ＶｏＩＰ現(xiàn)狀及安全性研究

高大鵬　喬立龍　王　偉

摘要 VoIP技術(shù)是把標(biāo)準(zhǔn)的電話信號(hào)變成壓縮的數(shù)據(jù)包,接著通過(guò)Ethernet 局域網(wǎng)進(jìn)行傳輸或通過(guò)ISP 的數(shù)據(jù)網(wǎng)絡(luò)在全球范圍內(nèi)傳輸,而不是通過(guò)傳統(tǒng)的電話線傳輸。導(dǎo)致了VoIP網(wǎng)絡(luò)特有的安全問(wèn)題。另外,VoIP網(wǎng)絡(luò)的實(shí)時(shí)性要求高,給VoIP網(wǎng)絡(luò)的性能和服務(wù)質(zhì)量提出了挑戰(zhàn)。本文對(duì)VoIP網(wǎng)絡(luò)存在的安全威脅及各種安全措施進(jìn)行分析,并對(duì)VoIP系統(tǒng)的部署和VoIP管理政策的制定提出建議。

關(guān)鍵詞 VoIP;現(xiàn)狀;安全威脅;安全措施

中圖分類號(hào) TP393文獻(xiàn)標(biāo)識(shí)碼 A文章編號(hào)1674-6708(2009)05-0056-02

0引言

VoIP 是Voice over Internet Protocol 的簡(jiǎn)稱,是電信技術(shù)和計(jì)算機(jī)技術(shù)結(jié)合的最新進(jìn)展。VoIP技術(shù)現(xiàn)正在全球火熱展開(kāi),但目前的VoIP應(yīng)用還遠(yuǎn)遠(yuǎn)談不上成熟,而且VoIP網(wǎng)絡(luò)運(yùn)營(yíng)與人們最初的構(gòu)想也有相當(dāng)大的差異。本文通過(guò)對(duì)VoIP的當(dāng)前現(xiàn)狀分析,得出一些結(jié)論并做了安全性研究。

1 VoIP的現(xiàn)狀和缺陷

VoIP在中國(guó)只有市場(chǎng)發(fā)展史,幾乎沒(méi)有技術(shù)發(fā)展史。VoIP在寬帶時(shí)代來(lái)臨之后才開(kāi)始逐步獲得發(fā)展,大量的成果開(kāi)始逐步涌現(xiàn)——Skype網(wǎng)絡(luò)電話軟件風(fēng)靡全球。即時(shí)通訊領(lǐng)域,騰訊QQ 、微軟MSN、蘋(píng)果iChat AV和Google Talk都先后實(shí)現(xiàn)相當(dāng)出色的語(yǔ)音通話質(zhì)量。而在企業(yè)環(huán)境,VoIP電話網(wǎng)成為許多大企業(yè)的首選,各大網(wǎng)絡(luò)設(shè)備廠商也都將VoIP視作未來(lái)發(fā)展的一個(gè)重要增長(zhǎng)點(diǎn)。基于現(xiàn)實(shí)的需求,電信運(yùn)營(yíng)商逐步開(kāi)始提供IP電話業(yè)務(wù)并受到市場(chǎng)的廣泛歡迎, IP電話普及全國(guó)。

盡管發(fā)展了多年,但VoIP離成熟還有一段距離。業(yè)界公認(rèn)的VoIP成熟標(biāo)準(zhǔn)有幾條,但真正處于核心部分是采用統(tǒng)一、開(kāi)放的通訊協(xié)議,全球用戶可無(wú)障礙互聯(lián)互通,并構(gòu)建一個(gè)與業(yè)務(wù)無(wú)關(guān)的語(yǔ)音/數(shù)據(jù)綜合網(wǎng)絡(luò),這些也是我們接下來(lái)要探討的內(nèi)容。

2 VoIP網(wǎng)絡(luò)信息安全分析

VoIP 系統(tǒng)是集語(yǔ)音、視頻及其它應(yīng)用于一體的復(fù)雜的多媒體系統(tǒng),與普通的互聯(lián)網(wǎng)應(yīng)用一樣,VoIP 服務(wù)器容易受到針對(duì)服務(wù)器的攻擊;由于VoIP 終端的智能化,操作系統(tǒng)固有的安全漏洞也將對(duì)VoIP 網(wǎng)絡(luò)造成威脅等。下面我們對(duì)VoIP 網(wǎng)絡(luò)面臨的各種安全威脅加以分析。

