分析人士预测,到2009年,IPPBX将占市场份额的90%以上。不过,在部署VoIP前,用户需要了解安全风险以及用户应采取的对策。VoIP终于成为一种主流应用。据Dell' Oro Group说,2005年,IP PBX设备销售额超过10亿美元,首次超过了传统TDM PBX。但是安全也随之成为了VoIP应用的下一个门槛。
安全性在任何情况下都是非常重要的,不过,当用户更换世界上最老、最大、最有弹性和最可用的通信网络时,安全性显得尤其重要。尽管没有一个安全措施能完全消除针对VoIP部署的攻击,但一种多层次的方式,可以有效地减少攻击取得成功的可能性。
威胁
企业VoIP用户和服务提供者容易受到假冒攻击的袭击,其中的很多攻击与“电话线路盗用者”针对传统电话和蜂窝服务所使用的方法没有什么两样,这些攻击的目标偷也是一样的,即偷窃身份与信息,以及诈骗话费。 很多攻击将重点放在VoIP终端上。操作系统、Internet协议、应用程序以及VoIP硬电话和运行软电话的管理界面容易受到非法接入、病毒与蠕虫和很多拒绝服务(DoS)的攻击。这些攻击往往利用通用Internet协议以及VoIP协议本身进行。
VoIP使用IETF会话发起协议(SIP)和实时传输协议(RTP)提交呼叫信令和语音消息。这些协议以及补充性会话描述和RTP控制协议(SDP、RTCP),没有在呼叫信令和呼叫数据(如包含压缩和编码语音的媒体流)上提供足够的主叫方认证、端到端的完整性保护和保密措施。在这些安全特性部署到服务之前,攻击者有很多可利用的漏洞。
目前,SIP和RTP协议没有加密呼叫信令包和语音流,因此,呼叫者的身份、证明信息和SIP统一资源标识符(电话号码)可以利用LAN和WLAN传输流采集工具(嗅探器)来捕获。 攻击者可以利用捕获的账户信息假冒用户,欺骗客户代表或自助门户网站。攻击者可以在自助门户网站上将呼叫计划修改为允许拨打“900”收费电话号码,或拨打被封锁的国际号码。他还可以访问语音邮件或修改呼叫转发号码。
假冒攻击通常用于进行话费欺诈,但以获得财务上好处为目标的攻击者,还可以捕获语音对话,并在以后重放它们来获取敏感的企业或个人信息。 利用SIP呼叫信令消息(例如邀请、注册、再见或RTP媒体流数据包)淹没VoIP目标,可以降低服务质量,迫使呼叫提前挂断,以及使某个VoIP设备完全不能处理呼叫。VoIP设备还容易受到针对Internet协议的DoS攻击的袭击,如TCP SYN、 Ping of Death和最近出现的DNS分布式DoS扩大攻击。 VoIP系统还会受到针对特定媒体的攻击(如以太网广播风暴和Wi-Fi无线电干扰)和破坏。新VoIP硬件中使用的操作系统和TCP/IP栈容易遭受针对特定软件实现的攻击,这类攻击利用了编程缺陷。攻击会造成系统停止运行或使攻击者获得系统的远程管理控制权。
VoIP软电话带来一种独有的棘手问题,即软电话应用程序运行在用户的系统上(PC、PDA),容易遭受针对数据和语音应用的恶意代码攻击。因此IT管理人员必须考虑攻击者可能通过VoIP软电话应用程序,注入恶意代码来绕过常规的PC恶意软件防护的可能性。 垃圾邮件常常搭载着间谍软件和管理工具。通过Internet电话传播的垃圾邮件可以传送主动提供的推销电话和其他讨厌的消息,下载到软电话上的程序可能包含暗藏的恶意软件。 尽管以上描述并不全面,但也足以促使IT管理人员进一步评估引进VoIP的风险,制定利用现成的安全技术减少风险的政策和实现计划。
风险评估
