VoIP敲响安全“警钟” 问题下的自身难题

limengfy

DoS攻击、病毒、蠕虫、特洛伊木马、数据包嗅探、垃圾邮件、网络钓鱼、电话费欺诈和偷听.....企业VoIP究竟需要敲响安全问题警钟？还是这些威胁常常是夸大其词？问题的答案取决于谈话人是谁。

　　Cisco公司安全IP通信营销经理Roger Farnsworth认为：“VoIP系统至少同传统的语音系统一样安全，而未来的IP技术和语音应用将使它们变得甚至更安全。”传统电话系统和VoIP语音管理与安全平台厂商SecureLogix公司CEO Mark Collier则持完全意见。他说：“在IP作为其基础的情况下，预期VoIP变得比电子邮件、Web或DNS更安全的想法根本不现实。”

　　那就保留电话吧。那么，电子邮件呢？Web呢？DNS呢？任何大脑正常的人，有谁会从如磐石般可靠的传统企业电话服务转移到比电子邮件还不安全的平台上呢？

　　多种问题威胁VoIP

　　　事实上，企业VoIP实际上只是IP网络上的另一种应用。当前典型的企业IP电话系统的主要包括呼叫控制服务器、VoIP客户机和VoIP网关。呼叫控制服务器一般运行在Linux、Windows或VxWorks等操作系统上。VoIP客户机或是电话机或是软电话。而VoIP网关安装在网络边缘上，提供VoIP与PSTN之间的转换服务。它们都使用比较标准的协议――一般要么是国际电信联盟的H.323系列协议，要么是IETF用于服务器与客户机的SIP和用于网关的MGCP（媒体网关控制协议）或Megaco/H.248协议。绝大多数VoIP系统共享数据网络，依靠同样的路由器和交换机进行语音包传输，并且完美地与其他数据应用（包括消息应用）连接。

　　从理论上讲，VoIP系统至少像其他数据应用一样易于受到攻击的威胁。罗列潜在威胁的清单长得惊人――包括DoS攻击、病毒、蠕虫、特洛伊木马、数据包嗅探、垃圾邮件和网络钓鱼。垃圾邮件？如果你记得谢绝来电电话目录（do-not－call－list）出现前的黑暗日子，就可以想象到SPIT（通过Internet电话传送的垃圾信息）的可能。BorderWare Technolgies公司技术副总裁Andrew Graydon说：“假如我想打100个电话，必须拨100次电话或使用自动拨号器。可是利用IP连接，我可以将一个WAV文件上载到巴哈马的一台计算机上，按一个键，立即将文件发送2000位雇员。”网络钓鱼只需通过假冒主叫方ID信息，伪装成一家合法机构的代表来实现。

　　但是，厂商和分析人士强调说，IP PBX运行在不同的操作系统上（通常是精简和加固的操作系统），使用多种仍在演进中的标准以及更多的专有协议（如Cisco的Skinny呼叫控制协议），从而使VoIP应用比一般的数据应用更难成为攻击的目标。

　　中间人攻击（黑客伪装成SIP代理，记录所有的呼叫活动）和信任利用（入侵与VoIP服务器存在信任关系的数据服务器来获得对VoIP服务器的访问），也具有潜在的威胁。除此之外，还有电话费欺诈（即入侵语音网关，花公司的钱打国际长途电话）。再有就是偷听：可以接入网络并拥有叫做tcpdump和VOMIT（Voice over Misconfigured Internet Telephones）这两种免费的、容易得到的工具的用户，可以重新组装IP语音谈话，将它转换为标准WAV文件。

　　此外，VoIP系统常常依靠脆弱的应用来正常运行。Collier说：“SQL Slammer攻击了 Microsoft SQL Server，可是由于Cisco Call Manager电话服务器依靠SQL服务器，因此Slammer也破坏了其中的很多电话服务器。”

　　VoIP自身难题

　　与其他应用相比，VoIP也面临自己的挑战。据Gartner公司联邦实践主任David Fraley说，为了实现收费质量的语音，单向传输流的延时不能超过150毫秒。“语音编码可占用多达30毫秒的时间，而公共IP网络上横跨美国的合理距离上的语音呼叫可占用多达100，甚至125毫秒的时间。”而这还只是加入防火墙、加密和入侵防御等安全措施之前的延时。

　　大多数主流防火墙没有考虑VoIP，它们也不能处理SIP和H.323的一些特有的东西。例如，SIP至少使用3个端口号，其中只有一个是静态的。H.323使用只有两个是静态端口，且都使用TCP和UDP(User Datagram Protocol)。这意味着你必须在标准防火墙上打开大量的端口，而这从威胁暴露角度看是不可接受的。

　　　除了包头的IP地址外，SIP和H.323也嵌入了IP地址，因此进入的呼叫会在防火墙和路由器的传统NAT设置上遇到问题。

　　运营商和一些大型企业利用叫做SBC（会话边界控制器）的昂贵设备来处理NAT和开放端口问题。来自Check Point、Juniper和WatchGuard等主要防火墙和IPS厂商的较新的防火墙产品，也已经开始变得更具VoIP意识，采用叫做NAT穿越的技术，根据对VoIP会话的仔细监测来动态地打开和关闭端口，甚至实现某些QoS特性，但是这常常意味着升级硬件和软件，并需要在购买时小心谨慎。

　　寻找解决方案

　　　在存在这些潜在威胁和安全漏洞的情况下，数量巨大的VoIP用户不久会发现自己受到服务中断和偷听的困扰吗？到目前为止，还没有出现针对企业VoIP系统的破坏性、引起公众广泛注意的攻击。为什么呢？厂商和分析人士提出了几条有根据的理由。

