五大難題拷問IP電話安全
2005/04/25
“可以隨意撥打、竊聽隨時(shí)會(huì)發(fā)生、正常通話有可能被拒絕……”越來越多運(yùn)營商和企業(yè)所青睞的IP電話,正為安全所困。但面對(duì)無法信任的防火墻,我們還能有什么樣的選擇?
由于基礎(chǔ)設(shè)施成本及使用成本較低,越來越多的電信公司和客戶開始嘗試IP電話。日前,信息產(chǎn)業(yè)部綜合規(guī)劃司發(fā)布的1~2月份通信行業(yè)分析報(bào)告顯示,在長(zhǎng)途電話業(yè)務(wù)中,IP電話通話時(shí)長(zhǎng)已經(jīng)占長(zhǎng)途電話通話時(shí)長(zhǎng)的45.7%。
不過,在搭建IP電話網(wǎng)絡(luò)時(shí),安全是非常重要的問題,F(xiàn)今的應(yīng)用層軟件防火墻,由于廠商、用戶、產(chǎn)品等方面受五大難題的制約,很難為網(wǎng)絡(luò)管理員提供相應(yīng)的安全性和可靠性方面的保障。
難題一:廠商重犯10多年前的錯(cuò)誤
網(wǎng)絡(luò)安全領(lǐng)域的斗爭(zhēng)從來就沒有停止過,只不過斗爭(zhēng)的前沿時(shí)常從OSI協(xié)議棧的一層轉(zhuǎn)移到另外一層而已。幾年前網(wǎng)橋和路由器為安全問題所困擾的情況,現(xiàn)在同樣發(fā)生在IP電話網(wǎng)絡(luò)身上。
近期,許多剛成立不久的公司紛紛發(fā)表調(diào)查報(bào)告,報(bào)告聲稱,盡管目前特定于具體應(yīng)用的防火墻越來越多,但它們檢測(cè)到的應(yīng)用層蠕蟲和病毒的數(shù)量正在不斷增加。與此同時(shí),各防火墻廠商都在緊鑼密鼓地研發(fā)更智能化并帶深度包檢測(cè)(Deep Packet Inspection,DPI)功能的安全設(shè)備。我們知道,DPI功能將使得網(wǎng)絡(luò)管理員能夠配置數(shù)字位匹配模式,用以匹配和鑒別特定的數(shù)據(jù)報(bào)。
然而,恐怕這些防火墻廠商正在犯著10多年前以太網(wǎng)網(wǎng)橋制造商就曾經(jīng)犯過的錯(cuò)誤。那時(shí)候,為了對(duì)抗路由器,網(wǎng)橋制造商引入了能按位模式來轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)的所謂智能網(wǎng)橋,他們宣稱這些智能網(wǎng)橋融合了路由器的優(yōu)點(diǎn)同時(shí)擯棄了路由器的缺點(diǎn)。也許他們說的沒錯(cuò),但事實(shí)是,配置這些智能網(wǎng)橋的門檻實(shí)在太高了,如果你沒有博士級(jí)的智商,恐怕很難能有機(jī)會(huì)弄明白這些智能網(wǎng)橋的配置細(xì)節(jié)。
現(xiàn)在看來,DPI的實(shí)現(xiàn)似乎避免不了與這些智能網(wǎng)橋相同的命運(yùn)。目前多數(shù)DPI引擎的缺省設(shè)置是不分青紅皂白地把所有外部數(shù)據(jù)通通拒之門外,因此表面上看起來好像確實(shí)提供了強(qiáng)有力的安全防護(hù),然而對(duì)管理員來說,真正的挑戰(zhàn)在于如何配置這些引擎,使其具有識(shí)別數(shù)據(jù)的能力;如何可以讓它過濾掉那些無用或帶攻擊性的數(shù)據(jù),而只讓真正有用的數(shù)據(jù)進(jìn)來。對(duì)于很多防火墻管理員來說,這個(gè)任務(wù)顯得很是艱巨。
即使對(duì)那些經(jīng)驗(yàn)豐富的工程師來說,這也是非常大的挑戰(zhàn)。Nokia的產(chǎn)品概念工程師Wayne Fiori在談到DPI時(shí)直言“感覺不太好”。他說,“我們有一個(gè)內(nèi)部應(yīng)用需要用到防火墻,我最終把所謂的智能應(yīng)用給徹底關(guān)了,它實(shí)在是礙手礙腳,它缺省地把所有的數(shù)據(jù)都給擋住了,這不是添亂嘛,那時(shí)候我簡(jiǎn)直要瘋了!
