消滅IP語音中的安全威脅
Joanne Cummings
2003/07/21
只要你采取一些簡單的預(yù)防措施��,IP語音的安全風(fēng)險(xiǎn)不一定比數(shù)據(jù)應(yīng)用更高。
一旦企業(yè)用戶測試了VoIP并證明它可行后��,它們面臨著最后一道障礙:確保它是安全的�。
但是�,一頭扎進(jìn)VoIP中的用戶說他們并不擔(dān)心安全問題。Lexent公司工程與新技術(shù)主管Doug Haluza說:“如果你正確配置它��,并且像對待網(wǎng)絡(luò)上的任何其他關(guān)鍵任務(wù)服務(wù)器和應(yīng)用那樣對待它的話�����,VoIP就像其他數(shù)據(jù)應(yīng)用一樣安全�����!盠exent是紐約的一家電力服務(wù)公司���,它自從2002年1月起就一直在企業(yè)網(wǎng)絡(luò)上運(yùn)行VoIP�。
分析人士對此表示贊同���,說保證VoIP的安全歸結(jié)為典型的保證聯(lián)網(wǎng)的服務(wù)器����、應(yīng)用和語音的安全的措施�����。但是��,在選擇防火墻�、入侵檢測系統(tǒng)(IDS)和其他安全工具時(shí),需要特別的注意��。
棘手的防火墻
在防火墻上保護(hù)VoIP數(shù)據(jù)是一項(xiàng)棘手的工作��。VoIP會話使用H.323或會話初始協(xié)議(SIP)����。VoIP部署中的防火墻必須能夠處理這些相當(dāng)復(fù)雜的實(shí)時(shí)通信協(xié)議。H.323和SIP使用分離的控制連接和媒體傳輸連接����,這意味著它們通常在建立一次呼叫時(shí)����,在一個(gè)IP端口上建立連接�����,然后選擇隨機(jī)的�、編號很大的IP端口(一般在端口1024以上)用于數(shù)據(jù)連接��。你不能簡單地將防火墻配置為打開某些端口��、阻塞某些端口���,因?yàn)榉阑饓τ肋h(yuǎn)不知道哪個(gè)端口將用于數(shù)據(jù)連接����。
銷售狀態(tài)性(stateful)SIP和H.323兼容防火墻的Check Point公司戰(zhàn)略營銷經(jīng)理Mark Kraynak說:“人們需要這樣一種防火墻:它很好地懂得這些協(xié)議�,知道只在數(shù)據(jù)連接在控制域中得到協(xié)商和認(rèn)證時(shí)才開放這些連接。它必須懂得在會話完成時(shí)關(guān)閉它們����。”
防火墻還必須在不影響語音流性能的情況下�����,完成所有的狀態(tài)性數(shù)據(jù)包檢查。
根據(jù)國際電信聯(lián)盟的建議����,端到端語音流的時(shí)延不應(yīng)當(dāng)超過100毫秒。由于語音使用比數(shù)據(jù)更小的包并且每秒傳送更多的包(每語音流大約每秒50個(gè)包�,為一般數(shù)據(jù)流中包數(shù)量的近兩倍),處理語音會迅速地造成防火墻的癱瘓��。
一家為企業(yè)用戶提供融合IP服務(wù)的機(jī)構(gòu)—MCI Advantage公司高級設(shè)計(jì)師John Truetken說:“許多軟件防火墻可以滿足數(shù)據(jù)流的需要��,但是當(dāng)你開始一次每秒50個(gè)包的語音呼叫時(shí)����,這實(shí)際上增加了它們必須檢查的包的數(shù)量,一些防火墻不能應(yīng)付這種數(shù)量的包����!彼f���,專用硬件防火墻性能通常更好��。
他說���,這種情況也同樣出現(xiàn)在VPN上����。他說:“當(dāng)你增加了20條左右的語音流時(shí)�����,一些低端VPN加密機(jī)就會出現(xiàn)問題�。它們每秒必須處理的包的數(shù)量有時(shí)會壓垮它們�。”
這正是Lexent的Haluza親身遇到過的問題����。該公司在不同站點(diǎn)中部署了基于IPSec的VPN,然后決定在它上面運(yùn)行VoIP�。