语音对于传统电话服务提供商来说,是一棵四季常青的摇钱树;对于VoIP厂商来说,是一个利润丰厚的新市场;对于企业来说,是一项关键业务服务。因此,公共VoIP运营商(电话公司)和专有VoIP运营者(企业)必须控制的最大的风险就是服务中断。 VoIP用户期望得到高可用性,至少不低于他们习惯于从公共交换电话网(PSTN)得到的可用性。因此,对于所有未来的VoIP运营者来说,一项精心策划的VoIP部署计划必须包含减少DoS攻击风险的措施。 其他优先考虑的风险包括身份偷窃和话费欺诈。VoIP公共运营商在VoIP部署中的身份和终端验证上,面临比PSTN和蜂窝运营商更大的挑战,因为终端的IP地址一般在Internet入口点上是不经过验证的,目前VoIP运营商还没有广泛采取措施,合作验证或证明某个SIP身份是否有效。
VoIP运营商必须谨慎控制与其他VoIP运营商的信赖关系,应当避免与其他服务提供商的服务安排,除非他们有相当的把握保证其他提供商使用等价的身份和终端验证方法。在一个大范围的企业内部或企业与企业之间的VoIP部署中,这可以利用契约方式来保证。 一般而言,来自内部人员的攻击多于来自外部人员的攻击,因此企业VoIP网络运营者即使隔离运营,仍必须考虑将假冒攻击当做一种威胁。然后,企业VoIP管理人员必须考虑检测和阻止假冒攻击的方法,应当利用账户和审计工具来帮助检测滥用和身份犯罪。
公共VoIP基础设施可能经常成为出于政治目的的攻击者和恐怖分子的目标,而专用VoIP网络则日益面临电子行业间谍和窃听攻击(例如雇员截听高权限电话)的风险。 企业客户还必须考虑帮助中心和客户关怀。服务中断、用户假冒和话费欺诈都是严重的支持问题。解决中断,使成为这类攻击牺牲品的雇员及时恢复服务会消耗资源,因此给生产力造成不利影响。安全事件可能给消费者、用户、管理层、甚至股东的信心所造成的影响是长期的。
对策
VoIP是一种新的、不同类型的Internet应用,但它归根结底是另一种利用IP提交的实时数据流。很多目前广泛用于保护其他应用(从Telnet和FTP到Web、电子邮件和即时消息)的安全措施,可被用于提高VoIP安全。 大多数VoIP服务应用运行在商用服务器操作系统上。加固服务器、使用反窃听和主机入侵检测技术,可改进企业的基本VoIP安全。最常见的、被广泛建议使用的语音应用服务器安全措施包括:
● 用最新的补丁修补操作系统和VoIP应用程序
● 只运行提供和维护VoIP服务所需的应用程序
● 对管理和用户账户访问进行更强认证
● 只开通维护和正确操作所需的用户账户,以阻止强行入侵
● 实施严格的认证政策,阻止对VoIP服务和账户数据的非法访问
● 审计管理用户会话和相关的服务活动
● 安装和维护服务器防火墙、反恶意软件程序和防窃听措施来阻止DoS攻击
● 安全地配置VoIP应用来防止滥用。例如,可呼叫国家代码的白名单可以阻止某些可能导致话费欺诈与非法使用的呼叫转发、转移。
一旦VoIP服务器和它们运行的应用得到可靠配置,应当围绕服务器添加多层安全防线来建立纵深防御。利用分离的物理或虚拟LAN(VLAN)来传送管理、语音和数据流,将VoIP服务器和所需要的基础设施(例如DNS、LDAP)与客户终端(电话、PC和便携机)隔离。
管理人员可以选择阻止传染上恶意软件或不满足其他访问标准(如是否安装了最新补丁和恰当配置的防火墙)的设备。他们可以将不符合要求的设备改向连接在一个提供有限服务的隔离LAN网段上,或改向连接在一条LAN上,在这条LAN上,软电话用户可以访问满足访问标准所需的软件、补丁和恶意软件特性更新包。在很多情况下,这些安全措施可在认证之前实行,以阻止恶意软件(键盘记录器)捕获用户的证明信息。
