比，VoIP也面臨自己的獨特挑戰。據Gartner公司負責聯(lián)邦業(yè)務(wù)分析的主管David Fraley聲稱(chēng)，為了達到和PSTN相媲美的語(yǔ)音質(zhì)量，單向流量的時(shí)延不得超過(guò)150毫秒，否則用戶(hù)體驗將非常糟糕。“語(yǔ)音編碼可能占用長(cháng)達30毫秒的時(shí)間，而橫跨相當遠的距離在公共IP網(wǎng)絡(luò )上傳送的語(yǔ)音呼叫可能占用長(cháng)達100毫秒、甚至125毫秒的時(shí)間。”而這還沒(méi)有算上防火墻、加密和入侵防御等安全措施所帶來(lái)的時(shí)延。

　　大多數主流防火墻并沒(méi)有把VoIP考慮在內，也沒(méi)有顧及SIP和H.323的一些特殊情況。譬如說(shuō)，SIP至少使用三個(gè)端口號，其中只有一個(gè)是靜態(tài)的；H.323使用端口7和端口11就屬于靜態(tài)端口，從防火墻內外開(kāi)始建立會(huì )議時(shí)，SIP和H.323都使用TCP和用戶(hù)數據報協(xié)議（UDP）。這就意味著(zhù)你必須在標準防火墻上打開(kāi)大量端口，而這從面臨的威脅角度來(lái)看是相當令人頭疼的，除了包頭里面的IP地址外，SIP和H.323還嵌入了IP地址，所以入站呼叫在防火墻和路由器的傳統NAT設置上可能會(huì )遇到問(wèn)題。

　　運營(yíng)商和一些大型企業(yè)可以選用價(jià)格稍微昂貴的設備，例如會(huì )話(huà)邊界控制器（SBC）等，來(lái)處理NAT和開(kāi)放端口問(wèn)題。CheckPoint、Juniper和WatchGuard等各大防火墻和入侵防護系統廠(chǎng)商出品的較新型防火墻產(chǎn)品也開(kāi)始具有較強的VoIP功能，采用NAT穿透技術(shù)，就能根據對VoIP會(huì )話(huà)進(jìn)行嚴格監控，動(dòng)態(tài)地打開(kāi)及關(guān)閉端口，甚至實(shí)現某些服務(wù)質(zhì)量（QoS）特性，不過(guò)這往往意味著(zhù)需要不斷地升級軟硬件（即追加投資），所以購買(mǎi)之前應當慎重考慮。

尋找解決之道

　　鑒于所有這些潛在的威脅和安全漏洞，VoIP用戶(hù)會(huì )不會(huì )很快發(fā)現自己面臨服務(wù)中斷和竊聽(tīng)的困擾？到目前為止，還沒(méi)有出現針對企業(yè)VoIP系統的破壞性極大的大規模攻擊，但并不意味著(zhù)這種安全感狀況會(huì )一直延續，分析人士給出了幾個(gè)令人信服的理由。

　　首先，大多數較新的企業(yè)VoIP解決方案是封閉系統，語(yǔ)音數據包只是在普通局域網(wǎng)上傳送，而大部分外部流量通過(guò)網(wǎng)關(guān)在PSTN上傳送。Gartner的Fraley說(shuō)：“如果你只在局域網(wǎng)上傳送VoIP流量，就比較容易獲得PSTN音質(zhì)并確保安全。”辦公室間的流量通常在受保護的辦公室到辦公室的連接上進(jìn)行傳送，因此在很多情況下，保護內部VoIP意味著(zhù)對呼叫服務(wù)器、交換機和網(wǎng)關(guān)的安全進(jìn)行加固，并且使用合適類(lèi)型的防火墻和入侵防護系統對它們進(jìn)行保護。

