消滅IP語(yǔ)音中的安全威脅
Joanne Cummings
2003/07/21
只要你采取一些簡(jiǎn)單的預(yù)防措施,IP語(yǔ)音的安全風(fēng)險(xiǎn)不一定比數(shù)據(jù)應(yīng)用更高。
一旦企業(yè)用戶測(cè)試了VoIP并證明它可行后,它們面臨著最后一道障礙:確保它是安全的。
但是,一頭扎進(jìn)VoIP中的用戶說(shuō)他們并不擔(dān)心安全問(wèn)題。Lexent公司工程與新技術(shù)主管Doug Haluza說(shuō):“如果你正確配置它,并且像對(duì)待網(wǎng)絡(luò)上的任何其他關(guān)鍵任務(wù)服務(wù)器和應(yīng)用那樣對(duì)待它的話,VoIP就像其他數(shù)據(jù)應(yīng)用一樣安全。”Lexent是紐約的一家電力服務(wù)公司,它自從2002年1月起就一直在企業(yè)網(wǎng)絡(luò)上運(yùn)行VoIP。
分析人士對(duì)此表示贊同,說(shuō)保證VoIP的安全歸結(jié)為典型的保證聯(lián)網(wǎng)的服務(wù)器、應(yīng)用和語(yǔ)音的安全的措施。但是,在選擇防火墻、入侵檢測(cè)系統(tǒng)(IDS)和其他安全工具時(shí),需要特別的注意。
棘手的防火墻
在防火墻上保護(hù)VoIP數(shù)據(jù)是一項(xiàng)棘手的工作。VoIP會(huì)話使用H.323或會(huì)話初始協(xié)議(SIP)。VoIP部署中的防火墻必須能夠處理這些相當(dāng)復(fù)雜的實(shí)時(shí)通信協(xié)議。H.323和SIP使用分離的控制連接和媒體傳輸連接,這意味著它們通常在建立一次呼叫時(shí),在一個(gè)IP端口上建立連接,然后選擇隨機(jī)的、編號(hào)很大的IP端口(一般在端口1024以上)用于數(shù)據(jù)連接。你不能簡(jiǎn)單地將防火墻配置為打開某些端口、阻塞某些端口,因?yàn)榉阑饓τ肋h(yuǎn)不知道哪個(gè)端口將用于數(shù)據(jù)連接。
銷售狀態(tài)性(stateful)SIP和H.323兼容防火墻的Check Point公司戰(zhàn)略營(yíng)銷經(jīng)理Mark Kraynak說(shuō):“人們需要這樣一種防火墻:它很好地懂得這些協(xié)議,知道只在數(shù)據(jù)連接在控制域中得到協(xié)商和認(rèn)證時(shí)才開放這些連接。它必須懂得在會(huì)話完成時(shí)關(guān)閉它們。”
防火墻還必須在不影響語(yǔ)音流性能的情況下,完成所有的狀態(tài)性數(shù)據(jù)包檢查。
根據(jù)國(guó)際電信聯(lián)盟的建議,端到端語(yǔ)音流的時(shí)延不應(yīng)當(dāng)超過(guò)100毫秒。由于語(yǔ)音使用比數(shù)據(jù)更小的包并且每秒傳送更多的包(每語(yǔ)音流大約每秒50個(gè)包,為一般數(shù)據(jù)流中包數(shù)量的近兩倍),處理語(yǔ)音會(huì)迅速地造成防火墻的癱瘓。
一家為企業(yè)用戶提供融合IP服務(wù)的機(jī)構(gòu)—MCI Advantage公司高級(jí)設(shè)計(jì)師John Truetken說(shuō):“許多軟件防火墻可以滿足數(shù)據(jù)流的需要,但是當(dāng)你開始一次每秒50個(gè)包的語(yǔ)音呼叫時(shí),這實(shí)際上增加了它們必須檢查的包的數(shù)量,一些防火墻不能應(yīng)付這種數(shù)量的包。”他說(shuō),專用硬件防火墻性能通常更好。
他說(shuō),這種情況也同樣出現(xiàn)在VPN上。他說(shuō):“當(dāng)你增加了20條左右的語(yǔ)音流時(shí),一些低端VPN加密機(jī)就會(huì)出現(xiàn)問(wèn)題。它們每秒必須處理的包的數(shù)量有時(shí)會(huì)壓垮它們。”
這正是Lexent的Haluza親身遇到過(guò)的問(wèn)題。該公司在不同站點(diǎn)中部署了基于IPSec的VPN,然后決定在它上面運(yùn)行VoIP。