　　　多数较新的企业VoIP解决方案是封闭的系统，在这种系统中，分组语音只在LAN上传送。并且大多数外部传输流经过网关在PSTN上传送。Gartner的Fraley说：“如果你只在LAN上传送VoIP，实现收费质量和保持安全性比较容易。”办公室间的传输流一般在受保护的办公室到办公室连接上传送，因此在很多情况下，保护内部VoIP意味着加强你的呼叫服务器、交换机和网关，并利用合适类型的防火墙和IPS保护它们。

　　　厂商还建议在LAN上将语音与数据流隔离，以保护语音流不受恶意件、偷听和DoS攻击的影响。为语音构建独立的基础设备将抵消VoIP的费用好处。不过，你交换机的802.1Q特性提供了很多同样的保护，这些特性将语音和数据放在不同的VLAN上，利用具有语音意识的防火墙和/或IPS，保护语音与数据VLAN之间的交汇点，如消息服务器。事实上，Cisco最近版本的Call Manager提供内置的IPS。

　　Farnsworth说：“正确的使用VLAN还将防止偶然的VoIP嗅探。”他补充说，将合适的安全措施用于语音应用目标变得更加容易。

　　VoIP厂商和安全专家说，最好不要使用软电话――即运行在PC上的电话软件――而使用IP电话机，因为软电话使隔离语音与数据变得几乎不可能。将IP电话机的IP地址与它的MAC（媒体访问控制）地址建立关系是帮助减少IP地址欺骗的好办法。一些解决方案使用数字证书进行设备和服务器的认证，你可以在使用IP电话机时要求口令或PIN。关键是加密语音－信令数据、VoIP管理互动，并且在高度安全的环境中，甚至加密语音流。

　　未来挑战

　　上述论点目前很有道理，但是未来呢？Graydon说：“归根结底，企业希望利用VoIP节省国际长途电话费。”这就是说用VoIP中继线取代PRI和PSTN中继线，将呼叫传送给靠近你的国际电话目的地的网关。Graydon说：“只要企业向Internet开放VoIP，就会在自己的网络上打开巨大的潜在安全窟窿。”实际上，封闭的企业VoIP系统的日子已经过去了。Graydon还指出，电信公司正在将其内部基础设备由铜线上的PSTN改变为光纤上的IP来减少自己的费用，并且正在向与其他提供商的基于IP的对等连接迁移。“很多重大的IP融合正在那里悄悄地发生。”

　　Collier对此表示同意。他说：“一旦MCI在他们的VoIP网络上拥有1000家客户，控制安全威胁将变得更加困难。”

　　怀疑论者指出，避免使用软电话和将语音与数据完全隔离是不现实的。Collier说：“语音与数据间的互联正是所有那些很酷的融合应用未来的演进方向。” CentricVoice公司CEO Jeff Rothel对此表示赞同。CentricVoice是一家利用来自BorderWare的VoIP安全解决方案提供企业VoIP服务的公司。他说：“我们计划推出很多将语音直接集成到企业数据应用的软件层中的服务。”事实上，Rothel和其他人看到了企业从大小不同的提供商（全都以IP和SIP作为统一的标准）购买多种语音服务和应用的未来。

　　Rothel声称，传统的语音提供商对潜在的VoIP威胁不特别了解。“其中的很多提供商根本不懂得数据世界。他们从未遇到了让他们的PSTN交换机瘫痪的病毒。”

　市场上还有像来自Skype和其他提供商的对等语音应用这样的颠覆性应用。IPS提供商、目前成为3Com公司一部分的TippingPoint公司安全研究主管、VoIP 安全联盟主席David Endler说：“现在出现了大量不符合标准的企业VoIP应用，这些应用可能将渗透到企业中。” VoIP 安全联盟是一家寻找推进安全研究的VoIP和安全厂商组成的组织。

　　怀疑者还指出，VoIP厂商建议的很多安全措施要么不特别实际，要么没有得到广泛使用。SecureLogix的Collier说：“毫无疑问，你可以实现语音和信令加密和强认证，但是它们配置起来十分困难。”IT安全提供商Sentegrity公司CTO Brian Ham说，当前的密钥交换标准，如Diffie Hellman密钥协议，不能很好地扩展用于大范围的VoIP认证和加密：“如果你关注一下论坛、公布板和行业领导者，就会发现所有人都在问：‘我们怎样能进行合适的密钥交换？’”

　　只是因为一直没有出现引起公众广泛注意的针对IP电话的攻击，这并不意味着它们不会发生。BorderWare透露说，呼叫中心和金融机构已遭遇了攻击，但BorderWare官员不想透露他们的名字。

　　Collier说：“在一项技术得到广泛部署，出现可供大众自动发动攻击的工具之前，你一般不会看到广泛传播的威胁。” Endler也认为：“随着应用得到更广泛的部署，它们成为更具诱惑力的目标。” BorderWare、SecureLogix，甚至TippingPoint等VoIP安全厂商开始提供针对未来可能影响VoIP的应用层攻击的专门的VoIP防火墙和IPSec。

　　VoIP最终可能开始遭受困扰电子邮件、即时消息和其他类型的入侵。好消息是VoIP和安全厂商已开始及早着手解决这些问题。Kuhn说：“毫无疑问，VoIP安全选择将很快变得越来越好。”他补充说，融合语音和数据应用的好处那么大，安全问题不可能阻止它们的部署。