先把易用性放在一邊。很難想象通用防火墻軟件廠商能保證自己的軟件能夠?qū)崿F(xiàn)各種紛繁的IP語音(Voice over IP,VoIP)標(biāo)準(zhǔn)和協(xié)議。即使是那些做專用防火墻的公司在處理各種標(biāo)準(zhǔn)、RFC、VoIP相關(guān)的重要草案時(shí),也是相當(dāng)頭疼。所以,通用防火墻公司很難像那些專用防火墻公司一樣,又快又省地及時(shí)支持新標(biāo)準(zhǔn),更不用說那些標(biāo)準(zhǔn)的擴(kuò)展了。
碰到這些情況時(shí),網(wǎng)絡(luò)管理員該如何抉擇呢?對(duì)于通話量較低并且對(duì)IP電話要求比較簡(jiǎn)單的情況,升級(jí)通用防火墻加入DPI支持是個(gè)可行的方案;另一方面,對(duì)高通話量的情況,通常需要把VoIP數(shù)據(jù)轉(zhuǎn)移到專用的防火墻上,只有一種情況例外,就是如果防火墻軟件廠商和IP專用分組交換機(jī)(IP PBX)廠商在技術(shù)上有合作的話,可以做到讓通用DPI防火墻更好地支持IP PBX的特殊功能,那么通用防火墻也有可能應(yīng)付高通話量的要求。
另外,部署專用安全設(shè)備可能可以比較快地解決問題,提供所謂的“單項(xiàng)優(yōu)勢(shì)”(best-of-breed)安全防護(hù)。但這也意味著,你要管理和維護(hù)更多的專業(yè)設(shè)備,從長(zhǎng)期來看會(huì)造成成本的增加。
如果網(wǎng)絡(luò)管理員和防火墻廠商恰好是DPI追隨者的話,應(yīng)該說也還是很有盼頭的;旧,改進(jìn)DPI防火墻軟件人機(jī)交互功能的方式有兩種:其一是通過內(nèi)部開發(fā)改進(jìn)完善;另一種則是通過收購那些剛起步的專用防火墻軟件公司,并融合它們的技術(shù)優(yōu)勢(shì)。
問題二:用戶投資難以應(yīng)對(duì)安全現(xiàn)狀
由于目前已知的IP電話攻擊并不多見,所以想說服CEO們和預(yù)算管理人員在IP電話安全方面增加資金投入還是有一定難度的,網(wǎng)絡(luò)管理員們應(yīng)該會(huì)認(rèn)同這一點(diǎn)。然而就在今年1月份,英國國家基礎(chǔ)建設(shè)安全響應(yīng)中心(NISCC)報(bào)導(dǎo)他們發(fā)現(xiàn)了目前被普遍認(rèn)為是在分組網(wǎng)上支持語音、圖像和數(shù)據(jù)業(yè)務(wù)最成熟的H.323協(xié)議的多個(gè)漏洞,而其中又以負(fù)責(zé)建立IP電話連接的H.225.0子協(xié)議里問題最多。如果漏洞遭到攻擊,結(jié)果可能造成惡意代碼的執(zhí)行或是拒絕服務(wù)(DoS)攻擊。
會(huì)話啟動(dòng)協(xié)議(Session Initiation Protocol,SIP)的情況也好不到哪里去。2003年2月,國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CERT)報(bào)導(dǎo)了SIP協(xié)議棧中的一個(gè)漏洞。利用該漏洞,攻擊者將有機(jī)會(huì)獲得非法訪問特權(quán),發(fā)起DoS攻擊,造成系統(tǒng)不穩(wěn)等問題。
