VoIP安全問(wèn)題探討 黑客惦記是最大隱患

當越來(lái)越多VoIP安全的話(huà)題在媒體上露面時(shí)，現實(shí)的應用中，卻很少遇到實(shí)際的災難事件。于是，一些人開(kāi)始困惑，VoIP安全威脅到底是椅子下面的定時(shí)炸彈，隨時(shí)可能引爆;還是傳說(shuō)中的尼斯湖怪獸，只存在于人們的想象里…… 　　當越來(lái)越多VoIP安全的話(huà)題在媒體上露面時(shí)，現實(shí)的應用中，卻很少遇到實(shí)際的災難事件。于是，一些人開(kāi)始困惑，VoIP安全威脅到底是椅子下面的定時(shí)炸彈，隨時(shí)可能引爆;還是傳說(shuō)中的尼斯湖怪獸，只存在于人們的想象里……

　　誰(shuí)的奶酪?

　　“對于VoIP安全問(wèn)題的擔憂(yōu)，也許最大的原因并不是來(lái)源于技術(shù)本身，而是這個(gè)市場(chǎng)?！辟愰T(mén)鐵克中國區首席安全顧問(wèn)田成一語(yǔ)中的。

　　的確，如果單從技術(shù)角度講，VoIP就是將語(yǔ)音通過(guò)數據包的方式來(lái)傳輸，它并不會(huì )比現有的數據網(wǎng)絡(luò )“更不安全”。然而這一市場(chǎng)巨大的含金量，卻注定讓它像藏在身上的巨款一樣，無(wú)論怎么包裹，總會(huì )讓人感到忐忑不安。

　　根據市場(chǎng)調研公司In-Stat的預計，從2005年至2009年，亞洲地區VoIP市場(chǎng)每年將增長(cháng)10億美元，2009年該市場(chǎng)規模將從目前的50多億美元飛躍到100億美元，同期用戶(hù)數量將增長(cháng)一倍以上。到那時(shí)，VoIP將占到全球電話(huà)通信量的近一半。而且據行業(yè)分析家預計，企業(yè)的應用將更為廣泛，估計全球2000強公司到2009年，有三分之二將采用VoIP作為主要的語(yǔ)音通信方式。

　　作為通信業(yè)歷史上最具革新性的技術(shù)，VoIP是一塊令所有人垂涎欲滴的奶酪，當然，對于黑客而言也不例外?，F在所有的安全企業(yè)在談到新的安全威脅時(shí)，都會(huì )強調一句話(huà)：那就是，黑客攻擊越來(lái)越受到經(jīng)濟利益的驅動(dòng)。對他們來(lái)說(shuō)，擺在眼前的VoIP無(wú)疑就是一座金山，不要說(shuō)涉及商業(yè)機密的語(yǔ)音仿冒與竊取，單單是話(huà)費盜取和欺詐(比如入侵語(yǔ)音網(wǎng)關(guān)，花別人的錢(qián)打國際長(cháng)途電話(huà))，以及發(fā)送語(yǔ)音垃圾郵件，就會(huì )產(chǎn)生驚人的收益。

　　田成表示，“盡管從目前來(lái)看，賽門(mén)鐵克全球監測網(wǎng)發(fā)現針對VoIP的攻擊報告很少，但隨著(zhù)VoIP作為新的通信技術(shù)得到廣泛認可和部署，攻擊者將它作為集中攻擊目標只是時(shí)間問(wèn)題?！?/p>

　　雖然有些人認為，由于VoIP這樣的服務(wù)大多是由電信運營(yíng)商來(lái)操控的，安全方面的問(wèn)題可以依靠管制政策來(lái)控制，但是，VoIP的應用遠遠不只于語(yǔ)音，而且由于IP網(wǎng)絡(luò )跨越國界，很難在全球范圍內實(shí)現一致的管制，就可行性而言，VoIP的安全性問(wèn)題，還是應該主要通過(guò)技術(shù)手段來(lái)解決。那么從技術(shù)層面來(lái)看，VoIP安全的癥結究竟在那里呢?

