深度檢測防火墻:VOIP網絡安全的基石
陸耀光 2005/06/03
SonicWALL大中華區(qū)銷售總經理
陸耀光加入SonicWALL已有4年時間。作為大中華區(qū)銷售總經理,陸耀光負責本地區(qū)的總體業(yè)務開發(fā)工作,包括制定銷售和市場戰(zhàn)略以及管理技術團隊。陸耀光成功地將SonicWALL在本地區(qū)的業(yè)務發(fā)展到數(shù)百萬美元,同時在中國樹立起SonicWALL的品牌形象。
加入SonicWALL之前,陸耀光擔任朗訊科技公司的地區(qū)銷售經理,負責企業(yè)市場數(shù)據(jù)網絡銷售工作。在朗訊之前,陸耀光擔任3Com公司的銷售經理。陸耀光在IT行業(yè)有10多年的銷售和市場經驗,特別專注于數(shù)據(jù)網絡和數(shù)據(jù)安全技術。
陸耀光畢業(yè)于香港理工大學,獲得電子工程學位。
摘要:本文討論了與安全VoIP網絡部署相關的問題和復雜性,然后詳細介紹了SonicWALL公司的完全VoIP解決方案。
內容
- 與VoIP和網絡安全性相關的問題
- 現(xiàn)有VoIP安全性解決方案
摘要
對于希望通過采用網絡電話(VoIP)技術來降低通信成本的企業(yè)來說,語音和數(shù)據(jù)融合的網絡相關的安全風險不容忽視。通話費用的降低、集中管理和快速部署等好處顯而易見,因此VoIP安全性和網絡完整性方面的問題經常被忽略。
在VoIP網絡中,有大量的目標會受到潛在的威脅,呼叫服務器以及相應的操作系統(tǒng)、VoIP電話及軟件,甚至VoIP電話呼叫本身都容易受到攻擊。
本文討論了與安全VoIP網絡部署相關的問題和復雜性,然后詳細介紹了SonicWALL公司的完全VoIP解決方案,特別是SonicWALL創(chuàng)新的狀態(tài)數(shù)據(jù)包變換技術。
與VoIP和網絡安全性相關的問題
在VoIP網絡中,防火墻*的傳統(tǒng)角色正在發(fā)生本質上的變革。過去,防火墻在VoIP環(huán)境中不影響VoIP的使用就可以了。因為VoIP要求因特網上基于IP的資源是可預測的、靜態(tài)可用的,但防火墻的網絡地址轉換(NAT)功能給VoIP網絡帶來了障礙。通過“pin-holing”和其它技術,安全供應商已經找到了適應VoIP基礎設施、保證互操作的方法。
然而,隨著網絡威脅越來越復雜,防火墻在VoIP環(huán)境中的角色也從“保證通暢”演化為全面支持和保護整個基礎設施。從IP電話、軟電話和無線通信設備等最終用戶終端,到H.323關守和SIP代理服務器等基礎設施設備,企業(yè)范圍的VoIP部署涉及范圍越來越寬。簡單拒絕服務(DoS)攻擊的目的是影響IP語音基礎設施的可用性,而全面的應用層攻擊則主要針對VoIP協(xié)議本身。總之,威脅的確存在,并且在不斷增長。
對于成功的VoIP實施,有三個關鍵因素必須考慮:
- VoIP安全性
- VoIP網絡互操作性和協(xié)議支持
- VoIP供應商互操作性
下面的章節(jié)討論了這幾個方面。
*在本文中,“防火墻”一詞用來指任何為VoIP網絡提供外圍安全功能的安全設備。實際上,現(xiàn)代安全設備已經超過了狀態(tài)檢查防火墻,采用深度數(shù)據(jù)包檢測技術大大增強了安全能力。
VoIP安全性
VoIP安全性包括許多方面,但對于任何部署都必須考慮的主要因素包括接入、可用性和實現(xiàn)。
接入
VoIP呼叫容易受到會話劫持和中間人攻擊。沒有適當?shù)陌踩胧粽呖梢越厝oIP呼叫并修改呼叫參數(shù)/地址。這就為電話欺騙、身份竊取、呼叫重定向和其它攻擊打開了大門。
即使不修改VoIP數(shù)據(jù)包,攻擊者也可以竊聽到通過VoIP網絡傳輸?shù)碾娫捊徽劇H绻鸙oIP數(shù)據(jù)包無保護地通過因特網傳輸,攻擊者就有機會獲得所包含的信息。