從原理上說,利用漏洞可以發(fā)起各種類型的攻擊。比如一旦網(wǎng)關(guān)被黑客攻破,IP電話不用經(jīng)過認(rèn)證就可隨意撥打,未經(jīng)保護(hù)的語音通話有可能遭到攔截和竊聽,而且可以被隨時(shí)截?cái)。黑客利用重定向攻擊可以把語音郵件地址替換成自己指定的特定IP地址,為自己打開秘密通道和后門,等等。
與此同時(shí),其他流行的攻擊手段也會(huì)對(duì)網(wǎng)絡(luò)語音環(huán)境造成巨大的威脅,除了DoS和DDoS攻擊外,如果PC中了特洛伊木馬的話,竊聽就隨時(shí)可能發(fā)生。類似地,亂序語音數(shù)據(jù)報(bào)(比如媒體數(shù)據(jù)報(bào)在會(huì)話數(shù)據(jù)報(bào)之前被接收到)和過長(zhǎng)的電話號(hào)碼都可能為緩沖區(qū)溢出攻擊打開方便之門,而VoIP濫用(類似垃圾郵件)則可以通過不停播打同一號(hào)碼使該號(hào)碼陷于癱瘓。
另一個(gè)復(fù)雜的問題是,如果在防火墻之上同時(shí)運(yùn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)服務(wù)的話,外呼請(qǐng)求可能就無法正常工作。雖然NAT能夠轉(zhuǎn)換語音數(shù)據(jù)報(bào)中IP層和傳輸層的源地址與端口號(hào),但NAT并不理會(huì)語音數(shù)據(jù)報(bào)中其他更底層的源地址信息。所以,對(duì)VoIP來說這意味著主叫方的地址將是個(gè)內(nèi)部地址,而被叫方在試圖建立通話時(shí)則會(huì)被導(dǎo)向錯(cuò)誤的源地址。
當(dāng)涉及到外部呼叫者時(shí),VoIP面臨的安全挑戰(zhàn)就愈加復(fù)雜了。典型的情況是,對(duì)于一個(gè)公司搭建的IP電話網(wǎng)絡(luò)來說,防火墻只認(rèn)可從該網(wǎng)絡(luò)內(nèi)部發(fā)起的會(huì)話請(qǐng)求。然而對(duì)IP電話來說,公司外部的人也可能需要打電話進(jìn)來。對(duì)于內(nèi)部用戶來說,為他們安裝VPN客戶端是個(gè)暫時(shí)的解決方案。但長(zhǎng)遠(yuǎn)來說這肯定不夠,外部呼叫者可能是個(gè)陌生人,所以不可能為他們預(yù)裝VPN客戶端。
問題三:防火墻產(chǎn)品缺陷明顯
為了對(duì)抗針對(duì)IP電話的攻擊,防火墻必須要更智能、更高效地檢驗(yàn)進(jìn)來的數(shù)據(jù)報(bào)里與SIP相關(guān)的信息。對(duì)此,不同的防火墻廠商采取了不同的方案。但大體來看,各方案或多或少都存在一些問題(詳見下表)。
對(duì)于具有全狀態(tài)檢測(cè)(stateful-inspection)功能的防火墻來說,它本身并不具有應(yīng)付應(yīng)用層攻擊的防護(hù)能力,這種防火墻在傳輸層對(duì)數(shù)據(jù)進(jìn)行檢查,它首先跟蹤從公司IP電話網(wǎng)絡(luò)出去的會(huì)話連接,然后利用這些信息來決定哪些外部數(shù)據(jù)是安全的,可以進(jìn)入公司網(wǎng)絡(luò)。
