VoIP的安全實施分析

李　浩

【摘 要】VoIP(Voice over IP)技術因低成本和更靈活的特性,由原來的一種互聯(lián)網上的增值應用發(fā)展成為一種得到廣泛使用的通信技術。但由于VoIP是基于普通的IP網絡,因而也會遭遇到與IP網絡相關的安全挑戰(zhàn)。本文簡要介紹了VoIP技術并指出其在安全性上存在的缺陷,最后重點討論了目前和將來VoIP系統(tǒng)實施至關重要的攻擊手段的相應對策。

【關鍵詞】 VoIP安全;安全分析;安全策略

一、簡述

VoIP(Voice over IP,IP電話)是建立在IP技術上的分組化、數(shù)字化傳輸技術,其基本原理是通過語音壓縮算法對語音數(shù)據進行壓縮編碼處理,打包后經過IP網絡傳輸?shù)浇邮盏?再對這些數(shù)據包進行解碼解壓縮處理,恢復成原來的語音信號。IP電話系統(tǒng)把普通電話的模擬信號轉換成計算機可接入因特網傳送的IP數(shù)據包,同時也將收到的IP數(shù)據包轉換成聲音的模擬電信號。

VoIP的基本結構由網關(GW)和網守(GK)兩部分構成。網關的主要功能是信令處理、H. 323協(xié)議處理、語音編解碼和路由協(xié)議處理等,對外分別提供與PSTN網連接的中繼接口以及與IP網絡連接的接口。網守的主要功能是用戶認證、地址解析、帶寬管理、路由管理、安全管理和區(qū)域管理。

VoIP的數(shù)據處理包含以下四個步驟:信令,編碼,傳輸和網關控制。信令技術保證電話呼叫的順利實現(xiàn)和話音質量,目前被廣泛接受的VoIP控制信令體系包括ITU-T的H.323系列和IETF的SIP協(xié)議(Session Initiation Protocol,會話初始化協(xié)議)。話音壓縮編碼技術是IP電話技術的一個重要組成部分。目前,主要的編碼技術有ITU-T定義的G.729、G.723(G.723.1)等。實時傳輸技術主要是采用RTP協(xié)議(Real-time Transport Protocol,實時傳輸協(xié)議)。RTP是提供端到端的包括音頻在內的實時數(shù)據傳送的協(xié)議。RTP包括數(shù)據和控制兩部分,后者叫RTCP。RTP包的頭字段中包含有供接收端正確地將包轉換成語音信號的數(shù)據。封裝好的數(shù)據包作為有效載荷通過UDP進行正常數(shù)據傳輸。IP網絡本身必須保證通過電話系統(tǒng)傳輸?shù)膶崟r會話由網關轉換成其它格式,即采用不同的基于IP的多媒體機制或PSTN標準的格式。

二、安全隱患

作為一種新興傳輸協(xié)議(如SIP),它尚不完善,采用類似于FTP、電子郵件或者HTTP服務的形式來發(fā)起用戶之間的連接,由于不是面向安全連接的協(xié)議,所以在將互聯(lián)網作為語音數(shù)據載體的同時,VoIP不僅會遇到與電路交換網絡相同的安全問題,如偷聽和資費欺騙,同時也會遇到來自互聯(lián)網的安全威脅。

1.常見攻擊

(1)拒絕服務攻擊

DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務,即無法呼叫或接收電話。該攻擊可以是阻止所有電話的呼叫或阻止對某一電話號碼的呼叫。

(2)數(shù)據流的監(jiān)聽

一個典型的VoIP呼叫需要信令和數(shù)據流這兩個建立的步驟,用于VoIP在IP網絡上傳輸?shù)葧r話音信息的RTP和RTCP是開放的協(xié)議,由于協(xié)議本身是開放的,任何人可通過網絡監(jiān)聽的方式監(jiān)聽VoIP通信建立過程的信令流,從而惡意用戶可以進行對信令流的篡改并可造成會話劫持、中間人攻擊、電話跟蹤等后果。黑客可以使用偽裝欺騙手段突破SIP和IP地址的限制而竊取到整個談話過程,用戶承受著敏感商業(yè)信息和個人隱私信息泄密的風險。

(3)身份和服務竊取

通常在IP話機首次登陸到系統(tǒng)時,系統(tǒng)會提示輸入個人的分機號碼和密碼。利用SIP協(xié)議的安全漏洞,黑客可以攻破IP語音網關,不經過認證隨意撥打IP電話,造成運營者的經濟損失;或者攻擊語音服務器竊取用戶身份和密碼信息,從而盜用合法用戶的身份撥打IP電話,造成用戶的話費損失。