對于標準的公共交換電話網絡(PSTN)連接,截取對話需要物理上接觸電話線或者小型交換機(PBX)。但對于通常是通過公共因特網和TCP/IP協(xié)議傳輸?shù)脑捯?數(shù)據(jù)網絡來說,并沒有提供類似電話線的“物理線路”安全性。通過在網絡基礎設施的某些部分(如VoIP網關的出入口)訪問和監(jiān)視網絡業(yè)務流,攻擊者可以獲取并重組VoIP數(shù)據(jù)包。利用公開可以獲得的工具,如Vomit(http://vomit.xtdnet.nl),可以將這些數(shù)據(jù)包轉換為.wav文件,這樣攻擊者就可以竊聽,甚至錄制并重放通話內容。
可用性
VoIP網絡的可用性也是一個重要問題。PSTN網絡的可用性達到99.999% - 攻擊者要想影響其可用性必須物理上訪問電話交換機或切斷電話線。然而,對于沒有保護的VoIP網絡,針對關鍵點的簡單拒絕服務(DoS)攻擊就可以削弱或者中斷話音和數(shù)據(jù)通信。
VoIP網絡對于DoS攻擊特別敏感,例如:
- 畸形請求DoS - 可以利用精心編制的協(xié)議請求來利用已知的漏洞,從而導致服務部分或全部中斷。可以利用這種方法導致目標崩潰,也可以用來控制目標。
- 針對媒體的DoS - VoIP媒體由實時協(xié)議(RTP)數(shù)據(jù)包承載,因此容易受到攻擊。例如,網絡阻塞型攻擊,或者是削弱或破壞終端設備(電話或網關)實時處理數(shù)據(jù)包的能力。
如果攻擊者能夠訪問網絡中媒體傳輸經過的部分,那么只需要簡單地注入大量媒體數(shù)據(jù)包或者高服務質量(QoS)優(yōu)先級的數(shù)據(jù)包就可以擾亂合法媒體數(shù)據(jù)包的傳輸。
- 基于負載的DoS - DoS攻擊并不一定需要利用畸形數(shù)據(jù)包才能達到目的。向目標發(fā)送大量合法請求很容易就會使設計不好的系統(tǒng)癱瘓。
甚至不需要發(fā)送實際的VoIP請求,利用TCP SYN Flood這樣的DoS攻擊就可以使設備在相當長的一段時間內無法接收呼叫。
實現(xiàn)問題
VoIP涉及大量標準,如會話初始化協(xié)議(SIP)、H.323、媒體網關控制協(xié)議(MGCP)和H.248。這些復雜的標準會由于軟件實現(xiàn)中的缺陷或錯誤而留下漏洞。對于PSTN,電話是簡單的“啞終端”-
所有邏輯和智能都在PBX中。對于攻擊者來說,破壞PSTN網絡的訪問可以使用的手段并不多。
然而對于VoIP,目前影響操作系統(tǒng)和應用的錯誤、缺陷和漏洞也同樣適用于VoIP設備。不要忘記,目前許多VoIP呼叫服務器和網關設備都使用了脆弱的Windows和Linux操作系統(tǒng)。看看有關H.323[CERT-H.323]或SIP[CERT
- SIP]的CERT建議就可以了解已經發(fā)現(xiàn)如此大量的漏洞以及受到影響的十多家供應商的名單。
VoIP網絡互操作性和協(xié)議支持
VoIP比基于TCP/UDP的標準應用更為復雜。由于VoIP信令和協(xié)議的復雜性,而且當防火墻利用網絡地址轉換(NAT)技術修改源地址和源端口信息時引入的不一致性,因此VoIP有效地通過防火墻比較困難。原因有幾個。
- VoIP工作時采用兩組協(xié)議 - 信令(在客戶和VoIP服務器)和媒體(客戶間)。每個對話中媒體協(xié)議(RTP/RTCP)所使用的端口/IP地址是由信令協(xié)議動態(tài)協(xié)商的。防火墻需要動態(tài)跟蹤和維護這一信息,在適當?shù)臅r候為會話安全地打開所選擇的端口并適時關閉它們。
- 多個媒體端口通過信令會話動態(tài)協(xié)商;媒體端口的協(xié)商內容包含在信令協(xié)議的凈荷中(IP地址和端口信息)。防火墻需要深入檢測每個數(shù)據(jù)包來獲得所需要的信息并動態(tài)維持會話,因此需要防火墻具備額外的處理能力。