基于代理的防火墻如TIS的Guantlet,具有在應(yīng)用層對(duì)具體應(yīng)用進(jìn)行安全保護(hù)的能力。它的工作方式是首先檢測(cè)從外部進(jìn)來的會(huì)話連接,分析其所使用的協(xié)議,然后掐斷該外部連接,最后從自己這方重新發(fā)起一個(gè)到對(duì)方的新連接。這種防火墻雖然能直接在應(yīng)用層對(duì)不同的具體應(yīng)用提供相應(yīng)的保護(hù),但它是以犧牲性能為條件的,并且需要對(duì)每個(gè)具體應(yīng)用進(jìn)行特別調(diào)整。
沒有任何一款VoIP防火墻(包括全狀態(tài)檢測(cè)防火墻)是純粹工作在網(wǎng)絡(luò)層和傳輸層的,最起碼它們也要利用應(yīng)用層網(wǎng)關(guān)(ALG)在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層查找地址信息并進(jìn)行相應(yīng)修改。ALG對(duì)終端設(shè)備來說是透明的,所以在處理SIP時(shí),它們并不會(huì)向請(qǐng)求連接一方發(fā)送TRYING消息。
有些防火墻在處理SIP數(shù)據(jù)報(bào)時(shí)會(huì)利用DPI查看數(shù)據(jù)報(bào)更細(xì)節(jié)的信息,比如在應(yīng)用層檢查數(shù)據(jù)報(bào)是否符合標(biāo)準(zhǔn)格式,這樣,這些基于DPI的防火墻就能防住某些緩沖區(qū)溢出攻擊。實(shí)現(xiàn)該功能的廠商有Cisco、NetScreen和WatchGuard。
基于代理的防火墻位處主叫方和被叫方中間,截取兩端的通話信號(hào)和媒體流,這些設(shè)備工作方式類似SIP代理服務(wù)器,只不過它們同時(shí)還能進(jìn)行協(xié)議正確性校驗(yàn)和檢查。邊界會(huì)話控制器(Session Border Controllers,SBC)是一種被眾多運(yùn)營商用于連接VoIP服務(wù)和支持QoS的設(shè)備,它們也屬于基于代理的防火墻這一類。很多制造SBC的廠商同時(shí)也為企業(yè)提供類似的防火墻產(chǎn)品。
問題四:應(yīng)用層過于復(fù)雜
每種防火墻實(shí)現(xiàn)方案都面臨著諸如應(yīng)用層復(fù)雜性、性能、價(jià)格以及數(shù)據(jù)加密的問題。
顯然,如果通話數(shù)據(jù)被加密的話,防火墻是沒法對(duì)數(shù)據(jù)進(jìn)行檢查的。而基于代理的防火墻可能可以繞過這個(gè)問題,但同時(shí)又造成其他的安全隱患。因?yàn)榇祟惙阑饓ξ挥谕ㄔ拑啥说男盘?hào)和媒體流之間,通話方會(huì)“認(rèn)為”他們已經(jīng)和對(duì)方建立了直接的安全對(duì)話,但實(shí)際上他們只是和防火墻建立了安全會(huì)話,因此基于代理的防火墻實(shí)際上有著潛在的不安全因素。
應(yīng)用層的復(fù)雜性又是一個(gè)問題。有些基于代理的防火墻自詡其有強(qiáng)大的檢查校驗(yàn)數(shù)據(jù)報(bào)SIP正確性的能力,但我們恐怕不能盡信其言。SIP是一個(gè)極端復(fù)雜的協(xié)議,涉及到60多個(gè)RFC和標(biāo)準(zhǔn)草案,僅僅是準(zhǔn)確實(shí)現(xiàn)這些紛繁的特性和功能就足以把這些防火墻廠商壓得喘不過氣來。
SIP還具有極強(qiáng)的擴(kuò)展性,許多廠商在此基礎(chǔ)上進(jìn)行了很多專有的擴(kuò)展。如果沒有這些廠商的支持的話,是幾乎不可能對(duì)其功能和正確性進(jìn)行檢查的,所以在購買此類產(chǎn)品之前建議進(jìn)行認(rèn)真細(xì)致的試用和評(píng)估。
