VoIP安全問題探討 黑客惦記是最大隱患

當(dāng)越來越多VoIP安全的話題在媒體上露面時，現(xiàn)實(shí)的應(yīng)用中，卻很少遇到實(shí)際的災(zāi)難事件。于是，一些人開始困惑，VoIP安全威脅到底是椅子下面的定時炸彈，隨時可能引爆;還是傳說中的尼斯湖怪獸，只存在于人們的想象里…… 　　當(dāng)越來越多VoIP安全的話題在媒體上露面時，現(xiàn)實(shí)的應(yīng)用中，卻很少遇到實(shí)際的災(zāi)難事件。于是，一些人開始困惑，VoIP安全威脅到底是椅子下面的定時炸彈，隨時可能引爆;還是傳說中的尼斯湖怪獸，只存在于人們的想象里……

　　誰的奶酪?

　　“對于VoIP安全問題的擔(dān)憂，也許最大的原因并不是來源于技術(shù)本身，而是這個市場?！辟愰T鐵克中國區(qū)首席安全顧問田成一語中的。

　　的確，如果單從技術(shù)角度講，VoIP就是將語音通過數(shù)據(jù)包的方式來傳輸，它并不會比現(xiàn)有的數(shù)據(jù)網(wǎng)絡(luò)“更不安全”。然而這一市場巨大的含金量，卻注定讓它像藏在身上的巨款一樣，無論怎么包裹，總會讓人感到忐忑不安。

　　根據(jù)市場調(diào)研公司In-Stat的預(yù)計(jì)，從2005年至2009年，亞洲地區(qū)VoIP市場每年將增長10億美元，2009年該市場規(guī)模將從目前的50多億美元飛躍到100億美元，同期用戶數(shù)量將增長一倍以上。到那時，VoIP將占到全球電話通信量的近一半。而且據(jù)行業(yè)分析家預(yù)計(jì)，企業(yè)的應(yīng)用將更為廣泛，估計(jì)全球2000強(qiáng)公司到2009年，有三分之二將采用VoIP作為主要的語音通信方式。

　　作為通信業(yè)歷史上最具革新性的技術(shù)，VoIP是一塊令所有人垂涎欲滴的奶酪，當(dāng)然，對于黑客而言也不例外?，F(xiàn)在所有的安全企業(yè)在談到新的安全威脅時，都會強(qiáng)調(diào)一句話：那就是，黑客攻擊越來越受到經(jīng)濟(jì)利益的驅(qū)動。對他們來說，擺在眼前的VoIP無疑就是一座金山，不要說涉及商業(yè)機(jī)密的語音仿冒與竊取，單單是話費(fèi)盜取和欺詐(比如入侵語音網(wǎng)關(guān)，花別人的錢打國際長途電話)，以及發(fā)送語音垃圾郵件，就會產(chǎn)生驚人的收益。

　　田成表示，“盡管從目前來看，賽門鐵克全球監(jiān)測網(wǎng)發(fā)現(xiàn)針對VoIP的攻擊報告很少，但隨著VoIP作為新的通信技術(shù)得到廣泛認(rèn)可和部署，攻擊者將它作為集中攻擊目標(biāo)只是時間問題。”

　　雖然有些人認(rèn)為，由于VoIP這樣的服務(wù)大多是由電信運(yùn)營商來操控的，安全方面的問題可以依靠管制政策來控制，但是，VoIP的應(yīng)用遠(yuǎn)遠(yuǎn)不只于語音，而且由于IP網(wǎng)絡(luò)跨越國界，很難在全球范圍內(nèi)實(shí)現(xiàn)一致的管制，就可行性而言，VoIP的安全性問題，還是應(yīng)該主要通過技術(shù)手段來解決。那么從技術(shù)層面來看，VoIP安全的癥結(jié)究竟在那里呢?

　　軟肋有多軟

　　如果用戶就VoIP的安全問題去咨詢，那么在IP通信商和專業(yè)安全廠商那里會得到截然不同的答案。前者認(rèn)為VoIP系統(tǒng)至少同傳統(tǒng)的語音系統(tǒng)一樣安全，而后者則認(rèn)為其安全問題比電子郵件、Web應(yīng)用等更加嚴(yán)重。

　　當(dāng)然，這是站在不同利益立場上的發(fā)言，不過，單從技術(shù)上來看，在VoIP環(huán)境中，話音和數(shù)據(jù)一樣是一個個的“包”，它沒有理由可以躲避開各種病毒和黑客攻擊的困擾。從理論上來講，眼下黑客對數(shù)據(jù)網(wǎng)絡(luò)的所有攻擊手段，都有可能被應(yīng)用到IP語音之上。