(4)資費欺騙(Toll Fraud)

資費欺騙是指攻擊者盜用(模仿)某個電話帳戶,以免費撥打長途電話,而其產生的大量話費則轉嫁給該帳戶的真正所有者。

(5)呼叫轉移(Redirection of Call)

攻擊者將受害者的呼叫轉移至其指定的號碼,而將打給受害者的電話重定向到攻擊者的電話來模仿受害者。

(6)垃圾信息(SPAM)

攻擊者建立一組具有VoIP電話地址列表的服務器,通過服務器向這些地址傳送大量消息給受害者或者塞滿受害者的語音郵箱。

2.基于VoIP的協(xié)議攻擊

SIP是一個應用層協(xié)議,它可以實現(xiàn)IP網上的信令控制,包括建立、管理和終止由多方參與的語音會話進程。SIP協(xié)議在設計之初充分考慮了協(xié)議的易用性和靈活性,但沒有將安全性作為重點,使其在安全性方面存在一定缺陷。此外,由于SIP消息通過Internet傳輸,同樣面臨著IP網絡常見的安全威脅。

(1)SIP注冊攻擊

在SIP和其它VoIP協(xié)議中,用戶代理UA及IP電話必須向SIP代理服務器注冊,這樣可以通過代理服務器將來電傳給電話。當攻擊者模仿一個真實的UA向SIP代理服務器注冊,并使用其地址代替真正的注冊時時即產生注冊攻擊。該攻擊會使所有傳向UA的來電被轉移到惡意UA(rogue UA)。注冊攻擊會造成被攻擊UA的來電丟失,通常發(fā)生在個人用戶,用戶組或大通信量的資源服務,如媒體網關或語音郵件系統(tǒng)。

(2)SIP消息篡改

SIP消息沒有內置的完整性機制,通過中間人攻擊(IP欺騙,MAC欺騙,SIP注冊),攻擊者可以截獲并修改SIP消息,并改變部分或全部的消息。

(3)SIP Cancel/Bye攻擊

攻擊者生成一個帶有Cancel或Bye命令的消息并發(fā)送到電話終端,結束正在進行的會話。如果攻擊者持續(xù)發(fā)送這樣的消息包給某個電話終端,則該終端將不能處理或接收呼叫。

(4)SIP畸形命令

SIP使用的是一種類似HTML的命令格式,這使得SIP協(xié)議很靈活并方便擴展實現(xiàn)VoIP的特性,但這也使SIP解析器很難使用各種可能的輸入進行測試。攻擊者會利用其發(fā)現(xiàn)的這一弱點,使用畸形命令并發(fā)送給脆弱節(jié)點,使該節(jié)點降級或癱瘓,進而使部分或整個VoIP系統(tǒng)無法使用。由互聯(lián)網瀏覽器所遇到的缺陷可以看到,對各種可能發(fā)送的信息是很難進行測試的。

(5)SIP重定向

SIP采用一個服務器應用程序接收來自電話或代理服務器的請求,并返回一個重定向響應指明該請求應到何處重試。攻擊者通過攻擊重定向服務器,并命令將受害者的呼叫轉移至指定的號碼,攻擊者就可以得到其想要的受害者呼叫。攻擊者也可以重定向所有用戶的電話號碼到一個不存在的設備上,使整個網絡癱瘓。

(6)RTP載荷攻擊

RTP(Real-Time Transport Protocol,實時傳輸協(xié)議)承載著呼叫雙方的編碼語音信息。它是UDP協(xié)議加上順序信息的簡單擴展。使用中間人攻擊,攻擊者可以檢查或修改兩個節(jié)點間的RTP媒體流。此時,檢查即演變?yōu)楦`聽,修改方式可以是插入噪音或攻擊者自己的消息。

(7)RTP篡改

攻擊者通過修改RTP包頭字段中的順序號和時間戳,使數(shù)據包的順序或被打亂甚至不可用。在這種攻擊下,通信雙方的會話變得莫名其妙,或協(xié)議棧被破壞(破壞了節(jié)點接收的數(shù)據包),最終導致節(jié)點的掉線直至軟件重啟動。