他說(shuō):“最初,我們利用安裝在遠(yuǎn)程站點(diǎn)的路由器建立了這條網(wǎng)絡(luò),將IPSec隧道終止于安裝在總部的防火墻上。”Lexent使用的Cisco PIX防火墻沒(méi)有硬件加速器,只使用軟件加密。Haluza說(shuō):“這不適于語(yǔ)音,因?yàn)槌霈F(xiàn)了太多的抖動(dòng)。”他指出,每當(dāng)防火墻上的處理器一忙,打電話的人就會(huì)遇到語(yǔ)音丟失現(xiàn)象。
他說(shuō):“我們發(fā)現(xiàn)的另一件事是,我們不能從遠(yuǎn)程站點(diǎn)到遠(yuǎn)程站點(diǎn)打電話,因?yàn)榉阑饓Σ蛔屵@些語(yǔ)音包通過(guò)同一個(gè)端口進(jìn)出。”Lexent通過(guò)將IPSec隧道終止于安裝在兩端上的路由器上后,解決了這兩個(gè)問(wèn)題,因?yàn)閮啥说穆酚善骶哂杏布铀俟δ埽梢栽谡军c(diǎn)之間建立傳輸線路。他說(shuō):“這樣,我們獲得了高性能的加密。”
保護(hù)服務(wù)器的安全
VoIP服務(wù)器也需要特別的關(guān)注。大多數(shù)IP PBX的操作系統(tǒng)必須刪除可能會(huì)導(dǎo)致安全威脅的不必要的服務(wù)。
Avaya公司架構(gòu)與規(guī)劃主管James Coffman說(shuō):“服務(wù)器應(yīng)當(dāng)專用于語(yǔ)音服務(wù)。”他在描述Avaya公司的運(yùn)行在精簡(jiǎn)版本的Linux上的MultiVantage IP PBX時(shí)說(shuō):“MultiVantage上面沒(méi)有Web瀏覽器、沒(méi)有電子郵件閱讀器、沒(méi)有守護(hù)進(jìn)程。我們關(guān)閉了很多你在剛出廠的服務(wù)器上可以得到的標(biāo)準(zhǔn)的網(wǎng)絡(luò)功能。”
這種操作系統(tǒng)加固措施有助于保護(hù)平臺(tái)不受病毒和蠕蟲(如最近出現(xiàn)的Slapper和Nimda)的攻擊。Nortel公司安全解決方案營(yíng)銷經(jīng)理Fred Weiler說(shuō):“一些IP電話核心服務(wù)器僅僅使用普通的Windows NT軟件,它們?cè)獾搅薔imda的攻擊。我們的平臺(tái)是基于嵌入式NT的,這種NT操作系統(tǒng)經(jīng)過(guò)了加固、測(cè)試并刪除了不使用的服務(wù),我們的IP電話平臺(tái)沒(méi)有一個(gè)受到過(guò)攻擊。”
Cisco公司受到了指責(zé),它的一些基于NT的CallManager VoIP服務(wù)器受到了Nimda的攻擊。Cisco迅速為這些系統(tǒng)發(fā)布了補(bǔ)丁,并且也逐漸加固了它的平臺(tái)。該公司計(jì)劃年底前提供非NT平臺(tái)選擇,盡管它說(shuō)如果用戶認(rèn)真地在安全漏洞評(píng)估和補(bǔ)丁管理上遵守最佳慣例的話,VoIP服務(wù)器將不會(huì)比網(wǎng)絡(luò)上其他設(shè)備更脆弱。
許多用戶由于安全原因而不再使用基于Windows的IP PBX。紐約州Geneva市Hobart and William Smith學(xué)院正在內(nèi)部試驗(yàn)LAN上運(yùn)行VoIP。這所大學(xué)的CIO Brian Young說(shuō):“當(dāng)我們研究重要應(yīng)用時(shí),我們會(huì)考慮它們的平臺(tái)是否會(huì)吸引更多的病毒或黑客,而我認(rèn)為Windows是迄今為止最大的目標(biāo)。我們必須為減少危險(xiǎn)而做更多的工作,這就是說(shuō)擁有一個(gè)穩(wěn)定的、不需要很多添加的安全性與特性來(lái)保護(hù)和運(yùn)行它的系統(tǒng)。因此,現(xiàn)在,我們將重點(diǎn)放在用于VoIP的Linux和Unix平臺(tái)上。”
不過(guò),Lexent的Haluza認(rèn)為,Windows還是Linux/Unix之爭(zhēng)基本上是信仰之爭(zhēng)。他說(shuō):“我們只選擇最好的工具,不管它是什么平臺(tái)。”