　　軟肋有多軟

　　如果用戶(hù)就VoIP的安全問(wèn)題去咨詢(xún)，那么在IP通信商和專(zhuān)業(yè)安全廠(chǎng)商那里會(huì )得到截然不同的答案。前者認為VoIP系統至少同傳統的語(yǔ)音系統一樣安全，而后者則認為其安全問(wèn)題比電子郵件、Web應用等更加嚴重。

　　當然，這是站在不同利益立場(chǎng)上的發(fā)言，不過(guò)，單從技術(shù)上來(lái)看，在VoIP環(huán)境中，話(huà)音和數據一樣是一個(gè)個(gè)的“包”，它沒(méi)有理由可以躲避開(kāi)各種病毒和黑客攻擊的困擾。從理論上來(lái)講，眼下黑客對數據網(wǎng)絡(luò )的所有攻擊手段，都有可能被應用到IP語(yǔ)音之上。

　　比如話(huà)費盜取和欺詐，雖然IP話(huà)機不能通過(guò)并線(xiàn)的方式撥打電話(huà)，但通過(guò)竊取使用者IP電話(huà)的登錄密碼同樣能夠獲得話(huà)機的權限。這就如同在一根普通模擬話(huà)機線(xiàn)上又并接了一個(gè)電話(huà)一樣。再比如語(yǔ)音網(wǎng)頁(yè)仿冒，語(yǔ)音欺詐等。

　　田成也介紹說(shuō)，未來(lái)垃圾郵件的泛濫，同樣可能出現在VoIP系統之上。黑客會(huì )使用和尋找電子郵件地址一樣的目錄獲取攻擊，尋找出大量的合法IP電話(huà)地址，然后將一段wav文件放到某臺計算機上，就可以發(fā)送大量垃圾語(yǔ)音郵件，并且通過(guò)假造的IP電話(huà)地址，讓人無(wú)從追查。

　　總之，如果“幸運”的話(huà)，包括病毒、蠕蟲(chóng)、木馬、DoS攻擊、垃圾郵件、網(wǎng)絡(luò )釣魚(yú)等這些“老朋友”，你都可能在VoIP環(huán)境中再次碰到。

　　那么，為什么到目前為止，我們在已經(jīng)應用的VoIP系統中，并沒(méi)有看到大規模的攻擊事件，難道這些威脅只是存在于技術(shù)的理論層面嗎?

　　對此，Juniper高級系統工程師王衛認為，之所以目前VoIP還沒(méi)有任何關(guān)于大規模網(wǎng)絡(luò )攻擊或安全系統遭破壞的報道，究其原因，很大程度上是因為VoIP本身尚未成熟，比如大量的非標準化和互操作性問(wèn)題，這些問(wèn)題一方面給VoIP的部署應用帶來(lái)了巨大的麻煩，但另一方面，也給黑客的攻擊造成了很大的障礙。

　　我們知道，開(kāi)放的、標準化的體系最容易受到病毒和惡意攻擊的影響，而眼下，VoIP廠(chǎng)商和服務(wù)提供商們在為客戶(hù)安裝系統時(shí)，通常提供不同種類(lèi)的防火墻、私有協(xié)議、預防侵入系統和其他一些保護裝置。此外，很多企業(yè)VoIP解決方案通常是封閉的系統，分組語(yǔ)音只在LAN上傳送，而大多數外部傳輸流經(jīng)過(guò)網(wǎng)關(guān)在PSTN上傳送。不過(guò)，隨著(zhù)VoIP的不斷成熟演進(jìn)，走向開(kāi)放、標準化、純IP的體系是必然趨勢，到那時(shí)，VoIP將因為很多語(yǔ)音和數據的融合應用，向整個(gè)互聯(lián)網(wǎng)開(kāi)放，而安全問(wèn)題也必將隨之大量爆發(fā)。

　　威脅防護與盲人摸象

　　現實(shí)的情況是，由于沒(méi)有看到嚴重的VoIP安全事件，很多企業(yè)總是在已經(jīng)部署VoIP之后，在逐漸依賴(lài)這一系統時(shí)，才開(kāi)始逐步意識到安全的重要性。企業(yè)擔心的安全問(wèn)題主要包括通過(guò)電話(huà)記錄或者語(yǔ)音郵件泄漏公司敏感的信息、竊聽(tīng)、惡意軟件導致的系統崩潰和其他惡意攻擊、以及機構內部和外部人員不正當地使用語(yǔ)音服務(wù)等。

　　要完全實(shí)現這些安全保障，企業(yè)需要在不同的網(wǎng)絡(luò )層次實(shí)施各種安全措施，如認證、語(yǔ)音傳輸的加密、分離語(yǔ)音和數據網(wǎng)絡(luò )、對語(yǔ)音服務(wù)器實(shí)施實(shí)時(shí)監控，應用一些專(zhuān)門(mén)防止黑客入侵和計算機病毒的產(chǎn)品如防火墻等。

　　防火墻的角色

　　那么，在VoIP的安全上，防火墻究竟能夠扮演什么樣的角色呢?

