消滅IP語音中的安全威脅
Joanne Cummings
2003/07/21
只要你采取一些簡單的預(yù)防措施,IP語音的安全風(fēng)險(xiǎn)不一定比數(shù)據(jù)應(yīng)用更高。
一旦企業(yè)用戶測試了VoIP并證明它可行后,它們面臨著最后一道障礙:確保它是安全的。
但是,一頭扎進(jìn)VoIP中的用戶說他們并不擔(dān)心安全問題。Lexent公司工程與新技術(shù)主管Doug Haluza說:“如果你正確配置它,并且像對待網(wǎng)絡(luò)上的任何其他關(guān)鍵任務(wù)服務(wù)器和應(yīng)用那樣對待它的話,VoIP就像其他數(shù)據(jù)應(yīng)用一樣安全!盠exent是紐約的一家電力服務(wù)公司,它自從2002年1月起就一直在企業(yè)網(wǎng)絡(luò)上運(yùn)行VoIP。
分析人士對此表示贊同,說保證VoIP的安全歸結(jié)為典型的保證聯(lián)網(wǎng)的服務(wù)器、應(yīng)用和語音的安全的措施。但是,在選擇防火墻、入侵檢測系統(tǒng)(IDS)和其他安全工具時(shí),需要特別的注意。
棘手的防火墻
在防火墻上保護(hù)VoIP數(shù)據(jù)是一項(xiàng)棘手的工作。VoIP會話使用H.323或會話初始協(xié)議(SIP)。VoIP部署中的防火墻必須能夠處理這些相當(dāng)復(fù)雜的實(shí)時(shí)通信協(xié)議。H.323和SIP使用分離的控制連接和媒體傳輸連接,這意味著它們通常在建立一次呼叫時(shí),在一個(gè)IP端口上建立連接,然后選擇隨機(jī)的、編號很大的IP端口(一般在端口1024以上)用于數(shù)據(jù)連接。你不能簡單地將防火墻配置為打開某些端口、阻塞某些端口,因?yàn)榉阑饓τ肋h(yuǎn)不知道哪個(gè)端口將用于數(shù)據(jù)連接。
銷售狀態(tài)性(stateful)SIP和H.323兼容防火墻的Check Point公司戰(zhàn)略營銷經(jīng)理Mark Kraynak說:“人們需要這樣一種防火墻:它很好地懂得這些協(xié)議,知道只在數(shù)據(jù)連接在控制域中得到協(xié)商和認(rèn)證時(shí)才開放這些連接。它必須懂得在會話完成時(shí)關(guān)閉它們。”
防火墻還必須在不影響語音流性能的情況下,完成所有的狀態(tài)性數(shù)據(jù)包檢查。
根據(jù)國際電信聯(lián)盟的建議,端到端語音流的時(shí)延不應(yīng)當(dāng)超過100毫秒。由于語音使用比數(shù)據(jù)更小的包并且每秒傳送更多的包(每語音流大約每秒50個(gè)包,為一般數(shù)據(jù)流中包數(shù)量的近兩倍),處理語音會迅速地造成防火墻的癱瘓。
一家為企業(yè)用戶提供融合IP服務(wù)的機(jī)構(gòu)—MCI Advantage公司高級設(shè)計(jì)師John Truetken說:“許多軟件防火墻可以滿足數(shù)據(jù)流的需要,但是當(dāng)你開始一次每秒50個(gè)包的語音呼叫時(shí),這實(shí)際上增加了它們必須檢查的包的數(shù)量,一些防火墻不能應(yīng)付這種數(shù)量的包!彼f,專用硬件防火墻性能通常更好。
他說,這種情況也同樣出現(xiàn)在VPN上。他說:“當(dāng)你增加了20條左右的語音流時(shí),一些低端VPN加密機(jī)就會出現(xiàn)問題。它們每秒必須處理的包的數(shù)量有時(shí)會壓垮它們。”
這正是Lexent的Haluza親身遇到過的問題。該公司在不同站點(diǎn)中部署了基于IPSec的VPN,然后決定在它上面運(yùn)行VoIP。
他說:“最初,我們利用安裝在遠(yuǎn)程站點(diǎn)的路由器建立了這條網(wǎng)絡(luò),將IPSec隧道終止于安裝在總部的防火墻上!盠exent使用的Cisco PIX防火墻沒有硬件加速器,只使用軟件加密。Haluza說:“這不適于語音,因?yàn)槌霈F(xiàn)了太多的抖動(dòng)。”他指出,每當(dāng)防火墻上的處理器一忙,打電話的人就會遇到語音丟失現(xiàn)象。
他說:“我們發(fā)現(xiàn)的另一件事是,我們不能從遠(yuǎn)程站點(diǎn)到遠(yuǎn)程站點(diǎn)打電話,因?yàn)榉阑饓Σ蛔屵@些語音包通過同一個(gè)端口進(jìn)出!盠exent通過將IPSec隧道終止于安裝在兩端上的路由器上后,解決了這兩個(gè)問題,因?yàn)閮啥说穆酚善骶哂杏布铀俟δ,可以在站點(diǎn)之間建立傳輸線路。他說:“這樣,我們獲得了高性能的加密!