三、安全機制

針對上述攻擊行為,下面提出的一些安全機制將會有效地進行防御。

1.身份認證

身份認證用于確定終端用戶的身份,是H.323安全體制中最為重要的環(huán)節(jié),如果沒有它,任何一個用戶都可以冒充合法用戶進入網絡。首先是確定終端用戶的身份,防止用戶假冒,它是整個安全體系的基礎,因為只有當來自一個節(jié)點的H.323呼叫首先被確認身份之后,才能夠提供進一步的安全保證。其次是用于證實機制,防止某些用戶否認他們曾參與某一個H.323呼叫。并且H.235的其他安全措施只有當來自一個節(jié)點的H.323呼叫首先被確認身份之后,才能夠提供進一步的安全保證。

2.隔離VoIP和數(shù)據傳輸

隔離傳輸可以防止大量將PC和工作站作為侵入VoIP網絡的入口的攻擊。出于成本上的考慮,這種方法是通過VLAN來實施的。實施VLAN時,網絡交換機僅允許按照網絡管理者配置的同一VLAN上的設備間的路由。

數(shù)據和語音LAN之間需要保持一些連接。語音郵件服務器通常放置在網絡的數(shù)據網絡段。VoIP呼叫控制服務器被控

制連接到語音郵件服務器。

3.信令認證

當一個VoIP電話注冊到SIP服務器時,電話需要提供其身份標識,該身份標識包括電話的MAC和IP地址。雖然相關的地址保護可以減少攻擊者使用這些地址進行欺詐,但并不能完全消除威脅。利用IPsec協(xié)議提供的認證和加密機制,可以在VoIP電話和呼叫管理服務器之間使用IPsec協(xié)議提供了一種強認證機制。

針對SIP的攻擊,通常采用認證的防御方法,如注冊時使用UDP和TCP在UA和控制節(jié)點間傳遞注冊信息,采用TLS建立認證安全連接來代替開放連接將會避免SIP注冊攻擊的發(fā)生。為避免Cancel/Bye攻擊,可以在UA和控制節(jié)點間引入強認證機制,UA驗證接收到的Cancel或Bye命令是否來自一個使用基于認證證書的可信節(jié)點。強認證同樣可避免攻擊者發(fā)送畸形命令到節(jié)點。

4.媒體加密

保護語音會話不被偷聽是VoIP實施時主要考慮的問題。使用SRTP(Secure RTP, 安全RTP)則可避免載荷數(shù)據被偵聽和篡改,發(fā)送方加密RTP數(shù)據包后在網絡中傳輸,最后由接收方解密。SRTP避免了竊聽和在數(shù)據包傳輸過程中添加新的信息。SRTP協(xié)議使得接收節(jié)點能夠檢測到RTP數(shù)據包頭部被修改后,在處理之前就丟棄掉,這將避免應用軟件受到不正常行為的干擾。還可以將VoIP傳輸限定在LAN/VLAN內,與非VoIP傳輸隔離,增加了攻擊者獲取VoIP內容的難度,則避免這種類型的攻擊的發(fā)生。

四、結束語

本文給出了一種隔離VoIP和數(shù)據傳輸?shù)陌踩珜嵤┎呗?并結合端口認證,信令認證及媒體加密等方法,可以更好地提供VoIP實施過程的安全保證?？紤]到所面臨的惡意攻擊,必須注意到VoIP實施仍然面臨巨大挑戰(zhàn)來消除這些威脅。今后的研究工作一方面需要加強安全機制和服務方面的研究,以支持不同系統(tǒng)級別的VoIP;另一方面,將安全標準和VoIP產品標準的緊密結合,將有助于更好地保護用戶數(shù)據安全。

參考文獻

[1]Chong Hui Min,Matthews H S.Comparative Analysis of Traditional Telephone and Voice-over-Internet Protocol(VoIP)Systems[J].IEEE,May 2004:106-111.

[2] Rosenberg J, Schulzrinne H, Camarillo G. SIP: Session Initiation Protocol. RFC 3261[S],2002.

[3] 劉偉明,鮮繼清,陳偉凌. VoIP安全——基于 SIP協(xié)議的深入剖析和解決策略[J]. 計算機應用, 2006, 26(6):167-170.

[4]劉志軍,王鳳著,張孟輝.軟交換技術協(xié)議SIP及其在VoIP中應用[J].微計算機信息,2006,27(9):169-172.

[5] 俞志春,方濱興,張兆心. SIP協(xié)議的安全性研究[J]. 計算機應用, 2006, 26(9):2124-2126.