　　“實(shí)際上，現在的防火墻安全設備已經(jīng)超過(guò)了傳統的狀態(tài)檢查防火墻，采用深度數據包檢測技術(shù)大大增強了安全能力和應用范圍?！?SonicWALL中國區技術(shù)經(jīng)理蔡永生這樣解釋道?！霸赩oIP網(wǎng)絡(luò )中，防火墻的傳統角色正在發(fā)生本質(zhì)上的變革。因為VoIP要求因特網(wǎng)上基于IP的資源是可預測的、靜態(tài)可用的，但防火墻的網(wǎng)絡(luò )地址轉換功能給VoIP網(wǎng)絡(luò )帶來(lái)了障礙。通過(guò)“pin-holing”和其他技術(shù)，安全供應商已經(jīng)找到了適應VoIP基礎設施、保證互操作的方法?！?/p>

　　“SonicWALL的防火墻可以對通過(guò)的每個(gè)VoIP信令和媒體數據包進(jìn)行狀態(tài)檢測，保證所有業(yè)務(wù)流的合法性。對于攻擊者來(lái)說(shuō)，攻擊所使用的主要方法就是利用特殊編制的數據包來(lái)窺探和利用軟硬件實(shí)現的缺陷，從而導致目標設備出現緩沖區溢出等問(wèn)題。SonicWALL能夠在非法數據包到達目標之前檢測到它們并將其丟棄?！?/p>

　　對此，王衛也向記者作出了解釋?zhuān)劦剑骸芭cHTTP不同，SIP協(xié)議把IP地址放在了消息負載中，而不是消息的頭文件中。因此，要讓防火墻傳遞SIP消息，防火墻必須要通過(guò)深度檢測了解這種應用程序，以便翻譯出那個(gè)信息。Juniper開(kāi)發(fā)的語(yǔ)音感知應用層網(wǎng)關(guān)(ALGs)技術(shù)，它使網(wǎng)絡(luò )能夠動(dòng)態(tài)開(kāi)放和關(guān)閉防火墻端口，允許出入呼叫經(jīng)過(guò)防火墻。從而避免了開(kāi)放大量防火墻端口，使網(wǎng)絡(luò )暴露在端口掃描和黑客的危險之中?！?/p>

　　據王衛介紹，現在，通過(guò)擴展的協(xié)議支持，NetScreen深層檢測防火墻可防止650多種應用級攻擊和異常情況?？蛻?hù)可使用預定義的規則，也可創(chuàng )建定制的攻擊組，并基于協(xié)議或嚴重程度安排應答順序，從而為高效的網(wǎng)絡(luò )保護提供細粒度的控制。

　　此外，深層檢測防火墻技術(shù)還提供應用感知功能，使客戶(hù)不僅能夠抵御攻擊，還能控制應用的使用。例如，客戶(hù)可允許IM聊天，同時(shí)拒絕文件傳輸。

　　隨著(zhù)企業(yè)范圍的VoIP部署涉及范圍越來(lái)越寬，網(wǎng)絡(luò )威脅越來(lái)越復雜，對VoIP防護的挑戰也在加大。無(wú)論如何，要時(shí)刻記住，對于黑客來(lái)說(shuō)，所有可能大規模普及的信息應用，都是等待上桌的美餐，VoIP也不例外，我們的企業(yè)不能再存有任何僥幸的心理，否則下一個(gè)被裝入盤(pán)中的，可能就是你。

　　顯然，企業(yè)要一步做到所有這些是相當困難的，而且在目前的情況下也并不必要。在對待VoIP的安全問(wèn)題上，我們不能像盲人摸象一樣，每碰到一處就盲目放大，而是要根據實(shí)際的應用，結合當前主要的威脅所在，尋找適宜的防護方案。王衛認為目前VoIP的主要威脅可能來(lái)自于DoS，應該盡量降低網(wǎng)絡(luò )暴露，加強網(wǎng)關(guān)的防護能力。

　　在網(wǎng)絡(luò )的安全保護方面，人們首先最容易想到的產(chǎn)品就是防火墻。不過(guò)用傳統的防火墻來(lái)解決VoIP的安全問(wèn)題卻有著(zhù)很多的困難，首先協(xié)同工作就是一個(gè)問(wèn)題。

　　由于語(yǔ)音通信中同時(shí)包含了數據流和信號流，語(yǔ)音呼叫信息組成了數據流，而信號流則進(jìn)行呼叫建立和控制，依據的信號協(xié)議通常是H.323、會(huì )話(huà)初始協(xié)議(SIP)或媒體網(wǎng)關(guān)控制協(xié)議(MGCP)。對于信號信息的通過(guò)，我們一般可預留少量端口用于呼叫接入。而對于呼叫本身，由于是基于實(shí)時(shí)協(xié)議(RTP)和采用動(dòng)態(tài)分配UDP端口方式，而不是通常情況下防火墻針對特定用戶(hù)或應用采用的靜態(tài)分配方式，因而讓VoIP呼叫接入通過(guò)，意味著(zhù)為所有通信打開(kāi)了通道，當然其中也包括黑客。如此一來(lái)，防火墻也就失去了存在的意義。