企業(yè)VOIP數(shù)據(jù)安全解決途徑的探討與實(shí)踐

摘要:多媒體應(yīng)用與企業(yè)傳統(tǒng)網(wǎng)絡(luò)結(jié)合使得VOIP技術(shù)迅猛發(fā)展，VOIP成為現(xiàn)在以及未來(lái)會(huì)成為話音的主流技術(shù)。針對(duì)企業(yè)VOIP應(yīng)用的攻擊日漸繁多。顧名思義，VOIP與運(yùn)行在IP網(wǎng)絡(luò)上的其他基于IP的應(yīng)用，如網(wǎng)頁(yè)瀏覽(web)和電子郵件(email)一樣有著共同的安全威脅和弱點(diǎn)，包括所有的來(lái)自IP網(wǎng)絡(luò)層的威脅。網(wǎng)管人員和郵件系統(tǒng)管理員迫切需要解決這些威脅還包括標(biāo)準(zhǔn)網(wǎng)絡(luò)安全技術(shù)和優(yōu)秀的網(wǎng)絡(luò)設(shè)計(jì)試圖解決的問(wèn)題。本文主要就如何通過(guò)采取一個(gè)仔細(xì)規(guī)劃的、多層次的VoIP網(wǎng)絡(luò)防護(hù)措施讓VOIP數(shù)據(jù)高枕無(wú)憂以及除了這些網(wǎng)絡(luò)層的若干威脅外，VOIP應(yīng)用還需要面對(duì)一系列的協(xié)議和應(yīng)用特有的威脅和一系列內(nèi)容相關(guān)的威脅做一些討論。

關(guān)鍵詞:VOIP;網(wǎng)絡(luò);協(xié)議;安全

中圖分類(lèi)號(hào):TN915.08

文獻(xiàn)標(biāo)識(shí)號(hào):A

Traffic inspection， business VOIP solution of data security

ZHANG Junhu1 GUO Limin2

(1. Hebi Vocational Technology College Electronics and Information Engineering， Hebi， Henan， 458030;2. Hebi Vocational Technology College of Modern Education Center， Hebi， Henan， 458030)

Abstract:Multimedia applications and enterprise integration of traditional network technology enables the rapid development of VOIP， VOIP as voice now and in the future will become the mainstream technology. VOIP applications for the enterprise growing variety of attacks. As the name suggests， VOIP and IP networks running on other IP-based applications such as web browsing (web) and e-mail (email) as a common security threats and vulnerabilities， including all the threats from the IP network layer. Network and mail system administrator urgent need to address these threats include standard network security technologies and network design to try to resolve outstanding issues. This article on how to take a carefully planned， multi-level VoIP network data protection measures for peace of mind as well as VOIP network layer in addition to a number of these threats， VOIP applications have to face a series of protocols and application-specific threats and a series of content-related threats to do some discussion.

Keywords: VOIP; Network; Agreement; Safety

作者簡(jiǎn)介:張俊虎(1974-)，男，河南鶴壁人，漢族，碩士研究生，主要從事電子技術(shù)、通信技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、單片機(jī)開(kāi)發(fā)教學(xué)及研究;郭麗敏(1980-)，女，漢族，本科，高級(jí)實(shí)驗(yàn)師，主要從事電子技術(shù)、通信技術(shù)及研究。

VOIP是Voice Over Internet Protocol的縮寫(xiě)，它的用途是將模擬的聲音訊號(hào)經(jīng)過(guò)壓縮與封包之后，以數(shù)據(jù)封包的形式在IP 網(wǎng)絡(luò)的環(huán)境進(jìn)行語(yǔ)音訊號(hào)的傳輸[1]。媒體應(yīng)用與企業(yè)傳統(tǒng)網(wǎng)絡(luò)結(jié)合使得VOIP技術(shù)的迅猛發(fā)展，IP語(yǔ)音逐漸成為企業(yè)網(wǎng)絡(luò)中的一個(gè)不可或缺的新成員。

簡(jiǎn)單地說(shuō)，VOIP即互聯(lián)網(wǎng)電話或是網(wǎng)絡(luò)電話。相比傳統(tǒng)電話，VOIP除了服務(wù)更多樣化外，節(jié)省電話費(fèi)和漫游費(fèi)是真正最具有競(jìng)爭(zhēng)力的原因。但即使在VOIP技術(shù)廣泛應(yīng)用的今天，VOIP的安全性仍屢遭質(zhì)疑。