　　比如話費(fèi)盜取和欺詐，雖然IP話機(jī)不能通過并線的方式撥打電話，但通過竊取使用者IP電話的登錄密碼同樣能夠獲得話機(jī)的權(quán)限。這就如同在一根普通模擬話機(jī)線上又并接了一個電話一樣。再比如語音網(wǎng)頁仿冒，語音欺詐等。

　　田成也介紹說，未來垃圾郵件的泛濫，同樣可能出現(xiàn)在VoIP系統(tǒng)之上。黑客會使用和尋找電子郵件地址一樣的目錄獲取攻擊，尋找出大量的合法IP電話地址，然后將一段wav文件放到某臺計(jì)算機(jī)上，就可以發(fā)送大量垃圾語音郵件，并且通過假造的IP電話地址，讓人無從追查。

　　總之，如果“幸運(yùn)”的話，包括病毒、蠕蟲、木馬、DoS攻擊、垃圾郵件、網(wǎng)絡(luò)釣魚等這些“老朋友”，你都可能在VoIP環(huán)境中再次碰到。

　　那么，為什么到目前為止，我們在已經(jīng)應(yīng)用的VoIP系統(tǒng)中，并沒有看到大規(guī)模的攻擊事件，難道這些威脅只是存在于技術(shù)的理論層面嗎?

　　對此，Juniper高級系統(tǒng)工程師王衛(wèi)認(rèn)為，之所以目前VoIP還沒有任何關(guān)于大規(guī)模網(wǎng)絡(luò)攻擊或安全系統(tǒng)遭破壞的報道，究其原因，很大程度上是因?yàn)閂oIP本身尚未成熟，比如大量的非標(biāo)準(zhǔn)化和互操作性問題，這些問題一方面給VoIP的部署應(yīng)用帶來了巨大的麻煩，但另一方面，也給黑客的攻擊造成了很大的障礙。

　　我們知道，開放的、標(biāo)準(zhǔn)化的體系最容易受到病毒和惡意攻擊的影響，而眼下，VoIP廠商和服務(wù)提供商們在為客戶安裝系統(tǒng)時，通常提供不同種類的防火墻、私有協(xié)議、預(yù)防侵入系統(tǒng)和其他一些保護(hù)裝置。此外，很多企業(yè)VoIP解決方案通常是封閉的系統(tǒng)，分組語音只在LAN上傳送，而大多數(shù)外部傳輸流經(jīng)過網(wǎng)關(guān)在PSTN上傳送。不過，隨著VoIP的不斷成熟演進(jìn)，走向開放、標(biāo)準(zhǔn)化、純IP的體系是必然趨勢，到那時，VoIP將因?yàn)楹芏嗾Z音和數(shù)據(jù)的融合應(yīng)用，向整個互聯(lián)網(wǎng)開放，而安全問題也必將隨之大量爆發(fā)。

　　威脅防護(hù)與盲人摸象

　　現(xiàn)實(shí)的情況是，由于沒有看到嚴(yán)重的VoIP安全事件，很多企業(yè)總是在已經(jīng)部署VoIP之后，在逐漸依賴這一系統(tǒng)時，才開始逐步意識到安全的重要性。企業(yè)擔(dān)心的安全問題主要包括通過電話記錄或者語音郵件泄漏公司敏感的信息、竊聽、惡意軟件導(dǎo)致的系統(tǒng)崩潰和其他惡意攻擊、以及機(jī)構(gòu)內(nèi)部和外部人員不正當(dāng)?shù)厥褂谜Z音服務(wù)等。

　　要完全實(shí)現(xiàn)這些安全保障，企業(yè)需要在不同的網(wǎng)絡(luò)層次實(shí)施各種安全措施，如認(rèn)證、語音傳輸?shù)募用?、分離語音和數(shù)據(jù)網(wǎng)絡(luò)、對語音服務(wù)器實(shí)施實(shí)時監(jiān)控，應(yīng)用一些專門防止黑客入侵和計(jì)算機(jī)病毒的產(chǎn)品如防火墻等。

　　防火墻的角色

　　那么，在VoIP的安全上，防火墻究竟能夠扮演什么樣的角色呢?

