當越來越多VoIP安全的話題在媒體上露面時,現實的應用中,卻很少遇到實際的災難事件。於是,一些人開始困惑,VoIP安全威脅到底是椅子下面的定時炸彈,隨時可能引爆;還是傳說中的尼斯湖怪獸,只存在於人們的想象裡……誰的奶酪?“對於VoIP安全問題的擔憂,也許最大的原因並不是來源於技術本身,而是這個市場。”賽門鐵克中國區首席安全顧問田成一語中的。的確,如果單從技術角度講,VoIP就是將語音通過數據包的方式來傳輸,它並不會比現有的數據網絡“更不安全”。然而這一市場巨大的含金量,卻注定讓它像藏在身上的巨款一樣,無論怎麼包裹,總會讓人感到忐忑不安。根據市場調研公司In-Stat的預計,從2005年至2009年,亞洲地區VoIP市場每年將增長10億美元,2009年該市場規模將從目前的50多億美元飛躍到100億美元,同期用戶數量將增長一倍以上。到那時,VoIP將占到全球電話通信量的近一半。而且據行業分析家預計,企業的應用將更為廣泛,估計全球2000強公司到2009年,有三分之二將采用VoIP作為主要的語音通信方式。 作為通信業歷史上最具革新性的技術,VoIP是一塊令所有人垂涎欲滴的奶酪,當然,對於黑客而言也不例外。現在所有的安全企業在談到新的安全威脅時,都會強調一句話:那就是,黑客攻擊越來越受到經濟利益的驅動。對他們來說,擺在眼前的VoIP無疑就是一座金山,不要說涉及商業機密的語音仿冒與竊取,單單是話費盜取和欺詐(比如入侵語音網關,花別人的錢打國際長途電話),以及發送語音垃圾郵件,就會產生驚人的收益。田成表示,“盡管從目前來看,賽門鐵克全球監測網發現針對VoIP的攻擊報告很少,但隨著VoIP作為新的通信技術得到廣泛認可和部署,攻擊者將它作為集中攻擊目標只是時間問題。”雖然有些人認為,由於VoIP這樣的服務大多是由電信運營商來操控的,安全方面的問題可以依靠管制政策來控制,但是,VoIP的應用遠遠不只於語音,而且由於IP網絡跨越國界,很難在全球范圍內實現一致的管制,就可行性而言,VoIP的安全性問題,還是應該主要通過技術手段來解決。那麼從技術層面來看,VoIP安全的症結究竟在那裡呢?軟肋有多軟如果用戶就VoIP的安全問題去咨詢,那麼在IP通信商和專業安全廠商那裡會得到截然不同的答案。前者認為VoIP系統至少同傳統的語音系統一樣安全,而後者則認為其安全問題比電子郵件、Web應用等更加嚴重。當然,這是站在不同利益立場上的發言,不過,單從技術上來看,在VoIP環境中,話音和數據一樣是一個個的“包”,它沒有理由可以躲避開各種病毒和黑客攻擊的困擾。從理論上來講,眼下黑客對數據網絡的所有攻擊手段,都有可能被應用到IP語音之上。比如話費盜取和欺詐,雖然IP話機不能通過並線的方式撥打電話,但通過竊取使用者IP電話的登錄密碼同樣能夠獲得話機的權限。這就如同在一根普通模擬話機線上又並接了一個電話一樣。再比如語音網頁仿冒,語音欺詐等。田成也介紹說,未來垃圾郵件的泛濫,同樣可能出現在VoIP系統之上。黑客會使用和尋找電子郵件地址一樣的目錄獲取攻擊,尋找出大量的合法IP電話地址,然後將一段wav文件放到某台計算機上,就可以發送大量垃圾語音郵件,並且通過假造的IP電話地址,讓人無從追查。總之,如果“幸運”的話,包括病毒、蠕蟲、木馬、DoS攻擊、垃圾郵件、網絡釣魚等這些“老朋友”,你都可能在VoIP環境中再次碰到。那麼,為什麼到目前為止,我們在已經應用的VoIP系統中,並沒有看到大規模的攻擊事件,難道這些威脅只是存在於技術的理論層面嗎?對此,Juniper高級系統工程師王衛認為,之所以目前VoIP還沒有任何關於大規模網絡攻擊或安全系統遭破壞的報道,究其原因,很大程度上是因為VoIP本身尚未成熟,比如大量的非標准化和互操作性問題,這些問題一方面給VoIP的部署應用帶來了巨大的麻煩,但另一方面,也給黑客的攻擊造成了很大的障礙。我們知道,開放的、標准化的體系最容易受到病毒和惡意攻擊的影響,而眼下,VoIP廠商和服務提供商們在為客戶安裝系統時,通常提供不同種類的防火牆、私有協議、預防侵入系統和其他一些保護裝置。此外,,很多企業VoIP解決方案通常是封閉的系統,分組語音只在LAN上傳送,而大多數外部傳輸流經過網關在PSTN上傳送。