利用防火墙执行安全策略的公司可能发现他们目前的防火墙不适合于完成保护语音和数据安全的任务。传统的防火墙在设计上根据TCP、用户数据报协议(UDP)和IP包头信息(例如IP地址、协议类型和端口号),允许或拒绝传输流。 VoIP协议使用很大范围的UDP端口并动态将它们分配给媒体流。很多传统的防火墙不能在不被VoIP使用或其他滥用大量的永久开放端口号的条件下适应这种行为。某些防火墙不能高效率地处理UDP;另一些防火墙不支持控制时延和抖动的QoS措施,使VoIP呼叫具有电信级的语音质量。
IT管理人员应当考虑选择这样的防火墙:具有SIP识别能力、可以检测和保护SIP信令消息、并且在不增加显著时延的情况下就可以处理RTP媒体流。 应用层网关(代理服务器)能够在VoIP部署中发挥有益的作用。将SSL隧道技术集成到SIP代理服务器中,正在成为一种改进认证和增加用户代理与SIP代理服务器之间交换信息的保密性与完整性保护的流行方式。
很多企业正在考虑建立SSL连接,以保护企业内部以及企业间SIP代理服务器之间的信令传输流。如果企业用户必须在全局和本地RTP IP地址和端口间中继媒体流,RTP代理服务器可能是其合适的选择。另一些企业将选择利用他们在IPSec中的投资来保护站点间的VoIP传输流。 在一些配置中,企业可以尝试建立为语音流分配高于数据优先级的IPSec安全联系,优先处理VoIP传输流。一些企业可能希望过滤经过会话边界控制器(SBC)的信令传输流和RTP媒体流。SBC作为“背对背”用户代理来运行,连接和把策略应用于公共与专用用户代理之间的呼叫。SBC在一些方面行为就像是一台安全的电子邮件代理服务器。它可以重写消息头,隐藏专用网络的细节(如地址),剥除未知的和不符合要求的包头SIP域并限制被叫方的号码。由于媒体传输流经过SBC传送,因此可以对它们执行RTP策略。
这些安全措施以及主动的安全监测和入侵检测与防御方案,不仅将改进VoIP安全,而且还可以大大降低企业在引进VoIP时给数据网络带来的风险,甚至在VoIP协议和架构中集成了安全增强功能后,其中的很多措施仍将继续在部署中发挥作用。 VoIP从应用之初就开始面临着方方面面安全的危胁。以至于用户们不得不时时刻刻小心那些来自电话线路盗用者、电话欺诈、嗅探器、广播风暴、无线电干扰等威胁对其VoIP网络的突袭。然而袭击总是防不胜防的。因此,到目前为止,还没有一种安全的解决方案能够解决VoIP用户面临的所有安全问题。
不过话说回来,层出不穷的威胁也使网络和VoIP提供商为用户想得极尽周全,从终端、网络、协议到策略,VoIP已经被“武装到了牙齿”。可以想象一个”顶盔贯甲“的VoIP“武士“还是有足够防御能力的。只是太多的”甲胄“可能会占用较多的资源,也会显得行动不便。 利用防火墙把可能跨越VLAN边界的传输流类型限制在只有那些必要的协议范围之内。这种隔离对于减少恶意软件由被传染的客户机向单一操作系统(比如Windows)网络的传播尤其有效。这种作法常常导致每个隔离防火墙中的安全策略比用户在单个防火墙中必须维护的策略更为简单。
分段是一种功能强大的安全工具,因此不要止步于此。同样这些用于加强安全的分段方法可被用于实现QoS:例如,把SIP电话限制在它们自己的VLAN上,有助于将VoIP限制在获得许可的设备上,并且在当IP从网络边缘向核心传送时赋予VoIP更高的优先级。 应当考虑将语音用户代理(硬电话)与用于访问网络数据应用程序的PC和便携机隔离开。这可以防止针对某一数据段的成功攻击传播和干扰语音系统。在应用分段和基于策略的隔离时,防火墙的性能可能成为问题,因此,应当谨慎规划,避免给传送媒体流的路径增加延时。 终端安全为VoIP部署增加了一层外围安全防线。IEEE 802.1x基于端口的网络访问控制和等价的网络访问技术,在设备通过安全检查前,阻止设备使用LAN或WLAN,又建立了一层授权控制防线。