絕大多數(shù)防火墻廠商的產(chǎn)品只實(shí)現(xiàn)了一小部分SIP的RFC和標(biāo)準(zhǔn)草案,而且廠商對(duì)這類事實(shí)一般都秘而不宣。
然而SIP也僅僅只是眾多IP電話協(xié)議中的一個(gè)而已。Nortel、Avaya和Cisco在連接電話終端和它們的IP PBX時(shí)都使用了其專有的基于H.323協(xié)議的變種協(xié)議。目前市場(chǎng)上有許多H.323協(xié)議的變種,媒體網(wǎng)關(guān)控制協(xié)議(MGCP和MEGACO)也不例外。為了進(jìn)行企業(yè)電話客戶端和這些IP PBX的安全防護(hù),對(duì)防火墻來說,支持這些專有H.323變種協(xié)議就顯得相當(dāng)重要。
然而,僅僅只是能支持這些協(xié)議還遠(yuǎn)遠(yuǎn)不夠,網(wǎng)絡(luò)管理員還非常重視防火墻部署時(shí)的簡(jiǎn)易性。美國勞倫斯·利弗莫爾國家實(shí)驗(yàn)室安全應(yīng)急主管Jon Diaz就說“我研究過DPI的實(shí)現(xiàn),但問題是,要具有很多相關(guān)的專業(yè)知識(shí)才可能弄明白整個(gè)配置過程!
問題五:性價(jià)比阻礙應(yīng)用推廣
現(xiàn)在來談?wù)勑阅芎蛢r(jià)格問題。Check Point的Besser宣稱說,實(shí)現(xiàn)DPI并不會(huì)對(duì)防火墻的性能造成太大的影響。我們知道,如果防火墻要對(duì)通話內(nèi)容進(jìn)行檢查的話,那么整個(gè)過程必須要以非?斓乃俣冗M(jìn)行,否則會(huì)對(duì)通話造成負(fù)面影響。IP語音與HTTP類型的連接不同,IP語音的信號(hào)量極大,如果DPI防火墻廠商拿不出什么絕招的話,那么在應(yīng)用層對(duì)數(shù)據(jù)進(jìn)行檢查肯定會(huì)對(duì)防火墻性能造成極大的影響。
即使是Nokia的防火墻也很難同時(shí)支持2000個(gè)VoIP用戶。Nokia的說法是: 在協(xié)調(diào)VoIP用戶數(shù)和通過防火墻的會(huì)話數(shù)上他們還沒有成熟的測(cè)試方案。
目前防火墻最大的問題可能是會(huì)對(duì)通話質(zhì)量造成影響!胺阑饓Φ拇嬖跁(huì)造成一些語音延遲和不穩(wěn)定等問題! 為加拿大政府安裝VoIP系統(tǒng)的IT主管Michel Labelle說道,“防火墻并沒有意識(shí)到傳統(tǒng)的服務(wù)質(zhì)量(QoS)問題,所以避免不了對(duì)通話質(zhì)量造成影響!
解決方案也有,但產(chǎn)品的價(jià)格就要高出許多。確切數(shù)字不好說,不過作為參考,Nokia的能同時(shí)支持200個(gè)網(wǎng)絡(luò)通話的IP 1260安全平臺(tái)價(jià)格為6萬美元。
基于代理的防火墻由于不需要那么多的硬件支持,所以相對(duì)來說價(jià)格較低。比如Jasomi PeerPoint的企業(yè)版支持600個(gè)注冊(cè)用戶和100個(gè)同時(shí)通話的用戶,起價(jià)為12000美元。
放棄防火墻?
