企业VOIP数据安全解决途径的探讨与实践

　　多媒体应用与企业传统网络结合使得VOIP技术迅猛发展,VOIP成为现在以及未来会成为话音的主流技术。针对企业VOIP应用的攻击日渐繁多。顾名思义,VOIP与运行在IP网络上的其他基于IP的应用,如网页浏览(web)和电子邮件(email)一样有着共同的安全威胁和弱点,包括所有的来自IP网络层的威胁。网管人员和邮件系统管理员迫切需要解决这些威胁还包括标准网络信息安全技术和优秀的网络设计试图解决的问题。本文主要就如何通过采取一个仔细规划的、多层次的VoIP网络防护措施让VOIP数据高枕无忧以及除了这些网络层的若干威胁外,VOIP应用还需要面对一系列的协议和应用特有的威胁和一系列内容相关的威胁做一些讨论。

　　VOIP是Voice Over Internet Protocol的缩写,它的用途是将模拟的声音讯号经过压缩与封包之后,以数据封包的形式在IP 网络的环境进行语音讯号的传输[1]。媒体应用与企业传统网络结合使得VOIP技术的迅猛发展,IP语音逐渐成为企业网络中的一个不可或缺的新成员。

　　简单地说,VOIP即互联网电话或是网络电话。相比传统电话,VOIP除了服务更多样化外,节省电话费和漫游费是真正最具有竞争力的原因。但即使在VOIP技术广泛应用的今天,VOIP的安全性仍屡遭质疑。

　　1 VOIP安全性的讨论

　　既然PSTN(公共交换电话网络)语音呼叫通常都不安全,那么 VOIP 呼叫真的还有必要具备安全性吗?答案有两重。首先,IP 网络的分组性质使其比 PSTN 更易受到安全威胁。此外,就当前社会政治条件提出的新型安全顾虑而言,在我们的语音网络中集成安全特性对服务供应商和最终用户都有利。

　　从服务供应商的角度看,实施安全保障措施可避免各种破坏性行为,这些行为可能导致盗窃服务以及损失大笔收入等。此外,电话终端设备的实施和配置可能会使其好像有效的终端设备的克隆一样,能够在不为人知的情况下免费而有效地访问服务。如果网络黑客能够成功访问网络设备、修改数据库或复制设备的话,那么他们就会成为威胁。最后,诸如会话启动协议(SIP)、H.323 以及媒体网关控制协议(MGCP)等分组网络协议可通过访问数据包进行操纵,从而修改协议信息,导致数据包目的地或呼叫连接的变化。

　　其他安全威胁会对最终用户构成隐私威胁。黑客只需通过简单的分组网络“窃听”,就能“听到”语音载体通道,或“看到”呼叫设置(信令)信息,从而获取详细的呼叫信息。终端电话设备克隆经过配置,通过上述网络协议操纵伪装成其他无辜用户,或“窃听”正在进行的语音和相关信号传送流量用于脱机分析,就能实现上述目的[2]。

　　尽管上述安全威胁切实存在,但这并不意味着 VOIP 部署是完全脆弱的。通过采取一个仔细规划的、多层次的VoIP网络防护措施,企业就可以让VoIP网络的安全程度赶上甚至是超过传统的电话系统。

　　2 VOIP协议与IP协议的相互依存关系

　　VOIP协议也需要将这些特性应用在协议设计中。除此之外,VOIP应用实际上提供了很多非语音的服务,例如视频会议、在线查询服务(提供某人是否在线的信息、确定最佳的联系方式等),甚至是及时消息(Instant Messaging,IM)和分页(Paging)服务。协议和应用相关的威胁包括大量的泛洪攻击(flooding attack)和通话干扰威胁。干扰威胁包括通话终止攻击(恶意攻击者简单地将通话切断)和通话劫持攻击(攻击者接管通话)。在这些VOIP应用相关的威胁中,多数威胁在其他网络应用中找不到直接的类似攻击。

　　内容相关的安全威胁影响到VOIP通话的内容,包括个人对个人的通话、语音会议通话或者视频会议通话。这类威胁包括简单的未授权的通话监控或者窃听、或通话劫持或通话渗透。虽然VOIP内容相关的威胁在email和web服务中有其类似的威胁,如垃圾邮件以及恶意或不正确的网页内容,但是VOIP劫持或者渗透攻击背后的技术显然和email spam和恶意网页内容技术相去甚远[3]。

　　VOIP内容安全威胁和协议、应用安全威胁都是真实的,能够被演示。SIPtap上描述的通话窃听事件就是一个例子。其他可演示的威胁包括大量的泛洪攻击、通话终止攻击和通话劫持攻击以及一些VOIP特有的拒绝服务攻击。但是,这些威胁是已知的这个事实,并不是每个人都认识到了。

　　保护系统免受已知的VOIP攻击的威胁是可能的。标准的安全技术、运用防火墙技术、实现好的设计和操作策略都是好的开始和必要的一步,但是这并不能解决所有的问题。标准安全技术能够应付“标准的”威胁,但是专家级防范措施才能够解决许多VOIP特有的威胁。

