久久毛片网_VoIP：安全領(lǐng)域的尼斯湖怪獸？_voip_企業(yè)通信

VoIP：安全領(lǐng)域的尼斯湖怪獸？

2006/01/17

　　當越來(lái)越多VoIP安全的話(huà)題在媒體上露面時(shí)，現實(shí)的應用中，卻很少遇到實(shí)際的災難事件。于是，一些人開(kāi)始困惑，VoIP安全威脅到底是椅子下面的定時(shí)炸彈，隨時(shí)可能引爆；還是傳說(shuō)中的尼斯湖怪獸，只存在于人們的想象里……

誰(shuí)的奶酪？

　　“對于VoIP安全問(wèn)題的擔憂(yōu)，也許最大的原因并不是來(lái)源于技術(shù)本身，而是這個(gè)市場(chǎng)。”賽門(mén)鐵克中國區首席安全顧問(wèn)田成一語(yǔ)中的。

　　的確，如果單從技術(shù)角度講，VoIP就是將語(yǔ)音通過(guò)數據包的方式來(lái)傳輸，它并不會(huì )比現有的數據網(wǎng)絡(luò )“更不安全”。然而這一市場(chǎng)巨大的含金量，卻注定讓它像藏在身上的巨款一樣，無(wú)論怎么包裹，總會(huì )讓人感到忐忑不安。

　　根據市場(chǎng)調研公司In-Stat的預計，從2005年至2009年，亞洲地區VoIP市場(chǎng)每年將增長(cháng)10億美元，2009年該市場(chǎng)規模將從目前的50多億美元飛躍到100億美元，同期用戶(hù)數量將增長(cháng)一倍以上。到那時(shí)，VoIP將占到全球電話(huà)通信量的近一半。而且據行業(yè)分析家預計，企業(yè)的應用將更為廣泛，估計全球2000強公司到2009年，有三分之二將采用VoIP作為主要的語(yǔ)音通信方式。

　　作為通信業(yè)歷史上最具革新性的技術(shù)，VoIP是一塊令所有人垂涎欲滴的奶酪，當然，對于黑客而言也不例外。現在所有的安全企業(yè)在談到新的安全威脅時(shí)，都會(huì )強調一句話(huà)：那就是，黑客攻擊越來(lái)越受到經(jīng)濟利益的驅動(dòng)。對他們來(lái)說(shuō)，擺在眼前的VoIP無(wú)疑就是一座金山，不要說(shuō)涉及商業(yè)機密的語(yǔ)音仿冒與竊取，單單是話(huà)費盜取和欺詐（比如入侵語(yǔ)音網(wǎng)關(guān)，花別人的錢(qián)打國際長(cháng)途電話(huà)），以及發(fā)送語(yǔ)音垃圾郵件，就會(huì )產(chǎn)生驚人的收益。

　　田成表示，“盡管從目前來(lái)看，賽門(mén)鐵克全球監測網(wǎng)發(fā)現針對VoIP的攻擊報告很少，但隨著(zhù)VoIP作為新的通信技術(shù)得到廣泛認可和部署，攻擊者將它作為集中攻擊目標只是時(shí)間問(wèn)題。”

　　雖然有些人認為，由于VoIP這樣的服務(wù)大多是由電信運營(yíng)商來(lái)操控的，安全方面的問(wèn)題可以依靠管制政策來(lái)控制，但是，VoIP的應用遠遠不只于語(yǔ)音，而且由于IP網(wǎng)絡(luò )跨越國界，很難在全球范圍內實(shí)現一致的管制，就可行性而言，VoIP的安全性問(wèn)題，還是應該主要通過(guò)技術(shù)手段來(lái)解決。那么從技術(shù)層面來(lái)看，VoIP安全的癥結究竟在那里呢？

軟肋有多軟

　　如果用戶(hù)就VoIP的安全問(wèn)題去咨詢(xún)，那么在IP通信商和專(zhuān)業(yè)安全廠(chǎng)商那里會(huì )得到截然不同的答案。前者認為VoIP系統至少同傳統的語(yǔ)音系統一樣安全，而后者則認為其安全問(wèn)題比電子郵件、Web應用等更加嚴重。