保護(hù)服務(wù)器的安全
VoIP服務(wù)器也需要特別的關(guān)注。大多數(shù)IP PBX的操作系統(tǒng)必須刪除可能會導(dǎo)致安全威脅的不必要的服務(wù)。
Avaya公司架構(gòu)與規(guī)劃主管James Coffman說:“服務(wù)器應(yīng)當(dāng)專用于語音服務(wù)。”他在描述Avaya公司的運(yùn)行在精簡版本的Linux上的MultiVantage IP PBX時(shí)說:“MultiVantage上面沒有Web瀏覽器、沒有電子郵件閱讀器、沒有守護(hù)進(jìn)程。我們關(guān)閉了很多你在剛出廠的服務(wù)器上可以得到的標(biāo)準(zhǔn)的網(wǎng)絡(luò)功能!
這種操作系統(tǒng)加固措施有助于保護(hù)平臺不受病毒和蠕蟲(如最近出現(xiàn)的Slapper和Nimda)的攻擊。Nortel公司安全解決方案營銷經(jīng)理Fred Weiler說:“一些IP電話核心服務(wù)器僅僅使用普通的Windows NT軟件,它們遭到了Nimda的攻擊。我們的平臺是基于嵌入式NT的,這種NT操作系統(tǒng)經(jīng)過了加固、測試并刪除了不使用的服務(wù),我們的IP電話平臺沒有一個(gè)受到過攻擊!
Cisco公司受到了指責(zé),它的一些基于NT的CallManager VoIP服務(wù)器受到了Nimda的攻擊。Cisco迅速為這些系統(tǒng)發(fā)布了補(bǔ)丁,并且也逐漸加固了它的平臺。該公司計(jì)劃年底前提供非NT平臺選擇,盡管它說如果用戶認(rèn)真地在安全漏洞評估和補(bǔ)丁管理上遵守最佳慣例的話,VoIP服務(wù)器將不會比網(wǎng)絡(luò)上其他設(shè)備更脆弱。
許多用戶由于安全原因而不再使用基于Windows的IP PBX。紐約州Geneva市Hobart and William Smith學(xué)院正在內(nèi)部試驗(yàn)LAN上運(yùn)行VoIP。這所大學(xué)的CIO Brian Young說:“當(dāng)我們研究重要應(yīng)用時(shí),我們會考慮它們的平臺是否會吸引更多的病毒或黑客,而我認(rèn)為Windows是迄今為止最大的目標(biāo)。我們必須為減少危險(xiǎn)而做更多的工作,這就是說擁有一個(gè)穩(wěn)定的、不需要很多添加的安全性與特性來保護(hù)和運(yùn)行它的系統(tǒng)。因此,現(xiàn)在,我們將重點(diǎn)放在用于VoIP的Linux和Unix平臺上!
不過,Lexent的Haluza認(rèn)為,Windows還是Linux/Unix之爭基本上是信仰之爭。他說:“我們只選擇最好的工具,不管它是什么平臺!
