VoIP的防弹衣:谈网络电话安全措施
来源:计世网 更新时间:2012-04-13

  实际上,没有什么简单的解决方法可以有效确保VoIP的绝对安全,不过还是有些办法可以尽量减小风险、改进整体的安全策略。

  安全问题对语音服务而言根本不是什么新鲜事。几十年来,传统电

话系统就饱受话费欺诈之困扰。如今,一些企业出于对安全问题的担忧而对安装IP语音(VoIP)系统犹豫不决,而另一些企业却在没有解决安全问题的前提下贸然行事。大多数行业的分析师估计,今年企业新安装的语音电话至少有一半将会是VoIP手机,这意味着你可能很快就会面临语音安全问题,如果不正视这些问题,你的系统就会随时遭到攻击。

  说到如何有效地确保VoIP 安全,根本没有灵丹妙药,但必须把这方面的安全作为整体安全策略的一部分来考虑。因为如今VoIP应用已成为IP网络的一部分,如果IP网络已经落实了良好的安全措施,整个网络安全系数越高,那么攻击者进行窃听、发动拒绝服务(DoS)攻击或者闯入VoIP系统中的操作系统或者应用系统的难度就会越大。

  一开始就让安全小组参与VoIP项目也非常重要。语音小组和数据小组也根本犯不着卷入地盘之争。毕竟,现在它们应当作为一个团队开展工作。

  遵守一系列的严格规定

  主要的VoIP安全策略很简单: 首先,在你确保各种VoIP部件和因特网之间没有任何通信之前,不要把这些设备接入网络。 其次,不要允许与因特网及VoIP系统进行联系的PC之间有任何通信。这是因为,PC特别容易受到攻击,可能会被用来闯入VoIP系统,或者对语音应用发动拒绝服务攻击。它们还会强行利用VoIP电话从事话费欺诈、暗中窃听或者冒充他人等勾当。

  如果你无法遵守这项策略,就要确保每个人都知道其中的风险,并且落实了相应的对策以缓解风险。这就要求清楚地知道安全、系统架构以及有关的VoIP协议。

  要实施安全策略,第一步就是把所有VoIP电话放在单独的虚拟局域网(VLAN)上,并且使用不可路由的RFC 1918地址。大多数VoIP电话都有内置的交换机,支持802.1p/Q虚拟局域网标准。这样一来,就有可能在桌面系统和距离最近的布线室交换机之间建立虚拟局域网,而布线室交换机可以通过网络进行延伸。

  如果语音用户的PC被接到电话的交换机上,你就可以自始至终地让语音和数据在不同的虚拟局域网上传输。记住一点: 虚拟钟蛲薹ū舜肆担潜舜酥溆新酚桑哉馐侨繁S镆艉褪莘挚囊桓霭旆āD慊箍梢允褂梅梦士刂屏斜恚ˋCL)防止虚拟局域网之间进行通信,作为保护语音的另一道安全层。让语音和数据在不同的虚拟局域网上传输,还可以简化为VoIP流量配置服务质量(QoS)。随后只是为VoIP虚拟局域网赋予优先级的问题而已,如果你通过路由器传输,仍需要第三层服务质量。

  服务质量通常与确保性能联系在一起,不过它在安全方面也起到关键作用。在不同逻辑虚拟局域网上传输的语音和数据仍使用相同的物理带宽。这意味着,即便PC被病毒或者蠕虫感染、这些PC进而向网络发送大批流量,VoIP流量仍能够在共同的物理带宽上获得优先权,因而就不会沦为拒绝服务攻击的受害者。与此同时,ACL和防火墙可以阻止VoIP系统访问因特网,反之亦然。

  虚拟局域网还可以缓解有人窃听电话的现象。如果语音包被人用分析仪获取,重放语音就轻而易举。IP具有的移动性和灵活性使得它容易受到“中间人攻击”,即地址解析协议(ARP)被用来强制流量通过某台PC传输,然后就能获取这些流量。虚拟局域网可以阻止有人从外面发动攻击,但内部攻击比较难以预防。内部人只要把某台PC接入墙上的插座,对PC进行配置,成为VoIP虚拟局域网的一部分,就可以发动攻击。要防止这种破坏,最好的办法就是购买具有强加密功能的VoIP电话,而这种方法要奏效,每只电话都要有加密功能。

  你还需要在电话和通向公共交换电话网络(PSTN)的网关之间进行加密。如今VoIP电话厂商开始把媒体加密和信令加密功能融入各自的设备当中。譬如说,Avaya声称它的所有电话现在都支持加密功能; 而北电网络公司声称,它的电话很快也具有同样的功能。加密还可以挫败需要对基础设施获得物理访问权的其他类型的窃听,譬如利用交换机的端口镜像,或者利用以太网接头接入某条以太网连接线。

  当然,加密以增加时延为代价。这对普通局域网来说不成问题,但对广域网来说可能会成问题。要考虑的另一个因素就是,如果对电话之间传输的信号进行加密(这在应用层实现),工作在应用层的防火墙就很难对加密信号进行解密。