　　當然，這是站在不同利益立場(chǎng)上的發(fā)言，不過(guò)，單從技術(shù)上來(lái)看，在VoIP環(huán)境中，話(huà)音和數據一樣是一個(gè)個(gè)的“包”，它沒(méi)有理由可以躲避開(kāi)各種病毒和黑客攻擊的困擾。從理論上來(lái)講，眼下黑客對數據網(wǎng)絡(luò )的所有攻擊手段，都有可能被應用到IP語(yǔ)音之上。

　　比如話(huà)費盜取和欺詐，雖然IP話(huà)機不能通過(guò)并線(xiàn)的方式撥打電話(huà)，但通過(guò)竊取使用者IP電話(huà)的登錄密碼同樣能夠獲得話(huà)機的權限。這就如同在一根普通模擬話(huà)機線(xiàn)上又并接了一個(gè)電話(huà)一樣。再比如語(yǔ)音網(wǎng)頁(yè)仿冒，語(yǔ)音欺詐等。

　　田成也介紹說(shuō)，未來(lái)垃圾郵件的泛濫，同樣可能出現在VoIP系統之上。黑客會(huì )使用和尋找電子郵件地址一樣的目錄獲取攻擊，尋找出大量的合法IP電話(huà)地址，然后將一段wav文件放到某臺計算機上，就可以發(fā)送大量垃圾語(yǔ)音郵件，并且通過(guò)假造的IP電話(huà)地址，讓人無(wú)從追查。

　　總之，如果“幸運”的話(huà)，包括病毒、蠕蟲(chóng)、木馬、DoS攻擊、垃圾郵件、網(wǎng)絡(luò )釣魚(yú)等這些“老朋友”，你都可能在VoIP環(huán)境中再次碰到。

　　那么，為什么到目前為止，我們在已經(jīng)應用的VoIP系統中，并沒(méi)有看到大規模的攻擊事件，難道這些威脅只是存在于技術(shù)的理論層面嗎？

　　對此，Juniper高級系統工程師王衛認為，之所以目前VoIP還沒(méi)有任何關(guān)于大規模網(wǎng)絡(luò )攻擊或安全系統遭破壞的報道，究其原因，很大程度上是因為VoIP本身尚未成熟，比如大量的非標準化和互操作性問(wèn)題，這些問(wèn)題一方面給VoIP的部署應用帶來(lái)了巨大的麻煩，但另一方面，也給黑客的攻擊造成了很大的障礙。

　　我們知道，開(kāi)放的、標準化的體系最容易受到病毒和惡意攻擊的影響，而眼下，VoIP廠(chǎng)商和服務(wù)提供商們在為客戶(hù)安裝系統時(shí)，通常提供不同種類(lèi)的防火墻、私有協(xié)議、預防侵入系統和其他一些保護裝置。此外，很多企業(yè)VoIP解決方案通常是封閉的系統，分組語(yǔ)音只在LAN上傳送，而大多數外部傳輸流經(jīng)過(guò)網(wǎng)關(guān)在PSTN上傳送。不過(guò)，隨著(zhù)VoIP的不斷成熟演進(jìn)，走向開(kāi)放、標準化、純IP的體系是必然趨勢，到那時(shí)，VoIP將因為很多語(yǔ)音和數據的融合應用，向整個(gè)互聯(lián)網(wǎng)開(kāi)放，而安全問(wèn)題也必將隨之大量爆發(fā)。

威脅防護與盲人摸象

　　現實(shí)的情況是，由于沒(méi)有看到嚴重的VoIP安全事件，很多企業(yè)總是在已經(jīng)部署VoIP之后，在逐漸依賴(lài)這一系統時(shí)，才開(kāi)始逐步意識到安全的重要性。企業(yè)擔心的安全問(wèn)題主要包括通過(guò)電話(huà)記錄或者語(yǔ)音郵件泄漏公司敏感的信息、竊聽(tīng)、惡意軟件導致的系統崩潰和其他惡意攻擊、以及機構內部和外部人員不正當地使用語(yǔ)音服務(wù)等。