　　廠(chǎng)商還建議把局域網(wǎng)上的語(yǔ)音流量與數據流量進(jìn)行隔離，保護語(yǔ)音流量遠離惡意軟件、竊聽(tīng)和拒絕服務(wù)攻擊。如果為語(yǔ)音構建獨立的基礎設施，VoIP節省成本的好處就蕩然無(wú)存。不過(guò)，你所用交換機具有的802.1q特性提供了很多同樣種類(lèi)的保護，可以把語(yǔ)音和數據放在不同的虛擬局域網(wǎng)（VLAN）上；而且利用具有語(yǔ)音識別功能的防火墻以及/或者入侵防護系統，保護語(yǔ)音VLAN與數據VLAN之間的交匯點(diǎn)，譬如消息傳送服務(wù)器。實(shí)際上，Cisco提供采用其最新版本的Call Manager的內置入侵防護系統。

　　Farnsworth說(shuō)：“合理使用VLAN還可以防止偶然的VoIP嗅探行為。”他又說(shuō)，現在比較容易針對語(yǔ)音應用采取恰當的安全措施。

　　VoIP廠(chǎng)商和安全專(zhuān)家說(shuō)，最好避免使用軟電話(huà)（即運行在PC上的電話(huà)軟件），而改用IP電話(huà)機，因為軟電話(huà)幾乎不可能隔離語(yǔ)音和數據。把IP電話(huà)機的IP地址綁定到其媒體訪(fǎng)問(wèn)控制（MAC）地址不失為有助于挫敗IP地址欺詐的一個(gè)好辦法。有幾種解決方案使用數字證書(shū)用于設備和服務(wù)器驗證，你還可以要求提供口令或者個(gè)人身份識別號才能使用IP電話(huà)。對語(yǔ)音－信令數據及VoIP管理交互信息進(jìn)行加密非常重要；在高度安全的環(huán)境下，甚至有必要對語(yǔ)音流進(jìn)行加密。

未來(lái)挑戰

　　這些觀(guān)點(diǎn)在今天很具有針對性，也容易實(shí)施，但將來(lái)呢？隨著(zhù)各種網(wǎng)絡(luò )工具的不斷出現，偵聽(tīng)工具及黑客關(guān)注范圍的不斷擴展，情形又會(huì )如何？Graydon說(shuō)：“最根本的是，企業(yè)希望利用VoIP節省國際長(cháng)途電話(huà)費。”這意味著(zhù)，用VoIP干線(xiàn)取代ISDN的基群速率接口（PRI）和PSTN干線(xiàn)，以便把呼叫轉發(fā)至離國際電話(huà)目的地比較近的那個(gè)網(wǎng)關(guān)，成為最終的目標所在。

　　Graydon說(shuō)：“一旦企業(yè)向因特網(wǎng)敞開(kāi)VoIP，就可能會(huì )給自己的網(wǎng)絡(luò )帶來(lái)可能重大的安全漏洞。”實(shí)際上，封閉型企業(yè)VoIP系統的日子已經(jīng)過(guò)去了。Graydon還指出，電信公司正在把內部基礎設施由銅線(xiàn)上的PSTN改為光纖上的IP，以減少自身的費用，并逐漸使用與其他提供商之間的基于IP的對等連接。他說(shuō)：“重大的IP融合現象正在這方面悄然出現。”Collier同意這番觀(guān)點(diǎn)，他說(shuō)：“一旦MCI（美國電信運營(yíng)商，編者注）的VoIP網(wǎng)絡(luò )有1000個(gè)客戶(hù)在使用，要控制安全威脅將變得異常困難。”

　　懷疑人士指出，避免使用軟電話(huà)、把語(yǔ)音與數據完全隔離是不現實(shí)的。Collier說(shuō)：“語(yǔ)音與數據的互相聯(lián)系正是所有那些新穎的融合應用不斷發(fā)展的方向。”Jeff Rothel是利用BorderWare公司的VoIP安全解決方案來(lái)提供企業(yè)VoIP服務(wù)的CentricVoice公司的CEO，他贊同這種說(shuō)法：“我們計劃繼續推出把語(yǔ)音直接集成到企業(yè)數據應用的軟件層當中的眾多服務(wù)。”事實(shí)上，Rothel及其他人看到了這股潮流，企業(yè)從大大小小的許多提供商購買(mǎi)一系列語(yǔ)音服務(wù)和應用，它們統一使用IP和SIP標準。