1 VOIP安全性的討論

既然PSTN(公共交換電話網(wǎng)絡(luò))語(yǔ)音呼叫通常都不安全，那么 VOIP 呼叫真的還有必要具備安全性嗎?答案有兩重。首先，IP 網(wǎng)絡(luò)的分組性質(zhì)使其比 PSTN 更易受到安全威脅。此外，就當(dāng)前社會(huì)政治條件提出的新型安全顧慮而言，在我們的語(yǔ)音網(wǎng)絡(luò)中集成安全特性對(duì)服務(wù)供應(yīng)商和最終用戶都有利。

從服務(wù)供應(yīng)商的角度看，實(shí)施安全保障措施可避免各種破壞性行為，這些行為可能導(dǎo)致盜竊服務(wù)以及損失大筆收入等。此外，電話終端設(shè)備的實(shí)施和配置可能會(huì)使其好像有效的終端設(shè)備的克隆一樣，能夠在不為人知的情況下免費(fèi)而有效地訪問(wèn)服務(wù)。如果網(wǎng)絡(luò)黑客能夠成功訪問(wèn)網(wǎng)絡(luò)設(shè)備、修改數(shù)據(jù)庫(kù)或復(fù)制設(shè)備的話，那么他們就會(huì)成為威脅。最后，諸如會(huì)話啟動(dòng)協(xié)議(SIP)、H.323 以及媒體網(wǎng)關(guān)控制協(xié)議(MGCP)等分組網(wǎng)絡(luò)協(xié)議可通過(guò)訪問(wèn)數(shù)據(jù)包進(jìn)行操縱，從而修改協(xié)議信息，導(dǎo)致數(shù)據(jù)包目的地或呼叫連接的變化。

其他安全威脅會(huì)對(duì)最終用戶構(gòu)成隱私威脅。黑客只需通過(guò)簡(jiǎn)單的分組網(wǎng)絡(luò)“竊聽(tīng)”，就能“聽(tīng)到”語(yǔ)音載體通道，或“看到”呼叫設(shè)置(信令)信息，從而獲取詳細(xì)的呼叫信息。終端電話設(shè)備克隆經(jīng)過(guò)配置，通過(guò)上述網(wǎng)絡(luò)協(xié)議操縱偽裝成其他無(wú)辜用戶，或“竊聽(tīng)”正在進(jìn)行的語(yǔ)音和相關(guān)信號(hào)傳送流量用于脫機(jī)分析，就能實(shí)現(xiàn)上述目的[2]。

盡管上述安全威脅切實(shí)存在，但這并不意味著 VOIP 部署是完全脆弱的。通過(guò)采取一個(gè)仔細(xì)規(guī)劃的、多層次的VoIP網(wǎng)絡(luò)防護(hù)措施，企業(yè)就可以讓VoIP網(wǎng)絡(luò)的安全程度趕上甚至是超過(guò)傳統(tǒng)的電話系統(tǒng)。

2 VOIP協(xié)議與IP協(xié)議的相互依存關(guān)系

VOIP協(xié)議也需要將這些特性應(yīng)用在協(xié)議設(shè)計(jì)中。除此之外，VOIP應(yīng)用實(shí)際上提供了很多非語(yǔ)音的服務(wù)，例如視頻會(huì)議、在線查詢服務(wù)(提供某人是否在線的信息、確定最佳的聯(lián)系方式等)，甚至是及時(shí)消息(Instant Messaging，IM)和分頁(yè)(Paging)服務(wù)。協(xié)議和應(yīng)用相關(guān)的威脅包括大量的泛洪攻擊(flooding attack)和通話干擾威脅。干擾威脅包括通話終止攻擊(惡意攻擊者簡(jiǎn)單地將通話切斷)和通話劫持攻擊(攻擊者接管通話)。在這些VOIP應(yīng)用相關(guān)的威脅中，多數(shù)威脅在其他網(wǎng)絡(luò)應(yīng)用中找不到直接的類(lèi)似攻擊。

內(nèi)容相關(guān)的安全威脅影響到VOIP通話的內(nèi)容，包括個(gè)人對(duì)個(gè)人的通話、語(yǔ)音會(huì)議通話或者視頻會(huì)議通話。這類(lèi)威脅包括簡(jiǎn)單的未授權(quán)的通話監(jiān)控或者竊聽(tīng)、或通話劫持或通話滲透。雖然VOIP內(nèi)容相關(guān)的威脅在email和web服務(wù)中有其類(lèi)似的威脅，如垃圾郵件以及惡意或不正確的網(wǎng)頁(yè)內(nèi)容，但是VOIP劫持或者滲透攻擊背后的技術(shù)顯然和email spam和惡意網(wǎng)頁(yè)內(nèi)容技術(shù)相去甚遠(yuǎn)[3]。

