VoIP的用户增长速度超过了其技术更新的速度,这种现状就会造成VoIP产品成为网络黑客和攻击者的对象。目前人们防范针对于VoIP攻击的意识比较薄弱,因此也没有一整套有效的防范措施,但分层方案可以大大降低攻击得逞的可能性。
要罗列VoIP潜在威胁的清单长得惊人,包括DoS攻击、病毒、蠕虫、特洛伊木马、数据包嗅探、垃圾邮件和网络钓鱼等,使VoIP网络遭遇到外来攻击的“狂浪”,但VoIP作为一种主流应用的趋势是无法遏制的。据Dell' Oro市场调研公司称,IP PBX设备的销售额在2005年高达10亿美元,首次超过了传统的时分复用(TDM)PBX。据分析人士预测: 到2009年,IP PBX所占的市场份额将超过90%,所以在部署VoIP之前,需要注意安全风险及所能采取的对策。
无论在哪种情况下,安全都很重要, 特别是如果要用VoIP更换世界上最古老、最庞大、最具弹性、最具可用性的通信网络,安全显得尤为重要。有谁会愿意从如磐石般可靠的传统企业电话服务转移到比电子邮件还不安全的平台上呢?虽然没有哪一项安全措施能够完全消除针对VoIP部署系统的攻击,但分层方案可以大大降低攻击得逞的可能性。
威胁无孔不入
企业VoIP客户和服务提供商很容易遭到通过假冒身份来发动的攻击,“电话窃贼”也试图针对传统的电话和蜂窝网络服务发动同样的攻击。目的都一样: 窃取身份和信息、实行话费欺诈。
1.攻击手段面面观。
许多攻击主要针对VoIP端点,包括拒绝服务(DoS- Denial of Service)攻击、非法存取、话费诈欺或窃听及因特网协议攻击,VoIP硬电话以及运行软电话的计算机也同样容易遭到未授权访问、病毒与蠕虫及许多拒绝服务攻击的侵扰。
拒绝服务攻击利用了常见的因特网协议及诸多VoIP协议本身存在的漏洞。另外还有一些攻击,比如攻击者可以伪造一个虚假的声音邮件消息并发送给每一位订阅VoIP服务的人,这样就会使VoIP提供方出现过载现象,把系统搞瘫。类似的,还有一个攻击叫SPIT(Spam over IP Telephony),攻击者伪造一个虚假的呼叫,发送给每一位用户,因为大多数VoIP系统都被设计成同时处理很多链接请求,这也会使系统过载从而完全瘫痪。还有一些非常狡诈阴险的攻击方式,比如伪造一个假的数字声音消息,甚至连FBI的声音分析器都识别不出来。此外,可能会在真正的通话中插入混淆词汇,从而彻底改变了通话的内容和上下文。另外一种攻击会使用sniffer程序,在用户的PC上或VoIP提供方服务器上窃取VoIP的通话内容,当通话结束时,存下来的.wav等声音文件就会被发送给入侵者。
VoIP系统还会遭到针对特定网络进行攻击破坏,譬如以太网广播风暴和Wi-Fi无线电干扰。新的VoIP硬件所用的操作系统和TCP/IP堆栈可能会遭到利用了编程漏洞的攻击。这会导致系统停止工作,或者为攻击者提供远程控制系统的管理权限。
VoIP软电话带来了独特而棘手的问题。软电话应用软件在用户系统(PC和PDA)上运行,因而容易受到针对数据和语音应用的恶意代码的袭击。IT管理员必须考虑这种可能性: 攻击者可能会通过VoIP软电话应用软件植入恶意代码,从而企图避开常规的PC恶意软件防护机制。
垃圾邮件往往携带间谍软件和远程管理工具,垃圾网络电话常携带未经请求的销售电话及其他讨厌的消息,下载到软电话上的程序里面可能含有隐藏的恶意软件。
2.传输协议,载“舟”亦可覆“舟”。
目前大部分VoIP设备是基于标准操作系统的,传输协议也属于开放技术,所以受到攻击者袭击的可能性相当高。而且在大部分情况下,VoIP设施需要提供远程管理能力,其所依赖的服务和软件也同样可能存在安全漏洞。