　　Rothel聲稱(chēng)，傳統的語(yǔ)音提供商不是特別了解潛在的VoIP威脅。“其中有許多提供商根本不懂數據領(lǐng)域。它們從未遇到過(guò)導致PSTN交換機癱瘓的病毒。”

　　還有一些顛覆性的應用，譬如來(lái)自Skype及其他提供商的對等語(yǔ)音應用。“如今出現了一大批并不符合標準的企業(yè)VoIP環(huán)境的VoIP應用，它們可能會(huì )滲透到企業(yè)當中。”David Endler說(shuō)。此人是入侵防護系統提供商TippingPoint（現隸屬3Com公司）的安全研究主管兼VoIP 安全聯(lián)盟主席。VoIP 安全聯(lián)盟是由旨在促進(jìn)安全研究的多家VoIP和安全廠(chǎng)商組成的組織。

　　懷疑人士還指出，VoIP廠(chǎng)商建議的許多安全措施不是特別實(shí)用，也沒(méi)有得到廣泛應用。SecureLogix的Collier說(shuō)：“當然你可以實(shí)施語(yǔ)音與信令加密以及強驗證等機制，但它們配置起來(lái)是件頭痛的事。”IT安全提供商Sentegrity公司的CTO Brian Ham說(shuō)，當前的密鑰交換標準如Diffie-Hellman密鑰協(xié)商協(xié)議擴展性不夠好，無(wú)法應用于廣泛實(shí)施VoIP驗證和加密機制：“如果你看一下論壇、公布板和行業(yè)領(lǐng)導者，就會(huì )發(fā)現大家都在問(wèn)：‘我們如何才能進(jìn)行合理的密鑰交換？’”Sentegrity提供自己的輕便型密鑰交換解決方案。

面臨攻勢

　　IP電話(huà)系統一直沒(méi)有遭到大規模的攻擊并不意味著(zhù)這類(lèi)攻擊不會(huì )發(fā)生。BorderWare透露，呼叫中心和金融機構早已遭到了攻擊，不過(guò)該公司官員不愿透露這些機構的名字。

　　Collier說(shuō)：“除非某項技術(shù)得到廣泛部署、自動(dòng)發(fā)動(dòng)攻擊的工具出現在大眾面前，否則你通常不會(huì )看到大規模的威脅。”Endler也認為：“隨著(zhù)應用得到更廣泛的部署，它們會(huì )成為更有吸引力的攻擊對象。” BorderWare、SecureLogix甚至TippingPoint等VoIP安全廠(chǎng)商已經(jīng)開(kāi)始提供專(zhuān)門(mén)的VoIP防火墻和入侵防護系統，旨在防范可能會(huì )在將來(lái)影響VoIP的應用層漏洞。

　　最終，VoIP可能會(huì )開(kāi)始遭到困擾電子郵件、即時(shí)消息及其他PC通信方式的同樣類(lèi)型的入侵。好消息是，VoIP和安全廠(chǎng)商已開(kāi)始及早處理這些問(wèn)題。Kuhn說(shuō)：“毫無(wú)疑問(wèn)，VoIP安全選項功能很快變得越來(lái)越好。”他又說(shuō)，語(yǔ)音應用和數據應用相融合的好處如此之大，安全問(wèn)題不可能阻礙用戶(hù)部署它們。

　　Sentegrity的CEO James Largotta也認為：“VoIP的想法太棒了。一旦部分缺陷得到了解決，它差不多會(huì )大獲成功。”

計算機世界網(wǎng)(www.ccw.com.cn)

相關(guān)鏈接:

Skype已經(jīng)企業(yè)-ready 2005-12-22

構建新一代運營(yíng)商級VoIP業(yè)務(wù)網(wǎng)的探索與實(shí)踐 2005-12-21

朱泉峰王臻：VoIP欲草寇稱(chēng)王 2005-12-20

網(wǎng)絡(luò )電話(huà)期待臨界突破封殺不是最終辦法 2005-12-19

電信運營(yíng)商處置Skype 封殺之外需要大智慧 2005-12-14