ＶｏＩＰ現(xiàn)狀及安全性研究

高大鵬　喬立龍　王　偉

摘要 VoIP技術(shù)是把標準的電話信號變成壓縮的數(shù)據(jù)包,接著通過Ethernet 局域網(wǎng)進行傳輸或通過ISP 的數(shù)據(jù)網(wǎng)絡在全球范圍內(nèi)傳輸,而不是通過傳統(tǒng)的電話線傳輸。導致了VoIP網(wǎng)絡特有的安全問題。另外,VoIP網(wǎng)絡的實時性要求高,給VoIP網(wǎng)絡的性能和服務質(zhì)量提出了挑戰(zhàn)。本文對VoIP網(wǎng)絡存在的安全威脅及各種安全措施進行分析,并對VoIP系統(tǒng)的部署和VoIP管理政策的制定提出建議。

關鍵詞 VoIP;現(xiàn)狀;安全威脅;安全措施

中圖分類號 TP393文獻標識碼 A文章編號1674-6708(2009)05-0056-02

0引言

VoIP 是Voice over Internet Protocol 的簡稱,是電信技術(shù)和計算機技術(shù)結(jié)合的最新進展。VoIP技術(shù)現(xiàn)正在全球火熱展開,但目前的VoIP應用還遠遠談不上成熟,而且VoIP網(wǎng)絡運營與人們最初的構(gòu)想也有相當大的差異。本文通過對VoIP的當前現(xiàn)狀分析,得出一些結(jié)論并做了安全性研究。

1 VoIP的現(xiàn)狀和缺陷

VoIP在中國只有市場發(fā)展史,幾乎沒有技術(shù)發(fā)展史。VoIP在寬帶時代來臨之后才開始逐步獲得發(fā)展,大量的成果開始逐步涌現(xiàn)——Skype網(wǎng)絡電話軟件風靡全球。即時通訊領域,騰訊QQ 、微軟MSN、蘋果iChat AV和Google Talk都先后實現(xiàn)相當出色的語音通話質(zhì)量。而在企業(yè)環(huán)境,VoIP電話網(wǎng)成為許多大企業(yè)的首選,各大網(wǎng)絡設備廠商也都將VoIP視作未來發(fā)展的一個重要增長點?；诂F(xiàn)實的需求,電信運營商逐步開始提供IP電話業(yè)務并受到市場的廣泛歡迎, IP電話普及全國。

盡管發(fā)展了多年,但VoIP離成熟還有一段距離。業(yè)界公認的VoIP成熟標準有幾條,但真正處于核心部分是采用統(tǒng)一、開放的通訊協(xié)議,全球用戶可無障礙互聯(lián)互通,并構(gòu)建一個與業(yè)務無關的語音/數(shù)據(jù)綜合網(wǎng)絡,這些也是我們接下來要探討的內(nèi)容。

2 VoIP網(wǎng)絡信息安全分析

VoIP 系統(tǒng)是集語音、視頻及其它應用于一體的復雜的多媒體系統(tǒng),與普通的互聯(lián)網(wǎng)應用一樣,VoIP 服務器容易受到針對服務器的攻擊;由于VoIP 終端的智能化,操作系統(tǒng)固有的安全漏洞也將對VoIP 網(wǎng)絡造成威脅等。下面我們對VoIP 網(wǎng)絡面臨的各種安全威脅加以分析。

1)協(xié)議攻擊。VoIP 網(wǎng)絡中涉及到的協(xié)議包括網(wǎng)絡基礎協(xié)議(DNS、DHCP)、信令協(xié)議(H.323、SIP)、流媒體協(xié)議(RTP)等,這些協(xié)議設計上的安全弱點將直接影響VoIP 的安全。另外,雖然VoIP 網(wǎng)絡中的主要協(xié)議都在提高安全性方面進行著改進,但在部署的過程中,要防止由于協(xié)議擴展而帶來的新的安全問題。如部署了新安全協(xié)議的設備和未部署安全協(xié)議的設備需要在同一個會話中使用,多個協(xié)議的互操作可能給每個協(xié)議的安全帶來限制等問題。

2)操作系統(tǒng)攻擊。與傳統(tǒng)電話不同,VoIP 終端的智能化程度較高,對操作系統(tǒng)攻擊十分敏感,操作系統(tǒng)的安全漏洞可能造成對VoIP 的威脅。

3)竊聽和嗅探。網(wǎng)絡上很多為VoIP 服務提供監(jiān)控和故障排除的軟件很容易被用作竊聽的工具。目前的VoIP 系統(tǒng)對竊聽和嗅探提供的保護較少,特別是從VoIP 網(wǎng)絡內(nèi)部的入侵。

4)未授權(quán)和網(wǎng)絡欺騙。VoIP 的電話號碼和物理設備之間很難建立聯(lián)系,所以網(wǎng)絡欺騙在VoIP 網(wǎng)絡中是比較普遍的攻擊方式,可分多層來進行,如網(wǎng)絡層(仿造IP 地址)、應用層(仿造URI)等。

5)服務盜用。通過VoIP 系統(tǒng)中的一些漏洞,攻擊者繞過計費系統(tǒng),惡意濫用VoIP 網(wǎng)絡業(yè)務,甚至盜用合法用戶的資源。服務盜用將會影響普通用戶使用VoIP 系統(tǒng)的性能,增加運營商的服務支出。

6) Dos/DDos。Dos/DDos 是VoIP 網(wǎng)絡最主要的攻擊方式,與PSTN 相比,在VoIP 網(wǎng)絡中發(fā)起Dos/DDos 攻擊更加容易。

目前,VoIP遭受攻擊的例子還少。但是,Skype和VoicePulse公司對VoIP電話的加密方式曾經(jīng)引起過人們的擔憂。目前,大部分的VoIP電話系統(tǒng)都安裝于企業(yè)當中,VoIP電話的加密技術(shù)也都用的是通用技術(shù)。

3 針對當前VoIP存在的問題,我有以下建議:

1)企業(yè)VoIP 部署安全建議企業(yè)部署VoIP 時需考慮的安全措施包括:及時安裝操作系統(tǒng)補丁及更新VoIP 軟件;部署入侵檢測系統(tǒng)(IDS),保證應用層和網(wǎng)絡層的安全;安裝支持本網(wǎng)絡使用的VoIP 通信協(xié)議的防火墻產(chǎn)品;在信任區(qū)域與非信任區(qū)域上布置應用層網(wǎng)關(ALG),并與防火墻結(jié)合使用;使用可靠的認證技術(shù)保證認證和授權(quán)的安全;盡量減少軟電話的使用,并考慮移動電話(使用WLAN,CDMA 或GSM技術(shù))的安全性;有選擇性的布置VLAN,將語音流量和數(shù)據(jù)流量分開,如果能夠?qū)⒄Z音和數(shù)據(jù)服務器在物理上區(qū)分開則更好;使用加密傳輸技術(shù)保證媒體流的安全性(IPSec、SRTP 等);有選擇地在信任區(qū)域和/ 或非信任區(qū)域上部署VPN。VoIP 網(wǎng)絡對QoS 敏感,當部署任何安全策略時,都要檢測新策略對網(wǎng)絡性能和語音質(zhì)量的影響,需評估的VoIP 語音質(zhì)量參數(shù)包括延遲、抖動、丟包率、MOS、R- factor 等。