  虽然防火墙必不可少,但别以为它们能够胜任各项工作。VoIP协议很难过滤。尽管会话初始化协议(SIP)是VoIP信号传输标准,但许多厂商采用的却是专有的信令协议,而防火墙必须理解这些协议。

  实时协议(RTP)用于传输实际的语音媒体,不过有一系列众多的端口动态分配给了每路呼叫。信令协议会表明应使用哪个RTP端口用于某路呼叫。一款好的防火墙会从信令协议处接到该指示,随后开启某个端点的IP地址所必需的那个端口。然而,不是所有的防火墙都具有这种功能。有些只是开启某段范围的端口,所以要确保你对防火墙的运行情况了如指掌。

  有些防火墙必须处理专用地址和网络地址转换(NAT),这样一来,保护VoIP的安全难度就更大了,如果处理的请求是针对采用专用地址的某个端点,更是如此。了解信令协议的防火墙能跟踪用户注册登记的最新地址,然后相应地为请求安排路由。Check Point软件技术公司声称,其最新款的FireWall-1具有这种功能,可以提供最低程度的安全接入。

  另一个办法就是把防火墙放置在专门为IP语音设计的VoIP系统前面。譬如说,Ingate公司的防火墙就是为基于SIP的VoIP系统而设计。Ingate最近宣布,如今其产品已通过了认证,能够与Avaya公司的基于SIP的产品协同工作。确保你实施的VoIP系统基于SIP,那样以后需要安全选项功能时不至于只能求助于你现有的VoIP厂商。

  另外还要当心,防火墙可能会带来时延,从而成为性能方面的一个瓶颈。

  支持VoIP的服务器每个都有各自的操作系统,而这些操作系统又存在许多相关漏洞,所以你必须确保把服务器放到你的网络上之前,它们都已打上了补丁。注意时时打上最新补丁,还要认真限制对它们的访问。每个IP电话其实也是一台电脑,有着自己的应用软件和操作系统,所以对你的电话也要采取同样的防范措施,并确保电话带有良好的补丁管理系统。

  一些例外情况

  有些应用可能会让你考虑打开语音虚拟局域网和数据虚拟局域网之间的通信通道。譬如说,大多数VoIP厂商提供的桌面客户系统能够管理VoIP电话,并且提供丰富的用户状态信息。许多厂商提供的客户端还可以让你监控其他系统用户的电话和即时通信(IM)状态,并且发布你自己的状态信息。这些特性需要桌面系统和VoIP系统之间进行一定的直接联系,所以你要想办法安全地实现这项功能。

  说到这里,使用防火墙最为稳妥。做法是,提供最低程度的接入权限,不允许PC在无意中成为用来搜寻VoIP系统中存在漏洞的平台。但如果蠕虫占用了网络上的大量带宽,PC和布线室之间的连接上所用的这些应用就无法得到保护,因为数据来自PC,因而会在数据虚拟局域网上传输。不过好消息是,VoIP电话的通信将得到保护,只要你实施了服务质量。但如果你在PC上使用的仅仅是软电话,就没有办法为PC和布线室交换机之间的语音包提供服务质量。

  如果你的远程办公人员要通过因特网访问IP PBX,虚拟专用网(VPN)显然是防止窃听的解决办法。Zultys科技公司等VoIP厂商提供的产品旨在便于通过VPN访问IP PBX。Zultys的有些电话可以直接在电话到PBX之间建立一条VPN隧道。北电公司的Contivity VPN PC客户机则可以通过连接的PC,为其电话建立VPN隧道。

  你最不希望把IP PBX暴露于因特网面前。如果你提供只能访问相关端口的功能,而且通过VPN进行验证,那么就可以尽量减小这个风险。当然,你还会希望在IP PBX和VPN网关之间安装一只防火墙,只允许访问被认为绝对有必要的端口。

  另外,也很有必要落实相应机制,以保护你的VoIP系统免受针对应用的拒绝服务攻击。如果需要从虚拟局域网进行额外的一道验证,应当不会面临来自外部的重大危害; 但如果有人获得了访问权,从内部发动攻击可能会是个问题。譬如说,利用SIP,发送大量的“注册”请求会导致服务器无力处理请求。入侵防护系统(IPS)可以缓解这个问题,而如果IPS或者入侵检测系统(IDS)能理解SIP,就可以检测这些攻击。一款好的IPS还能够防止基于SIP的中间人攻击,以免通过另一个设备改变流量传输方向。

  可以访问VoIP系统的任何桌面系统都必须加以保护。如今许多厂商提供集中管理的防火墙以及可以检查操作系统补丁及病毒更新状况的软件。这对使用IP软电话的远程办公人员来说尤为重要。

  所以不要被VoIP安全问题捆住了手脚。有了可靠的IP语音安全策略以及合理搭配的安全工具,没有理由错过VoIP具有的诸多优点。