他說:“最初,我們利用安裝在遠(yuǎn)程站點(diǎn)的路由器建立了這條網(wǎng)絡(luò)����,將IPSec隧道終止于安裝在總部的防火墻上����!盠exent使用的Cisco PIX防火墻沒有硬件加速器�����,只使用軟件加密�����。Haluza說:“這不適于語音�����,因?yàn)槌霈F(xiàn)了太多的抖動(dòng)���。”他指出���,每當(dāng)防火墻上的處理器一忙����,打電話的人就會遇到語音丟失現(xiàn)象�����。
他說:“我們發(fā)現(xiàn)的另一件事是,我們不能從遠(yuǎn)程站點(diǎn)到遠(yuǎn)程站點(diǎn)打電話����,因?yàn)榉阑饓Σ蛔屵@些語音包通過同一個(gè)端口進(jìn)出�!盠exent通過將IPSec隧道終止于安裝在兩端上的路由器上后,解決了這兩個(gè)問題�����,因?yàn)閮啥说穆酚善骶哂杏布铀俟δ�,可以在站點(diǎn)之間建立傳輸線路。他說:“這樣����,我們獲得了高性能的加密�����!
保護(hù)服務(wù)器的安全
VoIP服務(wù)器也需要特別的關(guān)注�。大多數(shù)IP PBX的操作系統(tǒng)必須刪除可能會導(dǎo)致安全威脅的不必要的服務(wù)��。
Avaya公司架構(gòu)與規(guī)劃主管James Coffman說:“服務(wù)器應(yīng)當(dāng)專用于語音服務(wù)��。”他在描述Avaya公司的運(yùn)行在精簡版本的Linux上的MultiVantage IP PBX時(shí)說:“MultiVantage上面沒有Web瀏覽器�����、沒有電子郵件閱讀器���、沒有守護(hù)進(jìn)程�����。我們關(guān)閉了很多你在剛出廠的服務(wù)器上可以得到的標(biāo)準(zhǔn)的網(wǎng)絡(luò)功能��������!
這種操作系統(tǒng)加固措施有助于保護(hù)平臺不受病毒和蠕蟲(如最近出現(xiàn)的Slapper和Nimda)的攻擊。Nortel公司安全解決方案營銷經(jīng)理Fred Weiler說:“一些IP電話核心服務(wù)器僅僅使用普通的Windows NT軟件�����,它們遭到了Nimda的攻擊����。我們的平臺是基于嵌入式NT的���,這種NT操作系統(tǒng)經(jīng)過了加固、測試并刪除了不使用的服務(wù)�����,我們的IP電話平臺沒有一個(gè)受到過攻擊��������!
Cisco公司受到了指責(zé)����,它的一些基于NT的CallManager VoIP服務(wù)器受到了Nimda的攻擊�。Cisco迅速為這些系統(tǒng)發(fā)布了補(bǔ)丁��,并且也逐漸加固了它的平臺���。該公司計(jì)劃年底前提供非NT平臺選擇�����,盡管它說如果用戶認(rèn)真地在安全漏洞評估和補(bǔ)丁管理上遵守最佳慣例的話����,VoIP服務(wù)器將不會比網(wǎng)絡(luò)上其他設(shè)備更脆弱。
許多用戶由于安全原因而不再使用基于Windows的IP PBX�����。紐約州Geneva市Hobart and William Smith學(xué)院正在內(nèi)部試驗(yàn)LAN上運(yùn)行VoIP����。這所大學(xué)的CIO Brian Young說:“當(dāng)我們研究重要應(yīng)用時(shí),我們會考慮它們的平臺是否會吸引更多的病毒或黑客���,而我認(rèn)為Windows是迄今為止最大的目標(biāo)��。我們必須為減少危險(xiǎn)而做更多的工作����,這就是說擁有一個(gè)穩(wěn)定的�����、不需要很多添加的安全性與特性來保護(hù)和運(yùn)行它的系統(tǒng)�����。因此,現(xiàn)在�����,我們將重點(diǎn)放在用于VoIP的Linux和Unix平臺上������!