由于目前沒有任何一個(gè)防火墻方案能完美地解決VoIP安全問題,因此有些安全專家認(rèn)為在應(yīng)用層這個(gè)級(jí)別可能最好的處理辦法就是完全放棄防火墻。RTFM安全咨詢公司的主管兼?zhèn)鬏攲影踩═LS)工作小組副主席Eric Rescorla認(rèn)為,防火墻并不如想象的那么好,“看看電子郵件應(yīng)用中蠕蟲是如何突破防火墻的吧!
Dynamicsoft公司的CTO和SIP創(chuàng)建者之一Jonathan Rosenberg也贊同這種觀點(diǎn),他在一封電子郵件里寫道“防火墻廠商必須要非常熟悉SIP和其他IP電話協(xié)議,這樣才能保證它們產(chǎn)品的質(zhì)量,而實(shí)際上它們做不到這一點(diǎn),結(jié)果就是當(dāng)一個(gè)新的應(yīng)用或協(xié)議出現(xiàn)時(shí),在部署它們的時(shí)候你不得不尋求廠商的幫助。這種情況完全體現(xiàn)不出網(wǎng)絡(luò)的主要優(yōu)點(diǎn)!
Rosenberg建議采用一種新的模式,即防火墻不用理會(huì)SIP和其他應(yīng)用層協(xié)議。他說,現(xiàn)在一些客戶端技術(shù)如簡(jiǎn)單UDP穿越NAT協(xié)議(STUN)、交互式連通建立方式(ICE)、通過中繼方式穿越NAT技術(shù)(TURN),它們使得防火墻不需要處理SIP就能讓IP通話穿過防火墻。這些協(xié)議和技術(shù)為客戶端獲取NAT和防火墻所使用的外部傳輸層地址提供了途徑。
Rosenberg相信那些開發(fā)基于SIP的應(yīng)用的開發(fā)人員會(huì)比較傾向于支持該協(xié)議,而網(wǎng)絡(luò)管理員就不一定了。過去的經(jīng)驗(yàn)表明,安全問題從來都是很棘手的,開發(fā)人員并不總是愿意或者說并不總是有能力在開發(fā)的時(shí)候完全解決安全問題。而從CERT和NISCC發(fā)布的安全報(bào)告來看,我們也沒什么理由期待SIP開發(fā)人員會(huì)與眾不同。(譯/春雷)
VoIP如何部署防火墻
盡管當(dāng)今絕大多數(shù)公司的VoIP網(wǎng)絡(luò)都是不對(duì)外開放的,但仍然有必要在企業(yè)內(nèi)部部署VoIP防火墻。越來越多的攻擊開始時(shí)是從VoIP網(wǎng)絡(luò)內(nèi)部發(fā)起,對(duì)此進(jìn)行防衛(wèi)是必不可少的。作為對(duì)策,第一步可以將所有網(wǎng)絡(luò)語音數(shù)據(jù)隔離在虛擬局域網(wǎng)中,與此同時(shí)在可信任的域內(nèi)部署代理和網(wǎng)閘同樣很重要。
對(duì)于帶DPI的全狀態(tài)檢測(cè)防火墻,部署過程是一個(gè)在不受信任的網(wǎng)絡(luò)和受信任的企業(yè)之間的隔離帶里的防火墻端口上安裝SIP代理的過程。而實(shí)現(xiàn)了SIP背對(duì)背用戶代理的防火墻則有所不同,因?yàn)樗鼈兊墓δ茴愃拼矸⻊?wù)器,用戶代理(User Agent)可以在上面注冊(cè)。這類防火墻可以和全狀態(tài)檢測(cè)防火墻一起部署在隔離帶中,只要使用不同的端口即可,或者單獨(dú)部署在公司網(wǎng)絡(luò)的其他地方。
除了技術(shù)實(shí)現(xiàn)細(xì)節(jié)之外,網(wǎng)絡(luò)管理員也要留意協(xié)議問題。由于絕大多數(shù)IP PBX在和其他設(shè)備終端連接時(shí)使用了專有協(xié)議、SIP或H.323中繼,所以在部署時(shí)很可能需要廠商的直接支持。
計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)
相關(guān)鏈接: