VoIP安全問(wèn)題探討 黑客惦記是最大隱患

當(dāng)越來(lái)越多VoIP安全的話題在媒體上露面時(shí)，現(xiàn)實(shí)的應(yīng)用中，卻很少遇到實(shí)際的災(zāi)難事件。于是，一些人開(kāi)始困惑，VoIP安全威脅到底是椅子下面的定時(shí)炸彈，隨時(shí)可能引爆;還是傳說(shuō)中的尼斯湖怪獸，只存在于人們的想象里…… 　　當(dāng)越來(lái)越多VoIP安全的話題在媒體上露面時(shí)，現(xiàn)實(shí)的應(yīng)用中，卻很少遇到實(shí)際的災(zāi)難事件。于是，一些人開(kāi)始困惑，VoIP安全威脅到底是椅子下面的定時(shí)炸彈，隨時(shí)可能引爆;還是傳說(shuō)中的尼斯湖怪獸，只存在于人們的想象里……

　　誰(shuí)的奶酪?

　　“對(duì)于VoIP安全問(wèn)題的擔(dān)憂，也許最大的原因并不是來(lái)源于技術(shù)本身，而是這個(gè)市場(chǎng)?！辟愰T鐵克中國(guó)區(qū)首席安全顧問(wèn)田成一語(yǔ)中的。

　　的確，如果單從技術(shù)角度講，VoIP就是將語(yǔ)音通過(guò)數(shù)據(jù)包的方式來(lái)傳輸，它并不會(huì)比現(xiàn)有的數(shù)據(jù)網(wǎng)絡(luò)“更不安全”。然而這一市場(chǎng)巨大的含金量，卻注定讓它像藏在身上的巨款一樣，無(wú)論怎么包裹，總會(huì)讓人感到忐忑不安。

　　根據(jù)市場(chǎng)調(diào)研公司In-Stat的預(yù)計(jì)，從2005年至2009年，亞洲地區(qū)VoIP市場(chǎng)每年將增長(zhǎng)10億美元，2009年該市場(chǎng)規(guī)模將從目前的50多億美元飛躍到100億美元，同期用戶數(shù)量將增長(zhǎng)一倍以上。到那時(shí)，VoIP將占到全球電話通信量的近一半。而且據(jù)行業(yè)分析家預(yù)計(jì)，企業(yè)的應(yīng)用將更為廣泛，估計(jì)全球2000強(qiáng)公司到2009年，有三分之二將采用VoIP作為主要的語(yǔ)音通信方式。

　　作為通信業(yè)歷史上最具革新性的技術(shù)，VoIP是一塊令所有人垂涎欲滴的奶酪，當(dāng)然，對(duì)于黑客而言也不例外?，F(xiàn)在所有的安全企業(yè)在談到新的安全威脅時(shí)，都會(huì)強(qiáng)調(diào)一句話：那就是，黑客攻擊越來(lái)越受到經(jīng)濟(jì)利益的驅(qū)動(dòng)。對(duì)他們來(lái)說(shuō)，擺在眼前的VoIP無(wú)疑就是一座金山，不要說(shuō)涉及商業(yè)機(jī)密的語(yǔ)音仿冒與竊取，單單是話費(fèi)盜取和欺詐(比如入侵語(yǔ)音網(wǎng)關(guān)，花別人的錢打國(guó)際長(zhǎng)途電話)，以及發(fā)送語(yǔ)音垃圾郵件，就會(huì)產(chǎn)生驚人的收益。

　　田成表示，“盡管從目前來(lái)看，賽門鐵克全球監(jiān)測(cè)網(wǎng)發(fā)現(xiàn)針對(duì)VoIP的攻擊報(bào)告很少，但隨著VoIP作為新的通信技術(shù)得到廣泛認(rèn)可和部署，攻擊者將它作為集中攻擊目標(biāo)只是時(shí)間問(wèn)題?！?/p>

　　雖然有些人認(rèn)為，由于VoIP這樣的服務(wù)大多是由電信運(yùn)營(yíng)商來(lái)操控的，安全方面的問(wèn)題可以依靠管制政策來(lái)控制，但是，VoIP的應(yīng)用遠(yuǎn)遠(yuǎn)不只于語(yǔ)音，而且由于IP網(wǎng)絡(luò)跨越國(guó)界，很難在全球范圍內(nèi)實(shí)現(xiàn)一致的管制，就可行性而言，VoIP的安全性問(wèn)題，還是應(yīng)該主要通過(guò)技術(shù)手段來(lái)解決。那么從技術(shù)層面來(lái)看，VoIP安全的癥結(jié)究竟在那里呢?

　　軟肋有多軟

　　如果用戶就VoIP的安全問(wèn)題去咨詢，那么在IP通信商和專業(yè)安全廠商那里會(huì)得到截然不同的答案。前者認(rèn)為VoIP系統(tǒng)至少同傳統(tǒng)的語(yǔ)音系統(tǒng)一樣安全，而后者則認(rèn)為其安全問(wèn)題比電子郵件、Web應(yīng)用等更加嚴(yán)重。

　　當(dāng)然，這是站在不同利益立場(chǎng)上的發(fā)言，不過(guò)，單從技術(shù)上來(lái)看，在VoIP環(huán)境中，話音和數(shù)據(jù)一樣是一個(gè)個(gè)的“包”，它沒(méi)有理由可以躲避開(kāi)各種病毒和黑客攻擊的困擾。從理論上來(lái)講，眼下黑客對(duì)數(shù)據(jù)網(wǎng)絡(luò)的所有攻擊手段，都有可能被應(yīng)用到IP語(yǔ)音之上。

　　比如話費(fèi)盜取和欺詐，雖然IP話機(jī)不能通過(guò)并線的方式撥打電話，但通過(guò)竊取使用者IP電話的登錄密碼同樣能夠獲得話機(jī)的權(quán)限。這就如同在一根普通模擬話機(jī)線上又并接了一個(gè)電話一樣。再比如語(yǔ)音網(wǎng)頁(yè)仿冒，語(yǔ)音欺詐等。

　　田成也介紹說(shuō)，未來(lái)垃圾郵件的泛濫，同樣可能出現(xiàn)在VoIP系統(tǒng)之上。黑客會(huì)使用和尋找電子郵件地址一樣的目錄獲取攻擊，尋找出大量的合法IP電話地址，然后將一段wav文件放到某臺(tái)計(jì)算機(jī)上，就可以發(fā)送大量垃圾語(yǔ)音郵件，并且通過(guò)假造的IP電話地址，讓人無(wú)從追查。

　　總之，如果“幸運(yùn)”的話，包括病毒、蠕蟲、木馬、DoS攻擊、垃圾郵件、網(wǎng)絡(luò)釣魚等這些“老朋友”，你都可能在VoIP環(huán)境中再次碰到。

　　那么，為什么到目前為止，我們?cè)谝呀?jīng)應(yīng)用的VoIP系統(tǒng)中，并沒(méi)有看到大規(guī)模的攻擊事件，難道這些威脅只是存在于技術(shù)的理論層面嗎?

　　對(duì)此，Juniper高級(jí)系統(tǒng)工程師王衛(wèi)認(rèn)為，之所以目前VoIP還沒(méi)有任何關(guān)于大規(guī)模網(wǎng)絡(luò)攻擊或安全系統(tǒng)遭破壞的報(bào)道，究其原因，很大程度上是因?yàn)閂oIP本身尚未成熟，比如大量的非標(biāo)準(zhǔn)化和互操作性問(wèn)題，這些問(wèn)題一方面給VoIP的部署應(yīng)用帶來(lái)了巨大的麻煩，但另一方面，也給黑客的攻擊造成了很大的障礙。

　　我們知道，開(kāi)放的、標(biāo)準(zhǔn)化的體系最容易受到病毒和惡意攻擊的影響，而眼下，VoIP廠商和服務(wù)提供商們?cè)跒榭蛻舭惭b系統(tǒng)時(shí)，通常提供不同種類的防火墻、私有協(xié)議、預(yù)防侵入系統(tǒng)和其他一些保護(hù)裝置。此外，很多企業(yè)VoIP解決方案通常是封閉的系統(tǒng)，分組語(yǔ)音只在LAN上傳送，而大多數(shù)外部傳輸流經(jīng)過(guò)網(wǎng)關(guān)在PSTN上傳送。不過(guò)，隨著VoIP的不斷成熟演進(jìn)，走向開(kāi)放、標(biāo)準(zhǔn)化、純IP的體系是必然趨勢(shì)，到那時(shí)，VoIP將因?yàn)楹芏嗾Z(yǔ)音和數(shù)據(jù)的融合應(yīng)用，向整個(gè)互聯(lián)網(wǎng)開(kāi)放，而安全問(wèn)題也必將隨之大量爆發(fā)。

　　威脅防護(hù)與盲人摸象

　　現(xiàn)實(shí)的情況是，由于沒(méi)有看到嚴(yán)重的VoIP安全事件，很多企業(yè)總是在已經(jīng)部署VoIP之后，在逐漸依賴這一系統(tǒng)時(shí)，才開(kāi)始逐步意識(shí)到安全的重要性。企業(yè)擔(dān)心的安全問(wèn)題主要包括通過(guò)電話記錄或者語(yǔ)音郵件泄漏公司敏感的信息、竊聽(tīng)、惡意軟件導(dǎo)致的系統(tǒng)崩潰和其他惡意攻擊、以及機(jī)構(gòu)內(nèi)部和外部人員不正當(dāng)?shù)厥褂谜Z(yǔ)音服務(wù)等。

　　要完全實(shí)現(xiàn)這些安全保障，企業(yè)需要在不同的網(wǎng)絡(luò)層次實(shí)施各種安全措施，如認(rèn)證、語(yǔ)音傳輸?shù)募用?、分離語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)、對(duì)語(yǔ)音服務(wù)器實(shí)施實(shí)時(shí)監(jiān)控，應(yīng)用一些專門防止黑客入侵和計(jì)算機(jī)病毒的產(chǎn)品如防火墻等。

　　防火墻的角色

　　那么，在VoIP的安全上，防火墻究竟能夠扮演什么樣的角色呢?

　　“實(shí)際上，現(xiàn)在的防火墻安全設(shè)備已經(jīng)超過(guò)了傳統(tǒng)的狀態(tài)檢查防火墻，采用深度數(shù)據(jù)包檢測(cè)技術(shù)大大增強(qiáng)了安全能力和應(yīng)用范圍。” SonicWALL中國(guó)區(qū)技術(shù)經(jīng)理蔡永生這樣解釋道?！霸赩oIP網(wǎng)絡(luò)中，防火墻的傳統(tǒng)角色正在發(fā)生本質(zhì)上的變革。因?yàn)閂oIP要求因特網(wǎng)上基于IP的資源是可預(yù)測(cè)的、靜態(tài)可用的，但防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換功能給VoIP網(wǎng)絡(luò)帶來(lái)了障礙。通過(guò)“pin-holing”和其他技術(shù)，安全供應(yīng)商已經(jīng)找到了適應(yīng)VoIP基礎(chǔ)設(shè)施、保證互操作的方法?！?/p>

　　“SonicWALL的防火墻可以對(duì)通過(guò)的每個(gè)VoIP信令和媒體數(shù)據(jù)包進(jìn)行狀態(tài)檢測(cè)，保證所有業(yè)務(wù)流的合法性。對(duì)于攻擊者來(lái)說(shuō)，攻擊所使用的主要方法就是利用特殊編制的數(shù)據(jù)包來(lái)窺探和利用軟硬件實(shí)現(xiàn)的缺陷，從而導(dǎo)致目標(biāo)設(shè)備出現(xiàn)緩沖區(qū)溢出等問(wèn)題。SonicWALL能夠在非法數(shù)據(jù)包到達(dá)目標(biāo)之前檢測(cè)到它們并將其丟棄。”

　　對(duì)此，王衛(wèi)也向記者作出了解釋，他談到：“與HTTP不同，SIP協(xié)議把IP地址放在了消息負(fù)載中，而不是消息的頭文件中。因此，要讓防火墻傳遞SIP消息，防火墻必須要通過(guò)深度檢測(cè)了解這種應(yīng)用程序，以便翻譯出那個(gè)信息。Juniper開(kāi)發(fā)的語(yǔ)音感知應(yīng)用層網(wǎng)關(guān)(ALGs)技術(shù)，它使網(wǎng)絡(luò)能夠動(dòng)態(tài)開(kāi)放和關(guān)閉防火墻端口，允許出入呼叫經(jīng)過(guò)防火墻。從而避免了開(kāi)放大量防火墻端口，使網(wǎng)絡(luò)暴露在端口掃描和黑客的危險(xiǎn)之中?！?/p>

　　據(jù)王衛(wèi)介紹，現(xiàn)在，通過(guò)擴(kuò)展的協(xié)議支持，NetScreen深層檢測(cè)防火墻可防止650多種應(yīng)用級(jí)攻擊和異常情況?？蛻艨墒褂妙A(yù)定義的規(guī)則，也可創(chuàng)建定制的攻擊組，并基于協(xié)議或嚴(yán)重程度安排應(yīng)答順序，從而為高效的網(wǎng)絡(luò)保護(hù)提供細(xì)粒度的控制。

　　此外，深層檢測(cè)防火墻技術(shù)還提供應(yīng)用感知功能，使客戶不僅能夠抵御攻擊，還能控制應(yīng)用的使用。例如，客戶可允許IM聊天，同時(shí)拒絕文件傳輸。

　　隨著企業(yè)范圍的VoIP部署涉及范圍越來(lái)越寬，網(wǎng)絡(luò)威脅越來(lái)越復(fù)雜，對(duì)VoIP防護(hù)的挑戰(zhàn)也在加大。無(wú)論如何，要時(shí)刻記住，對(duì)于黑客來(lái)說(shuō)，所有可能大規(guī)模普及的信息應(yīng)用，都是等待上桌的美餐，VoIP也不例外，我們的企業(yè)不能再存有任何僥幸的心理，否則下一個(gè)被裝入盤中的，可能就是你。

　　顯然，企業(yè)要一步做到所有這些是相當(dāng)困難的，而且在目前的情況下也并不必要。在對(duì)待VoIP的安全問(wèn)題上，我們不能像盲人摸象一樣，每碰到一處就盲目放大，而是要根據(jù)實(shí)際的應(yīng)用，結(jié)合當(dāng)前主要的威脅所在，尋找適宜的防護(hù)方案。王衛(wèi)認(rèn)為目前VoIP的主要威脅可能來(lái)自于DoS，應(yīng)該盡量降低網(wǎng)絡(luò)暴露，加強(qiáng)網(wǎng)關(guān)的防護(hù)能力。

　　在網(wǎng)絡(luò)的安全保護(hù)方面，人們首先最容易想到的產(chǎn)品就是防火墻。不過(guò)用傳統(tǒng)的防火墻來(lái)解決VoIP的安全問(wèn)題卻有著很多的困難，首先協(xié)同工作就是一個(gè)問(wèn)題。

　　由于語(yǔ)音通信中同時(shí)包含了數(shù)據(jù)流和信號(hào)流，語(yǔ)音呼叫信息組成了數(shù)據(jù)流，而信號(hào)流則進(jìn)行呼叫建立和控制，依據(jù)的信號(hào)協(xié)議通常是H.323、會(huì)話初始協(xié)議(SIP)或媒體網(wǎng)關(guān)控制協(xié)議(MGCP)。對(duì)于信號(hào)信息的通過(guò)，我們一般可預(yù)留少量端口用于呼叫接入。而對(duì)于呼叫本身，由于是基于實(shí)時(shí)協(xié)議(RTP)和采用動(dòng)態(tài)分配UDP端口方式，而不是通常情況下防火墻針對(duì)特定用戶或應(yīng)用采用的靜態(tài)分配方式，因而讓VoIP呼叫接入通過(guò)，意味著為所有通信打開(kāi)了通道，當(dāng)然其中也包括黑客。如此一來(lái)，防火墻也就失去了存在的意義。