　　“實(shí)際上，現(xiàn)在的防火墻安全設(shè)備已經(jīng)超過了傳統(tǒng)的狀態(tài)檢查防火墻，采用深度數(shù)據(jù)包檢測技術(shù)大大增強(qiáng)了安全能力和應(yīng)用范圍?！?SonicWALL中國區(qū)技術(shù)經(jīng)理蔡永生這樣解釋道?！霸赩oIP網(wǎng)絡(luò)中，防火墻的傳統(tǒng)角色正在發(fā)生本質(zhì)上的變革。因?yàn)閂oIP要求因特網(wǎng)上基于IP的資源是可預(yù)測的、靜態(tài)可用的，但防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換功能給VoIP網(wǎng)絡(luò)帶來了障礙。通過“pin-holing”和其他技術(shù)，安全供應(yīng)商已經(jīng)找到了適應(yīng)VoIP基礎(chǔ)設(shè)施、保證互操作的方法?！?/p>

　　“SonicWALL的防火墻可以對通過的每個VoIP信令和媒體數(shù)據(jù)包進(jìn)行狀態(tài)檢測，保證所有業(yè)務(wù)流的合法性。對于攻擊者來說，攻擊所使用的主要方法就是利用特殊編制的數(shù)據(jù)包來窺探和利用軟硬件實(shí)現(xiàn)的缺陷，從而導(dǎo)致目標(biāo)設(shè)備出現(xiàn)緩沖區(qū)溢出等問題。SonicWALL能夠在非法數(shù)據(jù)包到達(dá)目標(biāo)之前檢測到它們并將其丟棄?！?/p>

　　對此，王衛(wèi)也向記者作出了解釋，他談到：“與HTTP不同，SIP協(xié)議把IP地址放在了消息負(fù)載中，而不是消息的頭文件中。因此，要讓防火墻傳遞SIP消息，防火墻必須要通過深度檢測了解這種應(yīng)用程序，以便翻譯出那個信息。Juniper開發(fā)的語音感知應(yīng)用層網(wǎng)關(guān)(ALGs)技術(shù)，它使網(wǎng)絡(luò)能夠動態(tài)開放和關(guān)閉防火墻端口，允許出入呼叫經(jīng)過防火墻。從而避免了開放大量防火墻端口，使網(wǎng)絡(luò)暴露在端口掃描和黑客的危險之中。”

　　據(jù)王衛(wèi)介紹，現(xiàn)在，通過擴(kuò)展的協(xié)議支持，NetScreen深層檢測防火墻可防止650多種應(yīng)用級攻擊和異常情況。客戶可使用預(yù)定義的規(guī)則，也可創(chuàng)建定制的攻擊組，并基于協(xié)議或嚴(yán)重程度安排應(yīng)答順序，從而為高效的網(wǎng)絡(luò)保護(hù)提供細(xì)粒度的控制。

　　此外，深層檢測防火墻技術(shù)還提供應(yīng)用感知功能，使客戶不僅能夠抵御攻擊，還能控制應(yīng)用的使用。例如，客戶可允許IM聊天，同時拒絕文件傳輸。

　　隨著企業(yè)范圍的VoIP部署涉及范圍越來越寬，網(wǎng)絡(luò)威脅越來越復(fù)雜，對VoIP防護(hù)的挑戰(zhàn)也在加大。無論如何，要時刻記住，對于黑客來說，所有可能大規(guī)模普及的信息應(yīng)用，都是等待上桌的美餐，VoIP也不例外，我們的企業(yè)不能再存有任何僥幸的心理，否則下一個被裝入盤中的，可能就是你。

　　顯然，企業(yè)要一步做到所有這些是相當(dāng)困難的，而且在目前的情況下也并不必要。在對待VoIP的安全問題上，我們不能像盲人摸象一樣，每碰到一處就盲目放大，而是要根據(jù)實(shí)際的應(yīng)用，結(jié)合當(dāng)前主要的威脅所在，尋找適宜的防護(hù)方案。王衛(wèi)認(rèn)為目前VoIP的主要威脅可能來自于DoS，應(yīng)該盡量降低網(wǎng)絡(luò)暴露，加強(qiáng)網(wǎng)關(guān)的防護(hù)能力。

　　在網(wǎng)絡(luò)的安全保護(hù)方面，人們首先最容易想到的產(chǎn)品就是防火墻。不過用傳統(tǒng)的防火墻來解決VoIP的安全問題卻有著很多的困難，首先協(xié)同工作就是一個問題。

　　由于語音通信中同時包含了數(shù)據(jù)流和信號流，語音呼叫信息組成了數(shù)據(jù)流，而信號流則進(jìn)行呼叫建立和控制，依據(jù)的信號協(xié)議通常是H.323、會話初始協(xié)議(SIP)或媒體網(wǎng)關(guān)控制協(xié)議(MGCP)。對于信號信息的通過，我們一般可預(yù)留少量端口用于呼叫接入。而對于呼叫本身，由于是基于實(shí)時協(xié)議(RTP)和采用動態(tài)分配UDP端口方式，而不是通常情況下防火墻針對特定用戶或應(yīng)用采用的靜態(tài)分配方式，因而讓VoIP呼叫接入通過，意味著為所有通信打開了通道，當(dāng)然其中也包括黑客。如此一來，防火墻也就失去了存在的意義。