与VoIP相关的网络技术协议很多,常见的有控制实时数据流应用在IP网络传输的RTP(实时传输协议)和RTCP(实时传输控制协议),有保证网络QoS(服务质量)的RSVP(资源预留协议)和IP different Service等,还有传统语音数字化编码的一系列协议,如G.711、G.728、G.723、G.729等等。会话描述协议(SDP)和实时传输控制协议(RTCP)并没有针对呼叫信令和呼叫数据(如含有压缩及编码语音的媒体流)提供足够的呼叫方验证、端到端完整性保护及机密性等措施。除非这些安全特性得以实施、融入服务当中,否则攻击者就有许多途径可以钻空子。
如今,SIP和RTP协议并不对呼叫信令数据包和语音流进行加密,所以只要使用局域网和无线局域网流量搜集工具(嗅探器),就能够获取呼叫方的身份、证书和SIP统一资源标识符(电话号码)。利用漏洞可以发起各种类型的攻击。比如一旦网关被黑客攻破,IP电话不用经过认证就可随意拨打,攻击者可以使用获取的账户信息向客户代表或者自助服务门户网站假冒用户,然后他可以更改呼叫计划,允许呼叫900号码或者呼叫原先封锁的国际号码。未经保护的语音通话有可能遭到拦截和窃听,而且可以被随时截断。黑客利用重定向攻击可以把语音邮件地址替换成自己指定的特定IP地址,为自己打开秘密通道和后门。而最典型的是,黑客们可以骗过SIP和IP地址的限制而窃取到整个谈话过程。他还可以访问语音邮件,或者更改呼叫转移号码。出于经济目的的攻击者还能够获取语音通话,然后重新播放,从而获得敏感的商业或者私人信息。
向VoIP目标发送大量的SIP呼叫信令消息(如Invite、Register、Bye或者RTP媒体流数据包)会导致服务降级,迫使呼叫过早丢失、导致某些VoIP设备完全无法处理呼叫。VoIP设备还容易遭到针对因特网协议发动的拒绝服务攻击,譬如TCP SYN攻击、过长数据包破坏法(ping of death)以及最近的域名服务器(DNS)分布式拒绝服务放大攻击。
风险评估
IT管理人员必须评估引入VoIP的风险,制订策略和实施计划,利用手头现有的安全技术来降低风险。
风险一: 话音服务中断
语音对传统的电话服务提供商来说可以带来长期的利润,对VoIP供应商来说是有利可图的新兴市场,而对公司企业来说又是一项关键任务型服务。因而,公共(网络运营商)和私有(企业)VoIP运营商必须应对的最严重的风险就是服务出现中断。
VoIP用户期望享受的可用性与习惯于从公共交换电话网络(PSTN)享受的可用性一样高。相应地,面向所有将来的VoIP运营商的全面的VoIP部署方案必须包括减小拒绝服务攻击威胁的措施。
风险二: 身份失窃及话费欺诈
其他的高风险包括身份失窃及话费欺诈。公共运营商在VoIP部署环境的身份和端点验证方面所面临的挑战比PSTN和蜂窝网络运营商来得严峻,原因就在于,端点的 IP地址在因特网入口点(ingress point)通常不会加以验证,而且不像公共电话号码,目前还没有广泛应用的方法可供VoIP运营商证明SIP身份是有效的。
VoIP运营商必须认真管理与其他VoIP运营商之间的信任关系,应当避免服务协议,除非其他提供商在使用相同的身份和端点验证方法。这可以通过合同来安排,无论是扩展型企业部署的VoIP ,还是企业与企业之间部署的VoIP。
一般说来,内部攻击比外部攻击来得频繁,所以企业的VoIP网络运营商必须考虑到假冒身份是一种威胁,即使它们的网络处在隔离状态下运行。另外,企业的VoIP管理人员要考虑检测及阻挡假冒攻击的方法,应当维护有助于检测滥用及身份窃贼的记账及审查工具。虽然公共VoIP基础设施可能更容易成为出于政治目的的攻击及恐怖活动的目标,但私有的VoIP网络也日益可能成为电子工业间谍行为及窃听攻击的对象(譬如说,员工截获特许呼叫)。