　　要完全實(shí)現這些安全保障，企業(yè)需要在不同的網(wǎng)絡(luò )層次實(shí)施各種安全措施，如認證、語(yǔ)音傳輸的加密、分離語(yǔ)音和數據網(wǎng)絡(luò )、對語(yǔ)音服務(wù)器實(shí)施實(shí)時(shí)監控，應用一些專(zhuān)門(mén)防止黑客入侵和計算機病毒的產(chǎn)品如防火墻等。

　　顯然，企業(yè)要一步做到所有這些是相當困難的，而且在目前的情況下也并不必要。在對待VoIP的安全問(wèn)題上，我們不能像盲人摸象一樣，每碰到一處就盲目放大，而是要根據實(shí)際的應用，結合當前主要的威脅所在，尋找適宜的防護方案。王衛認為目前VoIP的主要威脅可能來(lái)自于DoS，應該盡量降低網(wǎng)絡(luò )暴露，加強網(wǎng)關(guān)的防護能力。

　　在網(wǎng)絡(luò )的安全保護方面，人們首先最容易想到的產(chǎn)品就是防火墻。不過(guò)用傳統的防火墻來(lái)解決VoIP的安全問(wèn)題卻有著(zhù)很多的困難，首先協(xié)同工作就是一個(gè)問(wèn)題。

　　由于語(yǔ)音通信中同時(shí)包含了數據流和信號流，語(yǔ)音呼叫信息組成了數據流，而信號流則進(jìn)行呼叫建立和控制，依據的信號協(xié)議通常是H.323、會(huì )話(huà)初始協(xié)議（SIP）或媒體網(wǎng)關(guān)控制協(xié)議（MGCP）。對于信號信息的通過(guò)，我們一般可預留少量端口用于呼叫接入。而對于呼叫本身，由于是基于實(shí)時(shí)協(xié)議（RTP）和采用動(dòng)態(tài)分配UDP端口方式，而不是通常情況下防火墻針對特定用戶(hù)或應用采用的靜態(tài)分配方式，因而讓VoIP呼叫接入通過(guò)，意味著(zhù)為所有通信打開(kāi)了通道，當然其中也包括黑客。如此一來(lái)，防火墻也就失去了存在的意義。

防火墻的角色

　　那么，在VoIP的安全上，防火墻究竟能夠扮演什么樣的角色呢？

　　“實(shí)際上，現在的防火墻安全設備已經(jīng)超過(guò)了傳統的狀態(tài)檢查防火墻，采用深度數據包檢測技術(shù)大大增強了安全能力和應用范圍。” SonicWALL中國區技術(shù)經(jīng)理蔡永生這樣解釋道。“在VoIP網(wǎng)絡(luò )中，防火墻的傳統角色正在發(fā)生本質(zhì)上的變革。因為VoIP要求因特網(wǎng)上基于IP的資源是可預測的、靜態(tài)可用的，但防火墻的網(wǎng)絡(luò )地址轉換功能給VoIP網(wǎng)絡(luò )帶來(lái)了障礙。通過(guò)“pin-holing”和其他技術(shù)，安全供應商已經(jīng)找到了適應VoIP基礎設施、保證互操作的方法。”

　　“SonicWALL的防火墻可以對通過(guò)的每個(gè)VoIP信令和媒體數據包進(jìn)行狀態(tài)檢測，保證所有業(yè)務(wù)流的合法性。對于攻擊者來(lái)說(shuō)，攻擊所使用的主要方法就是利用特殊編制的數據包來(lái)窺探和利用軟硬件實(shí)現的缺陷，從而導致目標設備出現緩沖區溢出等問(wèn)題。SonicWALL能夠在非法數據包到達目標之前檢測到它們并將其丟棄。”