不過,隨著VoIP的不斷成熟演進,走向開放、標准化、純IP的體系是必然趨勢,到那時,VoIP將因為很多語音和數據的融合應用,向整個互聯網開放,而安全問題也必將隨之大量爆發。威脅防護與盲人摸象現實的情況是,由於沒有看到嚴重的VoIP安全事件,很多企業總是在已經部署VoIP之後,在逐漸依賴這一系統時,才開始逐步意識到安全的重要性。企業擔心的安全問題主要包括通過電話記錄或者語音郵件洩漏公司敏感的信息、竊聽、惡意軟件導致的系統崩潰和其他惡意攻擊、以及機構內部和外部人員不正當地使用語音服務等。要完全實現這些安全保障,企業需要在不同的網絡層次實施各種安全措施,如認證、語音傳輸的加密、分離語音和數據網絡、對語音服務器實施實時監控,應用一些專門防止黑客入侵和計算機病毒的產品如防火牆等。顯然,企業要一步做到所有這些是相當困難的,而且在目前的情況下也並不必要。在對待VoIP的安全問題上,我們不能像盲人摸象一樣,每碰到一處就盲目放大,而是要根據實際的應用,結合當前主要的威脅所在,尋找適宜的防護方案。王衛認為目前VoIP的主要威脅可能來自於DoS,應該盡量降低網絡暴露,加強網關的防護能力。在網絡的安全保護方面,人們首先最容易想到的產品就是防火牆。不過用傳統的防火牆來解決VoIP的安全問題卻有著很多的困難,首先協同工作就是一個問題。由於語音通信中同時包含了數據流和信號流,語音呼叫信息組成了數據流,而信號流則進行呼叫建立和控制,依據的信號協議通常是H.323、會話初始協議(SIP)或媒體網關控制協議(MGCP)。對於信號信息的通過,我們一般可預留少量端口用於呼叫接入。而對於呼叫本身,由於是基於實時協議(RTP)和采用動態分配UDP端口方式,而不是通常情況下防火牆針對特定用戶或應用采用的靜態分配方式,因而讓VoIP呼叫接入通過,意味著為所有通信打開了通道,當然其中也包括黑客。如此一來,防火牆也就失去了存在的意義。
防火牆的角色
那麼,在VoIP的安全上,防火牆究竟能夠扮演什麼樣的角色呢?
“實際上,現在的防火牆安全設備已經超過了傳統的狀態檢查防火牆,采用深度數據包檢測技術大大增強了安全能力和應用范圍。” SonicWALL中國區技術經理蔡永生這樣解釋道。“在VoIP網絡中,防火牆的傳統角色正在發生本質上的變革。因為VoIP要求因特網上基於IP的資源是可預測的、靜態可用的,但防火牆的網絡地址轉換功能給VoIP網絡帶來了障礙。通過“pin-holing”和其他技術,安全供應商已經找到了適應VoIP基礎設施、保證互操作的方法。” “SonicWALL的防火牆可以對通過的每個VoIP信令和媒體數據包進行狀態檢測,保證所有業務流的合法性。對於攻擊者來說,攻擊所使用的主要方法就是利用特殊編制的數據包來窺探和利用軟硬件實現的缺陷,從而導致目標設備出現緩沖區溢出等問題。SonicWALL能夠在非法數據包到達目標之前檢測到它們並將其丟棄。”對此,王衛也向記者作出了解釋,他談到:“與HTTP不同,SIP協議把IP地址放在了消息負載中,而不是消息的頭文件中。因此,要讓防火牆傳遞SIP消息,防火牆必須要通過深度檢測了解這種應用程序,以便翻譯出那個信息。Juniper開發的語音感知應用層網關(ALGs)技術,它使網絡能夠動態開放和關閉防火牆端口,允許出入呼叫經過防火牆。從而避免了開放大量防火牆端口,使網絡暴露在端口掃描和黑客的危險之中。”據王衛介紹,現在,通過擴展的協議支持,NetScreen深層檢測防火牆可防止650多種應用級攻擊和異常情況。客戶可使用預定義的規則,也可創建定制的攻擊組,並基於協議或嚴重程度安排應答順序,從而為高效的網絡保護提供細粒度的控制。 此外,深層檢測防火牆技術還提供應用感知功能,使客戶不僅能夠抵御攻擊,還能控制應用的使用。例如,客戶可允許IM聊天,同時拒絕文件傳輸。隨著企業范圍的VoIP部署涉及范圍越來越寬,網絡威脅越來越復雜,對VoIP防護的挑戰也在加大。無論如何,要時刻記住,對於黑客來說,所有可能大規模普及的信息應用,都是等待上桌的美餐,VoIP也不例外,我們的企業不能再存有任何僥幸的心理,否則下一個被裝入盤中的,可能就是你。(責任編輯:zhaohb)