不過,Lexent的Haluza認(rèn)為����,Windows還是Linux/Unix之爭基本上是信仰之爭。他說:“我們只選擇最好的工具�����,不管它是什么平臺����!
但是�����,他還是采取了預(yù)防措施�,特別是不將他的語音服務(wù)器暴露給Internet。他說����,語音服務(wù)器有一個(gè)專用IP地址,語音流只在VPN保護(hù)下的安全LAN上傳送��。Lexent不是在Internet上發(fā)送語音流�,而是從一家運(yùn)營商那里購買語音線路來處理LAN之外的語音傳輸流。
Haluza說:“我們在公司之外使用傳統(tǒng)的ISDN主速率接口(PRI)語音電路��,但是我們將來自運(yùn)營商的PRI電路終止于路由器上��,然后再變成我們LAN端的IP����。”
一些新興廠商開始解決Internet安全問題����,主要通過防火墻技術(shù)。
語音專用IDS(入侵檢測系統(tǒng))可以提供更多的VoIP服務(wù)器保護(hù)�,不過���,用戶說這類設(shè)備還未做好部署的準(zhǔn)備。Hobart and William Smith公司的Young說:“在我們部署某種語音專用IDS之前����,我不會將VoIP投入學(xué)校的應(yīng)用,到目前為止�����,我們還沒有見到多少語音專用IDS������!
MCI的Truetken解釋說,大多數(shù)IDS由于常常發(fā)出虛假警報(bào)而減弱了作用�����,假警報(bào)會限制它們的性能�����,尤其在語音環(huán)境中。他說:“你必須將它們的臨界值設(shè)得高一點(diǎn)���,來適應(yīng)更多的語音包。否則���,你將收到數(shù)不清的假警報(bào)�������!
Cisco公司說它通過最近兩次收購中獲得的技術(shù)解決了這個(gè)問題�。Cisco從Psionic公司獲得了自動(dòng)進(jìn)行報(bào)警調(diào)查的能力����,從Okena公司獲得了入侵防御和檢測技術(shù)。
竊聽的風(fēng)險(xiǎn)被夸大了
另一個(gè)需要考慮的問題是保護(hù)應(yīng)用的安全�,使黑客不能竊聽語音呼叫或控制語音服務(wù)。避免竊聽的一種辦法是加密呼叫��,目前的VPN技術(shù)可以容易地做到這點(diǎn)�����。不過,要確保終端設(shè)備具有支持VPN客戶機(jī)的處理能力�。Avaya的Coffman指出,許多IP電話不具有這種處理能力����。
在這種情況下,用戶將在工作站或便攜機(jī)上安裝VPN客戶機(jī)軟件���,將電話連接到這臺PC上���。Truetken說:“這種辦法是可行的,但是你必須保證便攜機(jī)不會干擾VoIP呼叫���。如果便攜機(jī)運(yùn)行XP的話���,你可能一切正常。但是��,如果它使用Windows 98���,你就會遇到問題���。例如��,DSL具有256Kbps的帶寬����,這種帶寬可以很好地支持語音呼叫��。然而���,如果你同時(shí)還運(yùn)行Outlook的話,你可能會用完處理能力��������!
其他一些人則質(zhì)疑有沒有必要加密LAN上的VoIP����。Young說:“這里的加密需要沒有那么迫切��。不妨看看現(xiàn)在有多少人使用手機(jī)�,手機(jī)遠(yuǎn)比VoIP語音流更容易截獲和竊聽。加密LAN上的VoIP并非是優(yōu)先重點(diǎn)�。”
Lexent的Haluza同意這種觀點(diǎn)。他說: “我更擔(dān)心是入侵后端辦公室應(yīng)用的人�,而非VoIP。這是個(gè)夸大風(fēng)險(xiǎn)的案例�������!
計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)