　　對此，王衛也向記者作出了解釋?zhuān)劦剑骸芭cHTTP不同，SIP協(xié)議把IP地址放在了消息負載中，而不是消息的頭文件中。因此，要讓防火墻傳遞SIP消息，防火墻必須要通過(guò)深度檢測了解這種應用程序，以便翻譯出那個(gè)信息。Juniper開(kāi)發(fā)的語(yǔ)音感知應用層網(wǎng)關(guān)（ALGs）技術(shù)，它使網(wǎng)絡(luò )能夠動(dòng)態(tài)開(kāi)放和關(guān)閉防火墻端口，允許出入呼叫經(jīng)過(guò)防火墻。從而避免了開(kāi)放大量防火墻端口，使網(wǎng)絡(luò )暴露在端口掃描和黑客的危險之中。”

　　據王衛介紹，現在，通過(guò)擴展的協(xié)議支持，NetScreen深層檢測防火墻可防止650多種應用級攻擊和異常情況。客戶(hù)可使用預定義的規則，也可創(chuàng )建定制的攻擊組，并基于協(xié)議或嚴重程度安排應答順序，從而為高效的網(wǎng)絡(luò )保護提供細粒度的控制。

　　此外，深層檢測防火墻技術(shù)還提供應用感知功能，使客戶(hù)不僅能夠抵御攻擊，還能控制應用的使用。例如，客戶(hù)可允許IM聊天，同時(shí)拒絕文件傳輸。

　　隨著(zhù)企業(yè)范圍的VoIP部署涉及范圍越來(lái)越寬，網(wǎng)絡(luò )威脅越來(lái)越復雜，對VoIP防護的挑戰也在加大。無(wú)論如何，要時(shí)刻記住，對于黑客來(lái)說(shuō)，所有可能大規模普及的信息應用，都是等待上桌的美餐，VoIP也不例外，我們的企業(yè)不能再存有任何僥幸的心理，否則下一個(gè)被裝入盤(pán)中的，可能就是你。

現有VoIP安全性解決方案

無(wú)防火墻（或者防火墻不支持VoIP），優(yōu)點(diǎn)是不影響IP話(huà)音和視頻應用，缺點(diǎn)是完全沒(méi)有網(wǎng)絡(luò )安全性，端點(diǎn)需要公共IP地址。

‘繞過(guò)’防火墻的NAT穿透解決方案（如利用STUN協(xié)議），優(yōu)點(diǎn)是不需要防火墻升級/改變，缺點(diǎn)是僅有有限安全性，VoIP設備仍然暴露；對于對稱(chēng)NAT仍然無(wú)法工作；僅適用于UDP -C 不支持基于TCP的H.323或SIP。

會(huì )話(huà)邊界控制器（SBC），優(yōu)點(diǎn)是不需要防火墻升級/改變，調節網(wǎng)絡(luò )與網(wǎng)絡(luò )界面之間的網(wǎng)絡(luò )流量，缺點(diǎn)是主要針對服務(wù)供應商而設計，需要額外的設備，成本較高。

全VoIP代理，優(yōu)點(diǎn)是不需要防火墻升級/改變，缺點(diǎn)是代理（Proxy）仍然暴露在攻擊者面前；每個(gè)防火墻后都需要代理；增加額外的延遲并成為瓶頸或引入抖動(dòng)。

狀態(tài)數據包檢測和變換，優(yōu)點(diǎn)是保護信令和媒體數據；易于使用；支持多種VoIP協(xié)議，有良好的互操作性。缺點(diǎn)是前三代防火墻不支持。

編看編想：無(wú)知者無(wú)畏？

　　關(guān)于VoIP安全話(huà)題的探討，讓記者對一個(gè)更深層的問(wèn)題感到困惑：人們對于事務(wù)的危機感，是不是必須要建立在災難性的安全事件之后？