VOIP內(nèi)容安全威脅和協(xié)議、應(yīng)用安全威脅都是真實(shí)的，能夠被演示。SIPtap上描述的通話竊聽(tīng)事件就是一個(gè)例子。其他可演示的威脅包括大量的泛洪攻擊、通話終止攻擊和通話劫持攻擊以及一些VOIP特有的拒絕服務(wù)攻擊。但是，這些威脅是已知的這個(gè)事實(shí)，并不是每個(gè)人都認(rèn)識(shí)到了。

保護(hù)系統(tǒng)免受已知的VOIP攻擊的威脅是可能的。標(biāo)準(zhǔn)的安全技術(shù)、運(yùn)用防火墻技術(shù)、實(shí)現(xiàn)好的設(shè)計(jì)和操作策略都是好的開(kāi)始和必要的一步，但是這并不能解決所有的問(wèn)題。標(biāo)準(zhǔn)安全技術(shù)能夠應(yīng)付“標(biāo)準(zhǔn)的”威脅，但是專家級(jí)防范措施才能夠解決許多VOIP特有的威脅。

3 VOIP的網(wǎng)絡(luò)防護(hù)措施的具體實(shí)施

3.1 網(wǎng)絡(luò)層加密

使用IPSec加密來(lái)保護(hù)網(wǎng)絡(luò)中的VOIP數(shù)據(jù);如果攻擊者穿越了VOIP服務(wù)器的物理層防護(hù)措施，并截獲VOIP數(shù)據(jù)包，也無(wú)法破譯其中的內(nèi)容。IPSec使用認(rèn)證頭以及壓縮安全有效載荷來(lái)為IP傳輸提供認(rèn)證性、完整性以及機(jī)密性。

VoIP上的IPSec使用隧道模式，對(duì)兩頭終端的身份進(jìn)行保護(hù)。IPSec可以讓VoIP通訊比使用傳統(tǒng)的電話線更安全。

3.2 會(huì)話層鎖定

使用TLS來(lái)保護(hù)VoIP會(huì)話，TLS使用的是數(shù)字簽名和公共密鑰加密，這意味著每一個(gè)端點(diǎn)都必須有一個(gè)可信任的、由權(quán)威CA認(rèn)證(電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu)，Certificate Authority)的簽名;或者安全管理人員也可以通過(guò)一個(gè)內(nèi)部CA(比如一臺(tái)運(yùn)行了認(rèn)證服務(wù)的Windows服務(wù)器)來(lái)進(jìn)行企業(yè)內(nèi)部的通話，并經(jīng)由一個(gè)公共CA來(lái)進(jìn)行公司之外的通話。

3.3 保護(hù)應(yīng)用層

使用“安全RTP(SRTP)”來(lái)對(duì)應(yīng)用層的介質(zhì)進(jìn)行加密。RFC3711定義了SRTP，讓它可以提供信息認(rèn)證、機(jī)密性、回放保護(hù)、阻止對(duì)RTP數(shù)據(jù)流的拒絕服務(wù)式攻擊等安全機(jī)制。通過(guò)SRTP，安全管理員可以對(duì)無(wú)線網(wǎng)和有線網(wǎng)上的VoIP通訊進(jìn)行有效的保護(hù)。

3.4 建立VoIP網(wǎng)絡(luò)的冗余機(jī)制

要時(shí)刻準(zhǔn)備著可能會(huì)遭到病毒、DOS攻擊，它們可能會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。構(gòu)建能夠設(shè)置多層節(jié)點(diǎn)、網(wǎng)關(guān)、服務(wù)器、電源及呼叫路由器的網(wǎng)絡(luò)系統(tǒng)，并與不只一個(gè)供應(yīng)商互聯(lián)。經(jīng)常性的對(duì)各個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行考驗(yàn)，確保其工作良好，當(dāng)主服務(wù)網(wǎng)絡(luò)癱瘓時(shí)，備用設(shè)施可以迅速接管工作。

3.5 配備專用防火墻

對(duì)一個(gè)IP網(wǎng)絡(luò)來(lái)說(shuō)，邊界保護(hù)通常意味著使用防火墻，不過(guò)一個(gè)老舊的防火墻是不適合VoIP網(wǎng)絡(luò)的。你需要一個(gè)特別設(shè)計(jì)的防火墻，他得能識(shí)別和分析VoIP協(xié)議，能對(duì)VoIP的數(shù)據(jù)包進(jìn)行深度檢查，并能分析VoIP的有效載荷以便發(fā)現(xiàn)所有和攻擊有關(guān)的蛛絲馬跡。

如果你的VoIP部署使用了SIP協(xié)議(Session Initiation Protocol)，那么防火墻就應(yīng)當(dāng)能執(zhí)行下述操作:監(jiān)視進(jìn)出的SIP信息，以便發(fā)現(xiàn)應(yīng)用程式層次上的攻擊;支持TLS(傳輸層安全);執(zhí)行基于SIP的NAT及介質(zhì)端口管理;檢測(cè)非正常的呼叫模式;記錄SIP信息的詳情，特別是未經(jīng)授權(quán)的呼叫。