- 源和目標IP地址嵌入在VoIP信令數(shù)據(jù)包中。支持NAT的防火墻對數(shù)據(jù)包在IP頭一級進行IP地址和端口轉換。更為不利的是,全對稱NAT防火墻經常調整其NAT綁定,而且為了保護內部網絡,可能會隨時關閉允許外部數(shù)據(jù)包進入的針孔通道,從而使得服務供應商無法向內部網絡的客戶發(fā)送呼叫請求。
- 為有效地支持VoIP,NAT防火墻需要在數(shù)據(jù)包通過防火墻時進行深度數(shù)據(jù)包檢測并轉換嵌入的IP地址和端口信息。
- 防火墻還必須能夠處理由不同VoIP系統(tǒng)所使用的不同消息格式組成的信令協(xié)議組。實際上,兩家供應商采用了同樣的協(xié)議組并不意味著他們之間就可以互操作。
VoIP供應商互操作性
有些VoIP供應商的產品所實現(xiàn)的協(xié)議與基于RFC的標準VoIP協(xié)議有少量不同,并不是所有都完全符合或兼容標準。而且,有些供應商采用了所謂“標準兼容的”專用VoIP協(xié)議。由于這一原因,防火墻能夠與盡量廣泛的VoIP終端設備和呼叫服務器實現(xiàn)互操作就非常重要。
最后,每家供應商都應當保證與其它供應商的設備是兼容的。SonicWALL在這方面投入了大量的時間和精力。SonicWALL設備可互操作的部分設備名單在本文檔后面列出。
現(xiàn)有VoIP安全性解決方案
目前有多種針對VoIP基礎設施安全保障方法。下表簡要概述了主要的方法。
SonicWALL解決方法
SonicWALL公司的完全VoIP解決方案為VoIP基礎設施提供了無與倫比的安全性,基于標準的VoIP兼容性,以及與全球大多數(shù)主要VoIP網關和通信設備的互操作性。
所有SonicWALL TZ 170 和 PRO 系列 (Gen 4) 安全設備都支持本文所描述的全面VoIP安全防護能力。這一點非常重要,因為VoIP網絡的總體安全性取決于網絡中最脆弱的鏈路,這些地方需要最高水平的保護,甚至在家庭辦公和個人通信設備方面也是如此。
SonicWALL安全設備基于SonicOS版或增強版固件,具有內建的VoIP能力。利用SonicWALL增強版,用戶可以獲得更多呼叫監(jiān)控和報告功能,以及更多更全面的服務質量(QoS)支持(例如,進入方向帶寬管理)。
圖 1.
SonicWALL VoIP 解決方法
SonicWALL VoIP解決方案的核心包括以下方面(將在本文后面的章節(jié)詳細描述):
- 在整個VoIP呼叫期間的狀態(tài)數(shù)據(jù)包檢測和變換
- 安全性
- VoIP入侵防御、防病毒、內容過濾
- VoIP over WLAN,支持全面的威脅預防功能
- 檢測并丟棄畸形惡意數(shù)據(jù)包
- 強制‘封閉’VoIP網絡 – 防止非授權呼叫
- 架構
- 支持流式媒體和組播應用
- 任意設備組合可以位于任何區(qū)域(H.323 和 SIP 端點、H.323 關守、H.323 多點控制單元、SIP代理和重定向服務器)
- 網守和代理可以位于網絡的任何位置,甚至在DMZ區(qū)
- 全對稱NAT
- 豐富的報告
- 呼叫跟蹤
- ‘異常’數(shù)據(jù)包日志
- 簡化問題排除和調試過程
SonicWALL VoIP安全性
SonicWALL公司功能強大的深度檢測技術為在VoIP基礎設施中的所有點檢測和強化業(yè)務流管理提供了一種靈活的框架。
VoIP服務器和端點
- 業(yè)務流合法性
對通過防火墻的每個VoIP信令和媒體數(shù)據(jù)包進行狀態(tài)檢測可保證所有業(yè)務流的合法性。對于攻擊者來說,攻擊所使用的主要方法就是利用特殊編制的數(shù)據(jù)包來窺探和利用軟硬件實現(xiàn)的缺陷,從而導致目標設備出現(xiàn)緩沖區(qū)溢出等問題。SonicWALL能夠在奇異或非法數(shù)據(jù)包到達目標之前檢測到它們并將其丟棄。
- 對VoIP協(xié)議的應用層保護
