消滅IP語音中的安全威脅
Joanne Cummings
2003/07/21
只要你采取一些簡單的預(yù)防措施�����,IP語音的安全風(fēng)險不一定比數(shù)據(jù)應(yīng)用更高。
一旦企業(yè)用戶測試了VoIP并證明它可行后,它們面臨著最后一道障礙:確保它是安全的����。
但是,一頭扎進VoIP中的用戶說他們并不擔(dān)心安全問題���。Lexent公司工程與新技術(shù)主管Doug Haluza說:“如果你正確配置它,并且像對待網(wǎng)絡(luò)上的任何其他關(guān)鍵任務(wù)服務(wù)器和應(yīng)用那樣對待它的話�,VoIP就像其他數(shù)據(jù)應(yīng)用一樣安全��!盠exent是紐約的一家電力服務(wù)公司�����,它自從2002年1月起就一直在企業(yè)網(wǎng)絡(luò)上運行VoIP��。
分析人士對此表示贊同��,說保證VoIP的安全歸結(jié)為典型的保證聯(lián)網(wǎng)的服務(wù)器���、應(yīng)用和語音的安全的措施���。但是,在選擇防火墻、入侵檢測系統(tǒng)(IDS)和其他安全工具時��,需要特別的注意�����。
棘手的防火墻
在防火墻上保護VoIP數(shù)據(jù)是一項棘手的工作����。VoIP會話使用H.323或會話初始協(xié)議(SIP)。VoIP部署中的防火墻必須能夠處理這些相當(dāng)復(fù)雜的實時通信協(xié)議����。H.323和SIP使用分離的控制連接和媒體傳輸連接,這意味著它們通常在建立一次呼叫時��,在一個IP端口上建立連接���,然后選擇隨機的����、編號很大的IP端口(一般在端口1024以上)用于數(shù)據(jù)連接���。你不能簡單地將防火墻配置為打開某些端口�����、阻塞某些端口�����,因為防火墻永遠不知道哪個端口將用于數(shù)據(jù)連接����。
銷售狀態(tài)性(stateful)SIP和H.323兼容防火墻的Check Point公司戰(zhàn)略營銷經(jīng)理Mark Kraynak說:“人們需要這樣一種防火墻:它很好地懂得這些協(xié)議,知道只在數(shù)據(jù)連接在控制域中得到協(xié)商和認證時才開放這些連接�。它必須懂得在會話完成時關(guān)閉它們�。”
防火墻還必須在不影響語音流性能的情況下�����,完成所有的狀態(tài)性數(shù)據(jù)包檢查�����。
根據(jù)國際電信聯(lián)盟的建議�����,端到端語音流的時延不應(yīng)當(dāng)超過100毫秒。由于語音使用比數(shù)據(jù)更小的包并且每秒傳送更多的包(每語音流大約每秒50個包���,為一般數(shù)據(jù)流中包數(shù)量的近兩倍)����,處理語音會迅速地造成防火墻的癱瘓���。
一家為企業(yè)用戶提供融合IP服務(wù)的機構(gòu)—MCI Advantage公司高級設(shè)計師John Truetken說:“許多軟件防火墻可以滿足數(shù)據(jù)流的需要����,但是當(dāng)你開始一次每秒50個包的語音呼叫時����,這實際上增加了它們必須檢查的包的數(shù)量,一些防火墻不能應(yīng)付這種數(shù)量的包�。”他說�����,專用硬件防火墻性能通常更好����。
他說����,這種情況也同樣出現(xiàn)在VPN上�。他說:“當(dāng)你增加了20條左右的語音流時,一些低端VPN加密機就會出現(xiàn)問題�。它們每秒必須處理的包的數(shù)量有時會壓垮它們����!
這正是Lexent的Haluza親身遇到過的問題。該公司在不同站點中部署了基于IPSec的VPN��,然后決定在它上面運行VoIP����。
他說:“最初��,我們利用安裝在遠程站點的路由器建立了這條網(wǎng)絡(luò)�,將IPSec隧道終止于安裝在總部的防火墻上����!盠exent使用的Cisco PIX防火墻沒有硬件加速器,只使用軟件加密���。Haluza說:“這不適于語音�,因為出現(xiàn)了太多的抖動���!彼赋�����,每當(dāng)防火墻上的處理器一忙���,打電話的人就會遇到語音丟失現(xiàn)象。
他說:“我們發(fā)現(xiàn)的另一件事是�����,我們不能從遠程站點到遠程站點打電話�,因為防火墻不讓這些語音包通過同一個端口進出��!盠exent通過將IPSec隧道終止于安裝在兩端上的路由器上后��,解決了這兩個問題�����,因為兩端的路由器具有硬件加速功能,可以在站點之間建立傳輸線路�。他說:“這樣,我們獲得了高性能的加密�。”
保護服務(wù)器的安全
VoIP服務(wù)器也需要特別的關(guān)注��。大多數(shù)IP PBX的操作系統(tǒng)必須刪除可能會導(dǎo)致安全威脅的不必要的服務(wù)����。
Avaya公司架構(gòu)與規(guī)劃主管James Coffman說:“服務(wù)器應(yīng)當(dāng)專用于語音服務(wù)����!彼诿枋鯝vaya公司的運行在精簡版本的Linux上的MultiVantage IP PBX時說:“MultiVantage上面沒有Web瀏覽器、沒有電子郵件閱讀器��、沒有守護進程���。我們關(guān)閉了很多你在剛出廠的服務(wù)器上可以得到的標(biāo)準(zhǔn)的網(wǎng)絡(luò)功能�!