企业客户也必须考虑求助台和客户服务。服务中断、假冒订户及话费欺诈都是严重的攻击。解决争议及为这类攻击受害者的员工恢复服务需要耗用资源,给生产力带来不利影响。安全事件对消费者、用户、管理人员甚至股东信心会带来持久的影响。
制造VoIP救生圈
VoIP是一种新颖而不同的因特网应用,但说到底它只是使用IP来传输的另一种实时数据流。如今用来保护其他明文应用(从远程登录、FTP到Web、电子邮件和即时消息传送)的广泛使用的安全措施也可以用来加强VoIP的安全。
大部分VoIP服务应用是在商业服务器操作系统上运行的。事实证明,对服务器进行加固、采用防窜改机制和主机入侵检测可以加强组织在VoIP方面的基本安全。最常推荐的可应用于语音服务器的安全措施包括:
一旦VoIP服务器及它们运行的应用软件得到了安全配置,就要在服务器周围添加一层层安全,从而构建深入的防御体系。只要使用不同的物理或者虚拟局域网(VLAN)来分别传输管理、语音和数据等流量,就可以把VoIP服务器及所需的基础设施如DNS和LDAP跟客户机如电话、PC和便携式电脑隔离开来。
分段(segmentation)是功能强大的安全工具。用来加强安全的分段方法同样可以用来实现服务质量(QoS)。譬如说,把SIP电话装在各自的VLAN上有助于限制只让允许的设备使用VoIP,并且IP数据包从网络边缘传输到网络核心时,可以为VoIP给予更高的优先级。
不妨考虑把语音用户代理(硬电话)与用来访问网络数据应用的PC和便携式电脑隔离开来。这也许可以防止针对某个数据网段而得逞的攻击扩散到语音系统、并感染该系统。如果采用分段及基于策略的分隔机制,防火墙的性能可能会成问题,所以要认真规划,避免给传输媒体流的通道增加时延。
端点安全为VoIP部署环境添加了外面的一层安全。IEEE 802.1x基于端口的网络访问控制和同类的网络准入技术提供了另一层授权控制: 除非设备通过安全检查,否则阻止它们使用局域网或者无线局域网。
管理员可以选择封阻感染了恶意软件或者未满足其他准许进入标准的设备,譬如最新版本的补丁及合理配置的防火墙。他们可以把没有符合标准的设备转移到提供受限制服务的隔离网段,或者转移到软电话用户可以访问的满足准入标准所需的软件、补丁及恶意软件定义更新的局域网。在许多情况下,这些安全措施可在验证前执行,防止恶意软件(击键记录程序)获取用户证书。
使用防火墙限制只有必需的那些协议才能传输通过VLAN边界的流量。这种分隔机制对于减少恶意软件从受感染客户机传染到单一环境(如Windows)网络里面的VoIP服务器这一现象特别有效。其结果往往就是,每个分隔防火墙的安全策略比单一防火墙所要维护的策略简单得多。
使用防火墙执行安全保护的公司可能会发现,它们当前的防火墙不适合处理保护语音和数据这项任务。传统的网络防火墙旨在根据TCP、用户数据报协议(UDP)和IP头信息(譬如IP地址、协议类型和端口号)允许及拒绝流量通过。
VoIP协议使用数量众多的UDP端口,并且把它们动态分配给媒体流。某些防火墙无法有效地处理UDP,另一些防火墙不支持管理时延和抖动的QoS措施,使VoIP呼叫无法具有长途电话质量。IT管理员应当考虑使用这种防火墙: 能够识别SIP,能够检测SIP信令消息,并且采取相应对策,能够在不大幅增加时延的情况下处理RTP媒体流。
应用层网关(代理系统)在VoIP部署环境中可以发挥实际作用。把SSL隧道融入SIP代理系统正成为为用户代理和SIP代理系统之间交换的信令消息添加机密性和完整性保护的一种流行方法。许多组织正在考虑合并SSL连接,以保护SIP代理系统之间跨组织及组织内部的信令流量。如果应用需求是必须在全球和本地RTP IP地址和端口之间转发媒体流,RTP代理系统也许很合适。如今其他组织在选择充分利用IPSec方面的投资,以保护站点之间的VoIP流量。
在某些配置下,系统可能试图优先处理VoIP流量,手段就是创建IPSec安全关系,优先传输语音流量而不是数据数量。有些做法可能希望通过会话边界控制器(SBC)过滤掉信令流量和RTP媒体流。SBC充当背靠背用户代理(back-to-back user agent),可以进行并置,并且对公共和专有用户代理之间的呼叫实施策略。在某些方面,SBC的工作方式类似于安全的电子邮件代理系统,它能够改写消息报头、隐藏专有网络的细节(譬如地址)、去除未知及不需要的报头SIP字段,并且限制呼叫方号码。因为媒体流通过SBC传输,就可以针对它们执行RTP策略。
另外最好不要使用软电话(即运行在PC上的电话软件),而使用IP电话机,因为软电话几乎不可能隔离语音与数据。将IP电话机的IP地址与它的MAC(媒体访问控制)地址建立关系是帮助减少IP地址欺骗的好办法。一些解决方案使用数字证书进行设备和服务器的认证,你可以在使用IP电话机时要求口令或PIN。关键是加密语音-信令数据及VoIP管理互动,甚至加密语音流。
这些安全措施,加上积极主动的安全监控及入侵检测与预防计划,不但可以加强VoIP安全,还能够大大降低企业引入VoIP给数据网络带来的风险。
链接:SIP和RTP协议
SIP协议是IETF定义多媒体数据和控制体系结构中的重要组成部分,它是在诸如SMTP (简单邮件传送协议)和HTTP(超文本传送协议)基础之上建立起来的。它用来建立、改变和终止基于IP网络的用户间的呼叫。为了提供电话业务它还需要结合不同的标准和协议: 特别是需要确保传输(RTP)与当前电话网络的信令互连,能够确保语音质量(RSVP)、提供目录(LDAP)、鉴权用户(RADIUS)等等。由于SIP只负责提供会话连接和会话管理,而与应用无关,因此SIP可以被用于多个领域。如今,市场上已随处可见SIP IP 电话、群组视频会议系统、专为服务提供商提供的音频会议媒体服务器,以及可同时兼容H.323和SIP的音视频会议多点控制单元。
SIP被描述为用来生成、修改和终结一个或多个参与者之间的会话。这些会话包括因特网多媒体会议,因特网(或任何IP网络)电话呼叫和多媒体发布。会话中的成员能够通过多播或单播联系的网络来通信。SIP支持会话描述,它允许参与者在一组兼容媒体类型上达成一致。它同时通过代理和重定向请求到用户当前位置来支持用户移动性。SIP不与任何特定的会议控制协议捆绑。
RTP: 实时传输协议,为数据提供了具有实时特征的终端对终端传送服务,如在组播或单播网络服务下的交互式视频音频或仿真数据。应用程序在 UDP 上执行 RTP 以便使用其多路技术和检验及服务,还有传输协议函数的协议捐助部分。但是 RTP 可以与其他适合的底层网络或传输协议共同使用。如果底层网络提供组播分配,那么 RTP 可以使用该组播分配支持多路目标文件的数据传输。
RTP 本身并没有为及时传送提供任何机制或其他质量服务 QoS 保证,但它依赖于低层服务去实现这一过程。RTP 并不能保证传送过程或防止无序传送,也不能确定底层网络的可靠性。RTP 实行有序传送,RTP 中的序列号允许接收方重建发送方的包序列,同时序列号也能用于决定适当的包位置,例如在视频译码中,不需要顺次解码。