　　3 VOIP的网络防护措施的具体实施

　　3.1 网络层加密

　　使用IPSec加密来保护网络中的VOIP数据;如果攻击者穿越了VOIP服务器的物理层防护措施,并截获VOIP数据包,也无法破译其中的内容。IPSec使用认证头以及压缩安全有效载荷来为IP传输提供认证性、完整性以及机密性。

　　VoIP上的IPSec使用隧道模式,对两头终端的身份进行保护。IPSec可以让VoIP通讯比使用传统的电话线更安全。

　　3.2 会话层锁定

　　使用TLS来保护VoIP会话,TLS使用的是数字签名和公共密钥加密,这意味着每一个端点都必须有一个可信任的、由权威CA认证(电子商务认证授权机构,Certificate Authority)的签名;或者安全管理人员也可以通过一个内部CA(比如一台运行了认证服务的Windows服务器)来进行企业内部的通话,并经由一个公共CA来进行公司之外的通话。

　　3.3 保护应用层

　　使用“安全RTP(SRTP)”来对应用层的介质进行加密。RFC3711定义了SRTP,让它可以提供信息认证、机密性、回放保护、阻止对RTP数据流的拒绝服务式攻击等安全机制。通过SRTP,安全管理员可以对无线网和有线网上的VoIP通讯进行有效的保护。

　　3.4 建立VoIP网络的冗余机制

　　要时刻准备着可能会遭到病毒、DOS攻击,它们可能会导致网络系统瘫痪。构建能够设置多层节点、网关、服务器、电源及呼叫路由器的网络系统,并与不只一个供应商互联。经常性的对各个网络系统进行考验,确保其工作良好,当主服务网络瘫痪时,备用设施可以迅速接管工作。

　　3.5 配备专用防火墙

　　对一个IP网络来说,边界保护通常意味着使用防火墙,不过一个老旧的防火墙是不适合VoIP网络的。你需要一个特别设计的防火墙,他得能识别和分析VoIP协议,能对VoIP的数据包进行深度检查,并能分析VoIP的有效载荷以便发现所有和攻击有关的蛛丝马迹。

　　如果你的VoIP部署使用了SIP协议(Session Initiation Protocol),那么防火墙就应当能执行下述操作:监视进出的SIP信息,以便发现应用程式层次上的攻击;支持TLS(传输层安全);执行基于SIP的NAT及介质端口管理;检测非正常的呼叫模式;记录SIP信息的详情,特别是未经授权的呼叫。

　　3.6 内外网隔离

　　将电话管理系统与网络系统置于国际互联网络直接访问之外是一个不错的选择,将语音服务与其它服务器置于相分离的域中,并限制对其访问。

　　3.7 尽量减少软终端

　　VoIP软终端电话易于遭受电脑黑客攻击,即使它位于公司防火墙之后,因为这种东西是与普通的PC、VoIP软件及一对耳机一起使用的。而且,软终端电话并没有将语音和数据分开,因此,易于受到病毒和蠕虫的攻击。

　　3.8 限制所有的VoIP数据只能传输到一个VLAN上

　　Cisco理论建议对语音和数据分别划分VLAN,这样有助于按照优先次序来处理语音和数据、防御费用欺诈、DOS攻击、窃听、劫持通信等。VLAN的划分使用户的计算机形成了一个有效的封闭的圈子,不允许任何其它计算机访问其设备,从而避免了电脑的攻击,VoIP网络也就相当安全;即使受到攻击,也会将损失降到最低[5]。

　　3.9 监控并跟踪网络的通信模式

　　使用监控工具和入侵探测系统能帮助用户识别那些侵入VoIP网络的企图。详细观察VoIP日志可以帮助发现一些不规则的东西,如莫名其妙的国际电话或是本公司或组织基本不联系的国际电话,多重登录试图破解密码,语音暴增等。

　　3.10 定期进行安全检查

　　要确信只有经过鉴别的设备和用户,才可以访问那些经过限制的以太网端口。管理员常常被欺骗,接授那些没有经过允许的软终端电话的请求,因为黑客们能够通过插入RJ44端口轻易地模仿IP地址和MAC地址。

　　4 结束语

　　除了以上所论述之外,VOIP应用中还涉及到SIP会话初始化协议等等。其原理跟上文所述协议类似。出于安全的考虑,也需要启用应用检查。无论是什么协议,只要对其启用了以上各项措施,都需要评估启用了之后是否会对性能产生不利的影响。通常情况下,启用了之后肯定会造成性能的下降。不过企业网络部属方案与环境不同,其造成的影响也是不同的。所以管理员需要测试与评估,看其是否在用户能够忍受的范围之内。鱼与熊掌不能够兼得,用户还是需要在这两者当中进行选择。一般情况下,只要不影响到IP电话的通话效果,还是要启用为好。毕竟除了这个应用检查之外,现在还没有其他比较好的安全措施。

　　作者：张俊虎 郭丽敏 来源：软件工程师 2010年11期