　　對于不了解的事務(wù)，人們往往并不會(huì )心存恐懼。打個(gè)不太恰當的比方，如果你用左輪手槍對準一位古代人，所起到的威懾作用，肯定遠遜于一把明晃晃的大刀。與此相類(lèi)似的例子是，在放射性物質(zhì)剛剛被人們所認知的時(shí)候，有的人堅持認為這種看不見(jiàn)、摸不到的射線(xiàn)對人體是無(wú)害的，并為了證明這一點(diǎn)，甚至不顧勸阻反復接受照射，其最終的結果可想而知。所有這些正印證了那句話(huà)——無(wú)知者無(wú)畏。

　　當面對未知事務(wù)時(shí)，人的擔心與恐懼感只能來(lái)自于兩條途徑，一是痛苦的經(jīng)驗教訓；另一條就是建立在對該事物的了解之上。

　　然而，作為生活在信息社會(huì )的現代企業(yè)和個(gè)人，接觸的新事物不斷增多，不應該總是要等到出現了負面的后果，才開(kāi)始補救的行為。亡羊補牢，雖猶為晚，但最好的辦法當然還是提前準備，未雨綢繆。

　　因此，對VoIP這類(lèi)重要信息系統防護行為，更多的應該建立在了解而不是教訓的基礎之上。當然，從另一個(gè)角度來(lái)講，這種防護也絕不能是盲目的，這樣做只能造成無(wú)謂的浪費。安全防護建設要根據應用的滲透與逐步深入分階段進(jìn)行，但最重要的一點(diǎn)，就是始終要領(lǐng)先于潛在的威脅。

　　Fusion通信公司是日本著(zhù)名的新型VoIP供應商，它也是日本VoIP電信業(yè)的先驅?zhuān)恢弊咴趧?chuàng )新的前沿。作為日本第一家提供大規模IP (旁路長(cháng)話(huà))電話(huà)業(yè)務(wù)的公司，Fusion通過(guò)能夠完全繞過(guò)傳統電話(huà)交換網(wǎng)絡(luò )的專(zhuān)用IP網(wǎng)絡(luò )提供話(huà)音通信業(yè)務(wù)，開(kāi)創(chuàng )了行業(yè)的先河。

　　作為新事物的領(lǐng)軍者，Fusion當然十分重視VoIP的安全和由此帶來(lái)的風(fēng)險，不過(guò)，初期他們并沒(méi)有大規模盲目建立防護系統，是更多關(guān)注于話(huà)音質(zhì)量和便利性，在安全上的投資，也集中于這方面。

　　現在，Fusion運行著(zhù)日本最大的IP電話(huà)業(yè)務(wù)，并有了240萬(wàn)忠實(shí)的用戶(hù)，目前，他們的系統已經(jīng)演進(jìn)到完全擺脫交換和其他傳統系統的“純IP”網(wǎng)絡(luò )，承載了更多的全新業(yè)務(wù)。雖然在運行期間并未發(fā)生大的安全事故，但Fusion卻反而更加具有危機感。憑借對VoIP越來(lái)越深入地了解，Fusion在安全系統建設上不斷投入重資，比如在網(wǎng)絡(luò )中全面部署Juniper公司VF系列會(huì )話(huà)邊界控制器等，以此提高VoIP應用的安全性。就像Fusion CEO所說(shuō)的“投資（指安全系統的建設）是值得的，因為這個(gè)領(lǐng)域不會(huì )給我們犯第二次錯誤的機會(huì )。”

　　也許這句話(huà)也應該成為更多現代企業(yè)的座右銘。

網(wǎng)絡(luò )世界(cnw.ccw.com.cn)

相關(guān)鏈接:

日本IP電話(huà)監管政策對我國的啟示 2006-01-17

網(wǎng)絡(luò )電話(huà) 請不要讓我們等太久 2006-01-13

淺析IP網(wǎng)絡(luò )的話(huà)音傳輸VoIP安全技術(shù) 2006-01-12

論VoIP在NGN演進(jìn)中的積極意義 2006-01-12

免費電話(huà)離我們還有多遠 2006-01-10