這種操作系統(tǒng)加固措施有助于保護平臺不受病毒和蠕蟲(如最近出現(xiàn)的Slapper和Nimda)的攻擊。Nortel公司安全解決方案營銷經(jīng)理Fred Weiler說:“一些IP電話核心服務(wù)器僅僅使用普通的Windows NT軟件�����,它們遭到了Nimda的攻擊。我們的平臺是基于嵌入式NT的��,這種NT操作系統(tǒng)經(jīng)過了加固����、測試并刪除了不使用的服務(wù),我們的IP電話平臺沒有一個受到過攻擊��������!
Cisco公司受到了指責(zé)����,它的一些基于NT的CallManager VoIP服務(wù)器受到了Nimda的攻擊���。Cisco迅速為這些系統(tǒng)發(fā)布了補丁����,并且也逐漸加固了它的平臺����。該公司計劃年底前提供非NT平臺選擇���,盡管它說如果用戶認真地在安全漏洞評估和補丁管理上遵守最佳慣例的話,VoIP服務(wù)器將不會比網(wǎng)絡(luò)上其他設(shè)備更脆弱���。
許多用戶由于安全原因而不再使用基于Windows的IP PBX�����。紐約州Geneva市Hobart and William Smith學(xué)院正在內(nèi)部試驗LAN上運行VoIP���。這所大學(xué)的CIO Brian Young說:“當(dāng)我們研究重要應(yīng)用時,我們會考慮它們的平臺是否會吸引更多的病毒或黑客���,而我認為Windows是迄今為止最大的目標(biāo)����。我們必須為減少危險而做更多的工作�����,這就是說擁有一個穩(wěn)定的��、不需要很多添加的安全性與特性來保護和運行它的系統(tǒng)���。因此���,現(xiàn)在,我們將重點放在用于VoIP的Linux和Unix平臺上������!
不過,Lexent的Haluza認為�����,Windows還是Linux/Unix之爭基本上是信仰之爭���。他說:“我們只選擇最好的工具�����,不管它是什么平臺���。”
但是,他還是采取了預(yù)防措施�,特別是不將他的語音服務(wù)器暴露給Internet。他說�����,語音服務(wù)器有一個專用IP地址����,語音流只在VPN保護下的安全LAN上傳送。Lexent不是在Internet上發(fā)送語音流�,而是從一家運營商那里購買語音線路來處理LAN之外的語音傳輸流。
Haluza說:“我們在公司之外使用傳統(tǒng)的ISDN主速率接口(PRI)語音電路����,但是我們將來自運營商的PRI電路終止于路由器上,然后再變成我們LAN端的IP����!
一些新興廠商開始解決Internet安全問題�,主要通過防火墻技術(shù)。
語音專用IDS(入侵檢測系統(tǒng))可以提供更多的VoIP服務(wù)器保護��,不過��,用戶說這類設(shè)備還未做好部署的準(zhǔn)備。Hobart and William Smith公司的Young說:“在我們部署某種語音專用IDS之前����,我不會將VoIP投入學(xué)校的應(yīng)用����,到目前為止,我們還沒有見到多少語音專用IDS������!
MCI的Truetken解釋說,大多數(shù)IDS由于常常發(fā)出虛假警報而減弱了作用�����,假警報會限制它們的性能�����,尤其在語音環(huán)境中�。他說:“你必須將它們的臨界值設(shè)得高一點,來適應(yīng)更多的語音包�����。否則,你將收到數(shù)不清的假警報����。”
Cisco公司說它通過最近兩次收購中獲得的技術(shù)解決了這個問題�����。Cisco從Psionic公司獲得了自動進行報警調(diào)查的能力�����,從Okena公司獲得了入侵防御和檢測技術(shù)����。
竊聽的風(fēng)險被夸大了
另一個需要考慮的問題是保護應(yīng)用的安全,使黑客不能竊聽語音呼叫或控制語音服務(wù)����。避免竊聽的一種辦法是加密呼叫,目前的VPN技術(shù)可以容易地做到這點�。不過,要確保終端設(shè)備具有支持VPN客戶機的處理能力���。Avaya的Coffman指出�����,許多IP電話不具有這種處理能力����。
在這種情況下���,用戶將在工作站或便攜機上安裝VPN客戶機軟件����,將電話連接到這臺PC上�。Truetken說:“這種辦法是可行的,但是你必須保證便攜機不會干擾VoIP呼叫��。如果便攜機運行XP的話����,你可能一切正常。但是�,如果它使用Windows 98,你就會遇到問題����。例如���,DSL具有256Kbps的帶寬,這種帶寬可以很好地支持語音呼叫����。然而,如果你同時還運行Outlook的話��,你可能會用完處理能力����������!
其他一些人則質(zhì)疑有沒有必要加密LAN上的VoIP�����。Young說:“這里的加密需要沒有那么迫切���。不妨看看現(xiàn)在有多少人使用手機�����,手機遠比VoIP語音流更容易截獲和竊聽���。加密LAN上的VoIP并非是優(yōu)先重點����!
Lexent的Haluza同意這種觀點����。他說: “我更擔(dān)心是入侵后端辦公室應(yīng)用的人���,而非VoIP。這是個夸大風(fēng)險的案例����。”
計算機世界網(wǎng)(www.ccw.com.cn)