但是,他還是采取了預(yù)防措施,特別是不將他的語(yǔ)音服務(wù)器暴露給Internet。他說(shuō),語(yǔ)音服務(wù)器有一個(gè)專用IP地址,語(yǔ)音流只在VPN保護(hù)下的安全LAN上傳送。Lexent不是在Internet上發(fā)送語(yǔ)音流,而是從一家運(yùn)營(yíng)商那里購(gòu)買語(yǔ)音線路來(lái)處理LAN之外的語(yǔ)音傳輸流。
Haluza說(shuō):“我們?cè)诠局馐褂脗鹘y(tǒng)的ISDN主速率接口(PRI)語(yǔ)音電路,但是我們將來(lái)自運(yùn)營(yíng)商的PRI電路終止于路由器上,然后再變成我們LAN端的IP。”
一些新興廠商開始解決Internet安全問(wèn)題,主要通過(guò)防火墻技術(shù)。
語(yǔ)音專用IDS(入侵檢測(cè)系統(tǒng))可以提供更多的VoIP服務(wù)器保護(hù),不過(guò),用戶說(shuō)這類設(shè)備還未做好部署的準(zhǔn)備。Hobart and William Smith公司的Young說(shuō):“在我們部署某種語(yǔ)音專用IDS之前,我不會(huì)將VoIP投入學(xué)校的應(yīng)用,到目前為止,我們還沒(méi)有見(jiàn)到多少語(yǔ)音專用IDS。”
MCI的Truetken解釋說(shuō),大多數(shù)IDS由于常常發(fā)出虛假警報(bào)而減弱了作用,假警報(bào)會(huì)限制它們的性能,尤其在語(yǔ)音環(huán)境中。他說(shuō):“你必須將它們的臨界值設(shè)得高一點(diǎn),來(lái)適應(yīng)更多的語(yǔ)音包。否則,你將收到數(shù)不清的假警報(bào)。”
Cisco公司說(shuō)它通過(guò)最近兩次收購(gòu)中獲得的技術(shù)解決了這個(gè)問(wèn)題。Cisco從Psionic公司獲得了自動(dòng)進(jìn)行報(bào)警調(diào)查的能力,從Okena公司獲得了入侵防御和檢測(cè)技術(shù)。
竊聽的風(fēng)險(xiǎn)被夸大了
另一個(gè)需要考慮的問(wèn)題是保護(hù)應(yīng)用的安全,使黑客不能竊聽語(yǔ)音呼叫或控制語(yǔ)音服務(wù)。避免竊聽的一種辦法是加密呼叫,目前的VPN技術(shù)可以容易地做到這點(diǎn)。不過(guò),要確保終端設(shè)備具有支持VPN客戶機(jī)的處理能力。Avaya的Coffman指出,許多IP電話不具有這種處理能力。
在這種情況下,用戶將在工作站或便攜機(jī)上安裝VPN客戶機(jī)軟件,將電話連接到這臺(tái)PC上。Truetken說(shuō):“這種辦法是可行的,但是你必須保證便攜機(jī)不會(huì)干擾VoIP呼叫。如果便攜機(jī)運(yùn)行XP的話,你可能一切正常。但是,如果它使用Windows 98,你就會(huì)遇到問(wèn)題。例如,DSL具有256Kbps的帶寬,這種帶寬可以很好地支持語(yǔ)音呼叫。然而,如果你同時(shí)還運(yùn)行Outlook的話,你可能會(huì)用完處理能力。”
其他一些人則質(zhì)疑有沒(méi)有必要加密LAN上的VoIP。Young說(shuō):“這里的加密需要沒(méi)有那么迫切。不妨看看現(xiàn)在有多少人使用手機(jī),手機(jī)遠(yuǎn)比VoIP語(yǔ)音流更容易截獲和竊聽。加密LAN上的VoIP并非是優(yōu)先重點(diǎn)。”
Lexent的Haluza同意這種觀點(diǎn)。他說(shuō): “我更擔(dān)心是入侵后端辦公室應(yīng)用的人,而非VoIP。這是個(gè)夸大風(fēng)險(xiǎn)的案例。”
計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)
龙里县|
卢氏县|
南郑县|
凤山市|
锦屏县|
莱州市|
泽库县|
白银市|
化州市|
茂名市|
天峻县|
香格里拉县|
绥芬河市|
宁津县|
咸丰县|
长垣县|
渭源县|
天气|
鸡泽县|
榆社县|
迁西县|
广宗县|
鹿邑县|
丹阳市|
商都县|
时尚|
贞丰县|
石首市|
邳州市|
武功县|
垦利县|
都兰县|
安泽县|
麻阳|
志丹县|
德安县|
蚌埠市|
当阳市|
尼木县|
阆中市|
青田县|