1)協(xié)議攻擊。VoIP 網(wǎng)絡(luò)中涉及到的協(xié)議包括網(wǎng)絡(luò)基礎(chǔ)協(xié)議(DNS、DHCP)、信令協(xié)議(H.323、SIP)、流媒體協(xié)議(RTP)等,這些協(xié)議設(shè)計(jì)上的安全弱點(diǎn)將直接影響VoIP 的安全。另外,雖然VoIP 網(wǎng)絡(luò)中的主要協(xié)議都在提高安全性方面進(jìn)行著改進(jìn),但在部署的過(guò)程中,要防止由于協(xié)議擴(kuò)展而帶來(lái)的新的安全問(wèn)題。如部署了新安全協(xié)議的設(shè)備和未部署安全協(xié)議的設(shè)備需要在同一個(gè)會(huì)話中使用,多個(gè)協(xié)議的互操作可能給每個(gè)協(xié)議的安全帶來(lái)限制等問(wèn)題。

2)操作系統(tǒng)攻擊。與傳統(tǒng)電話不同,VoIP 終端的智能化程度較高,對(duì)操作系統(tǒng)攻擊十分敏感,操作系統(tǒng)的安全漏洞可能造成對(duì)VoIP 的威脅。

3)竊聽(tīng)和嗅探。網(wǎng)絡(luò)上很多為VoIP 服務(wù)提供監(jiān)控和故障排除的軟件很容易被用作竊聽(tīng)的工具。目前的VoIP 系統(tǒng)對(duì)竊聽(tīng)和嗅探提供的保護(hù)較少,特別是從VoIP 網(wǎng)絡(luò)內(nèi)部的入侵。

4)未授權(quán)和網(wǎng)絡(luò)欺騙。VoIP 的電話號(hào)碼和物理設(shè)備之間很難建立聯(lián)系,所以網(wǎng)絡(luò)欺騙在VoIP 網(wǎng)絡(luò)中是比較普遍的攻擊方式,可分多層來(lái)進(jìn)行,如網(wǎng)絡(luò)層(仿造IP 地址)、應(yīng)用層(仿造URI)等。

5)服務(wù)盜用。通過(guò)VoIP 系統(tǒng)中的一些漏洞,攻擊者繞過(guò)計(jì)費(fèi)系統(tǒng),惡意濫用VoIP 網(wǎng)絡(luò)業(yè)務(wù),甚至盜用合法用戶的資源。服務(wù)盜用將會(huì)影響普通用戶使用VoIP 系統(tǒng)的性能,增加運(yùn)營(yíng)商的服務(wù)支出。

6) Dos/DDos。Dos/DDos 是VoIP 網(wǎng)絡(luò)最主要的攻擊方式,與PSTN 相比,在VoIP 網(wǎng)絡(luò)中發(fā)起Dos/DDos 攻擊更加容易。

目前,VoIP遭受攻擊的例子還少。但是,Skype和VoicePulse公司對(duì)VoIP電話的加密方式曾經(jīng)引起過(guò)人們的擔(dān)憂。目前,大部分的VoIP電話系統(tǒng)都安裝于企業(yè)當(dāng)中,VoIP電話的加密技術(shù)也都用的是通用技術(shù)。

3 針對(duì)當(dāng)前VoIP存在的問(wèn)題,我有以下建議:

1)企業(yè)VoIP 部署安全建議企業(yè)部署VoIP 時(shí)需考慮的安全措施包括:及時(shí)安裝操作系統(tǒng)補(bǔ)丁及更新VoIP 軟件;部署入侵檢測(cè)系統(tǒng)(IDS),保證應(yīng)用層和網(wǎng)絡(luò)層的安全;安裝支持本網(wǎng)絡(luò)使用的VoIP 通信協(xié)議的防火墻產(chǎn)品;在信任區(qū)域與非信任區(qū)域上布置應(yīng)用層網(wǎng)關(guān)(ALG),并與防火墻結(jié)合使用;使用可靠的認(rèn)證技術(shù)保證認(rèn)證和授權(quán)的安全;盡量減少軟電話的使用,并考慮移動(dòng)電話(使用WLAN,CDMA 或GSM技術(shù))的安全性;有選擇性的布置VLAN,將語(yǔ)音流量和數(shù)據(jù)流量分開(kāi),如果能夠?qū)⒄Z(yǔ)音和數(shù)據(jù)服務(wù)器在物理上區(qū)分開(kāi)則更好;使用加密傳輸技術(shù)保證媒體流的安全性(IPSec、SRTP 等);有選擇地在信任區(qū)域和/ 或非信任區(qū)域上部署VPN。VoIP 網(wǎng)絡(luò)對(duì)QoS 敏感,當(dāng)部署任何安全策略時(shí),都要檢測(cè)新策略對(duì)網(wǎng)絡(luò)性能和語(yǔ)音質(zhì)量的影響,需評(píng)估的VoIP 語(yǔ)音質(zhì)量參數(shù)包括延遲、抖動(dòng)、丟包率、MOS、R- factor 等。