但是,他還是采取了預(yù)防措施,特別是不將他的語音服務(wù)器暴露給Internet。他說,語音服務(wù)器有一個(gè)專用IP地址,語音流只在VPN保護(hù)下的安全LAN上傳送。Lexent不是在Internet上發(fā)送語音流,而是從一家運(yùn)營商那里購買語音線路來處理LAN之外的語音傳輸流。
Haluza說:“我們在公司之外使用傳統(tǒng)的ISDN主速率接口(PRI)語音電路,但是我們將來自運(yùn)營商的PRI電路終止于路由器上,然后再變成我們LAN端的IP。”
一些新興廠商開始解決Internet安全問題,主要通過防火墻技術(shù)。
語音專用IDS(入侵檢測系統(tǒng))可以提供更多的VoIP服務(wù)器保護(hù),不過,用戶說這類設(shè)備還未做好部署的準(zhǔn)備。Hobart and William Smith公司的Young說:“在我們部署某種語音專用IDS之前,我不會將VoIP投入學(xué)校的應(yīng)用,到目前為止,我們還沒有見到多少語音專用IDS!
MCI的Truetken解釋說,大多數(shù)IDS由于常常發(fā)出虛假警報(bào)而減弱了作用,假警報(bào)會限制它們的性能,尤其在語音環(huán)境中。他說:“你必須將它們的臨界值設(shè)得高一點(diǎn),來適應(yīng)更多的語音包。否則,你將收到數(shù)不清的假警報(bào)!
Cisco公司說它通過最近兩次收購中獲得的技術(shù)解決了這個(gè)問題。Cisco從Psionic公司獲得了自動(dòng)進(jìn)行報(bào)警調(diào)查的能力,從Okena公司獲得了入侵防御和檢測技術(shù)。
竊聽的風(fēng)險(xiǎn)被夸大了
另一個(gè)需要考慮的問題是保護(hù)應(yīng)用的安全,使黑客不能竊聽語音呼叫或控制語音服務(wù)。避免竊聽的一種辦法是加密呼叫,目前的VPN技術(shù)可以容易地做到這點(diǎn)。不過,要確保終端設(shè)備具有支持VPN客戶機(jī)的處理能力。Avaya的Coffman指出,許多IP電話不具有這種處理能力。
在這種情況下,用戶將在工作站或便攜機(jī)上安裝VPN客戶機(jī)軟件,將電話連接到這臺PC上。Truetken說:“這種辦法是可行的,但是你必須保證便攜機(jī)不會干擾VoIP呼叫。如果便攜機(jī)運(yùn)行XP的話,你可能一切正常。但是,如果它使用Windows 98,你就會遇到問題。例如,DSL具有256Kbps的帶寬,這種帶寬可以很好地支持語音呼叫。然而,如果你同時(shí)還運(yùn)行Outlook的話,你可能會用完處理能力!
其他一些人則質(zhì)疑有沒有必要加密LAN上的VoIP。Young說:“這里的加密需要沒有那么迫切。不妨看看現(xiàn)在有多少人使用手機(jī),手機(jī)遠(yuǎn)比VoIP語音流更容易截獲和竊聽。加密LAN上的VoIP并非是優(yōu)先重點(diǎn)。”
Lexent的Haluza同意這種觀點(diǎn)。他說: “我更擔(dān)心是入侵后端辦公室應(yīng)用的人,而非VoIP。這是個(gè)夸大風(fēng)險(xiǎn)的案例!
計(jì)算機(jī)世界網(wǎng)(www.ccw.com.cn)
感谢您访问我们的网站,您可能还对以下资源感兴趣:
欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看
老外毛片免费视频播放,人人狠狠综合久久亚洲,久艹在线视频,天天操夜操
婷婷激情在线,亚洲成a人片77777群色,狠狠躁天天躁,成年美女黄网站色大片免费看
黄色片aa,亚洲一区二区三区免费在线观看,久久青草精品一区二区三区,性感美女国产射精免费黄视频
日本一道本在线,视频二区三区国产情侣在线,国产精品色哟哟,青青草伊人
久久久久精品香蕉免费看,国产美女免费视频,成人免费xxx色视频,91精品国产综合久久消防器材