3.6 內(nèi)外網(wǎng)隔離

將電話管理系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)置于國(guó)際互聯(lián)網(wǎng)絡(luò)直接訪問(wèn)之外是一個(gè)不錯(cuò)的選擇，將語(yǔ)音服務(wù)與其它服務(wù)器置于相分離的域中，并限制對(duì)其訪問(wèn)。

3.7 盡量減少軟終端

VoIP軟終端電話易于遭受電腦黑客攻擊，即使它位于公司防火墻之后，因?yàn)檫@種東西是與普通的PC、VoIP軟件及一對(duì)耳機(jī)一起使用的。而且，軟終端電話并沒(méi)有將語(yǔ)音和數(shù)據(jù)分開(kāi)，因此，易于受到病毒和蠕蟲(chóng)的攻擊。

3.8 限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋€(gè)VLAN上

Cisco理論建議對(duì)語(yǔ)音和數(shù)據(jù)分別劃分VLAN，這樣有助于按照優(yōu)先次序來(lái)處理語(yǔ)音和數(shù)據(jù)、防御費(fèi)用欺詐、DOS攻擊、竊聽(tīng)、劫持通信等。VLAN的劃分使用戶的計(jì)算機(jī)形成了一個(gè)有效的封閉的圈子，不允許任何其它計(jì)算機(jī)訪問(wèn)其設(shè)備，從而避免了電腦的攻擊，VoIP網(wǎng)絡(luò)也就相當(dāng)安全;即使受到攻擊，也會(huì)將損失降到最低[5]。

3.9 監(jiān)控并跟蹤網(wǎng)絡(luò)的通信模式

使用監(jiān)控工具和入侵探測(cè)系統(tǒng)能幫助用戶識(shí)別那些侵入VoIP網(wǎng)絡(luò)的企圖。詳細(xì)觀察VoIP日志可以幫助發(fā)現(xiàn)一些不規(guī)則的東西，如莫名其妙的國(guó)際電話或是本公司或組織基本不聯(lián)系的國(guó)際電話，多重登錄試圖破解密碼，語(yǔ)音暴增等。

3.10 定期進(jìn)行安全檢查

要確信只有經(jīng)過(guò)鑒別的設(shè)備和用戶，才可以訪問(wèn)那些經(jīng)過(guò)限制的以太網(wǎng)端口。管理員常常被欺騙，接授那些沒(méi)有經(jīng)過(guò)允許的軟終端電話的請(qǐng)求，因?yàn)楹诳蛡兡軌蛲ㄟ^(guò)插入RJ44端口輕易地模仿IP地址和MAC地址。

4 結(jié)束語(yǔ)

除了以上所論述之外，VOIP應(yīng)用中還涉及到SIP會(huì)話初始化協(xié)議等等。其原理跟上文所述協(xié)議類(lèi)似。出于安全的考慮，也需要啟用應(yīng)用檢查。無(wú)論是什么協(xié)議，只要對(duì)其啟用了以上各項(xiàng)措施，都需要評(píng)估啟用了之后是否會(huì)對(duì)性能產(chǎn)生不利的影響。通常情況下，啟用了之后肯定會(huì)造成性能的下降。不過(guò)企業(yè)網(wǎng)絡(luò)部屬方案與環(huán)境不同，其造成的影響也是不同的。所以管理員需要測(cè)試與評(píng)估，看其是否在用戶能夠忍受的范圍之內(nèi)。魚(yú)與熊掌不能夠兼得，用戶還是需要在這兩者當(dāng)中進(jìn)行選擇。一般情況下，只要不影響到IP電話的通話效果，還是要啟用為好。畢竟除了這個(gè)應(yīng)用檢查之外，現(xiàn)在還沒(méi)有其他比較好的安全措施。

參考文獻(xiàn)

[1] [美]Jonathan Davidson，James Peters，Manoj Bhatia. VoIP技術(shù)構(gòu)架[M]. 北京:人民郵電出版社，2008.

[2] 糜正琨. IP網(wǎng)絡(luò)電話技術(shù)[M]. 北京:人民郵電出版社，2008.

[3] 張登銀. VoIP技術(shù)分析與系統(tǒng)設(shè)計(jì)[M]. 北京:人民郵電出版社，2003.

[4] Elliot Lewis. 韓存兵，龔波譯 ，Configuring Cisco Voice Over IP[M]. 北京:機(jī)械工業(yè)出版社，2001.

[5] 宋真君. VOIP及融合通信項(xiàng)目實(shí)驗(yàn)指導(dǎo)書(shū)[M]. 北京:電子工業(yè)出版社，2007.