SonicWALL入侵檢測服務(IPS)能夠為VoIP協(xié)議應用層提供全面保護。IPS集成了一個可配置的超高性能掃描引擎,配合動態(tài)更新和擁有1900多攻擊和漏洞簽名的數(shù)據(jù)庫,可以保護網絡免受最復雜的木馬和變形威脅的影響。SonicWALL已經利用一系列VoIP相關的簽名來擴展其IPS簽名數(shù)據(jù)包,可以防止惡意業(yè)務流到達受保護的VoIP電話和服務器。
Figure 2 SonicWALL IPS GUI
- DoS 和 DDoS攻擊保護
防止DoS和DDoS攻擊,如SYN Flood、Ping of Death以及LAND(IP)攻擊。這些攻擊會造成網絡或服務癱瘓。
- 驗證采用TCO的VoIP信令數(shù)據(jù)包的順序。不允許失序或在窗口外重傳的數(shù)據(jù)包。
- 在每一TCP會話中采用隨機TCP順序號(在連接建立時由加密隨機數(shù)生成器生成)并驗證數(shù)據(jù)流,防止重放和數(shù)據(jù)插入攻擊。
- SYN Flood保護保證了攻擊者無法通過打開多個TCP/IP連接(并未完全建立 – 通常是采用欺騙源地址)來使服務器過載。
- 狀態(tài)監(jiān)控
狀態(tài)監(jiān)控保證數(shù)據(jù)包(即使表面上看起來正確)符合目前所關聯(lián)的VoIP連接的狀態(tài)。
- SonicWALL防病毒
SonicWALL防病毒產品保護軟電話客戶免受基于病毒的威脅,同時自動強制應用病毒定義DAT文件。這大大縮短了整個網絡的防病毒策略管理所需要的時間,并降低了成本。
VoIP會話
- 無縫支持加密媒體
一些VoIP設備可以利用加密來保護VoIP會話期間交換的媒體數(shù)據(jù),防止竊聽和重放。
- 強認證和加密
SonicWALL公司的點到點(site-to-site)和遠程移動用戶IPSec VPN經過了ICSA認證,為遠程用戶、遠程辦公人員和分支機構訪問網絡資源提供了經濟可靠和安全的遠程訪問通道。配置健壯的認證服務,可以利用公共密鑰基礎設施(PKI)和數(shù)字證書為因特網VPN用戶提供強大的認證機制。
為保護不支持加密媒體傳輸?shù)腣oIP設備,IPSec VPN提供了完全的解決方案,可保證VoIP呼叫的私密性。
VoIP網絡
- 無線局域網上的VoIP ( VoIP over WLAN)
SonicWALL利用其分布式無線解決方案將完全的VoIP安全性擴展到附屬的無線網絡。無論是利用內置802.11無線功能的TZ 170系列,還是配合使用PRO系列設備和SonicPoint
802.11a/b/g智能接入點,利用無線網絡的VoIP設備可以擁有與SonicWALL設備后面有線網絡上的VoIP設備一樣的所有安全特性和優(yōu)點。
- 通過帶寬管理保證可用性和呼叫質量
帶寬管理(包括入和出兩個方向)可保證時間敏感的VoIP業(yè)務流所需要的帶寬。通過連續(xù)監(jiān)控和管理可用的帶寬,SonicWALL可以保證VoIP設備享有呼叫所需要的帶寬。
- WAN冗余和負載平衡
WAN冗余和負載平衡允許利用一個接口做為輔助或備份WAN端口。輔助WAN端口可采用簡單的主/被(active/passive)設置,僅在主WAN端口故障和/或不可用時業(yè)務流才會路由到這個端口。輔助WAN端口還可采用更為動態(tài)的(active/active)配置,出口業(yè)務流被分配到主和輔WAN端口,以提供更大的吞吐能力。
- 高可用性
SonicWALL硬件故障切換能力可在系統(tǒng)故障時保證可靠連接的連接,從而保障了高可用性。
ChinaByte(e.chinabyte.com)
相關鏈接:
成安县|
克什克腾旗|
南澳县|
会理县|
宝兴县|
樟树市|
渝北区|
会东县|
伽师县|
丰台区|
固原市|
含山县|
泽普县|
巴里|
雷波县|
盖州市|
鹤岗市|
商河县|
常熟市|
泰来县|
白银市|
承德市|
进贤县|
同仁县|
松溪县|
仁布县|
普定县|
南涧|
合肥市|
大石桥市|
新安县|
若尔盖县|
巧家县|
临沭县|
塔城市|
开封县|
池州市|
渑池县|
扎鲁特旗|
汾西县|
连城县|