高大鵬　喬立龍　王　偉

摘要 VoIP技術(shù)是把標(biāo)準(zhǔn)的電話信號變成壓縮的數(shù)據(jù)包,接著通過Ethernet 局域網(wǎng)進(jìn)行傳輸或通過ISP 的數(shù)據(jù)網(wǎng)絡(luò)在全球范圍內(nèi)傳輸,而不是通過傳統(tǒng)的電話線傳輸。導(dǎo)致了VoIP網(wǎng)絡(luò)特有的安全問題。另外,VoIP網(wǎng)絡(luò)的實(shí)時性要求高,給VoIP網(wǎng)絡(luò)的性能和服務(wù)質(zhì)量提出了挑戰(zhàn)。本文對VoIP網(wǎng)絡(luò)存在的安全威脅及各種安全措施進(jìn)行分析,并對VoIP系統(tǒng)的部署和VoIP管理政策的制定提出建議。

關(guān)鍵詞 VoIP;現(xiàn)狀;安全威脅;安全措施

中圖分類號 TP393文獻(xiàn)標(biāo)識碼 A文章編號1674-6708(2009)05-0056-02

0引言

VoIP 是Voice over Internet Protocol 的簡稱,是電信技術(shù)和計(jì)算機(jī)技術(shù)結(jié)合的最新進(jìn)展。VoIP技術(shù)現(xiàn)正在全球火熱展開,但目前的VoIP應(yīng)用還遠(yuǎn)遠(yuǎn)談不上成熟,而且VoIP網(wǎng)絡(luò)運(yùn)營與人們最初的構(gòu)想也有相當(dāng)大的差異。本文通過對VoIP的當(dāng)前現(xiàn)狀分析,得出一些結(jié)論并做了安全性研究。

1 VoIP的現(xiàn)狀和缺陷

VoIP在中國只有市場發(fā)展史,幾乎沒有技術(shù)發(fā)展史。VoIP在寬帶時代來臨之后才開始逐步獲得發(fā)展,大量的成果開始逐步涌現(xiàn)——Skype網(wǎng)絡(luò)電話軟件風(fēng)靡全球。即時通訊領(lǐng)域,騰訊QQ 、微軟MSN、蘋果iChat AV和Google Talk都先后實(shí)現(xiàn)相當(dāng)出色的語音通話質(zhì)量。而在企業(yè)環(huán)境,VoIP電話網(wǎng)成為許多大企業(yè)的首選,各大網(wǎng)絡(luò)設(shè)備廠商也都將VoIP視作未來發(fā)展的一個重要增長點(diǎn)?；诂F(xiàn)實(shí)的需求,電信運(yùn)營商逐步開始提供IP電話業(yè)務(wù)并受到市場的廣泛歡迎, IP電話普及全國。

盡管發(fā)展了多年,但VoIP離成熟還有一段距離。業(yè)界公認(rèn)的VoIP成熟標(biāo)準(zhǔn)有幾條,但真正處于核心部分是采用統(tǒng)一、開放的通訊協(xié)議,全球用戶可無障礙互聯(lián)互通,并構(gòu)建一個與業(yè)務(wù)無關(guān)的語音/數(shù)據(jù)綜合網(wǎng)絡(luò),這些也是我們接下來要探討的內(nèi)容。

2 VoIP網(wǎng)絡(luò)信息安全分析

VoIP 系統(tǒng)是集語音、視頻及其它應(yīng)用于一體的復(fù)雜的多媒體系統(tǒng),與普通的互聯(lián)網(wǎng)應(yīng)用一樣,VoIP 服務(wù)器容易受到針對服務(wù)器的攻擊;由于VoIP 終端的智能化,操作系統(tǒng)固有的安全漏洞也將對VoIP 網(wǎng)絡(luò)造成威脅等。下面我們對VoIP 網(wǎng)絡(luò)面臨的各種安全威脅加以分析。

1)協(xié)議攻擊。VoIP 網(wǎng)絡(luò)中涉及到的協(xié)議包括網(wǎng)絡(luò)基礎(chǔ)協(xié)議(DNS、DHCP)、信令協(xié)議(H.323、SIP)、流媒體協(xié)議(RTP)等,這些協(xié)議設(shè)計(jì)上的安全弱點(diǎn)將直接影響VoIP 的安全。另外,雖然VoIP 網(wǎng)絡(luò)中的主要協(xié)議都在提高安全性方面進(jìn)行著改進(jìn),但在部署的過程中,要防止由于協(xié)議擴(kuò)展而帶來的新的安全問題。如部署了新安全協(xié)議的設(shè)備和未部署安全協(xié)議的設(shè)備需要在同一個會話中使用,多個協(xié)議的互操作可能給每個協(xié)議的安全帶來限制等問題。

2)操作系統(tǒng)攻擊。與傳統(tǒng)電話不同,VoIP 終端的智能化程度較高,對操作系統(tǒng)攻擊十分敏感,操作系統(tǒng)的安全漏洞可能造成對VoIP 的威脅。

3)竊聽和嗅探。網(wǎng)絡(luò)上很多為VoIP 服務(wù)提供監(jiān)控和故障排除的軟件很容易被用作竊聽的工具。目前的VoIP 系統(tǒng)對竊聽和嗅探提供的保護(hù)較少,特別是從VoIP 網(wǎng)絡(luò)內(nèi)部的入侵。

4)未授權(quán)和網(wǎng)絡(luò)欺騙。VoIP 的電話號碼和物理設(shè)備之間很難建立聯(lián)系,所以網(wǎng)絡(luò)欺騙在VoIP 網(wǎng)絡(luò)中是比較普遍的攻擊方式,可分多層來進(jìn)行,如網(wǎng)絡(luò)層(仿造IP 地址)、應(yīng)用層(仿造URI)等。

5)服務(wù)盜用。通過VoIP 系統(tǒng)中的一些漏洞,攻擊者繞過計(jì)費(fèi)系統(tǒng),惡意濫用VoIP 網(wǎng)絡(luò)業(yè)務(wù),甚至盜用合法用戶的資源。服務(wù)盜用將會影響普通用戶使用VoIP 系統(tǒng)的性能,增加運(yùn)營商的服務(wù)支出。

6) Dos/DDos。Dos/DDos 是VoIP 網(wǎng)絡(luò)最主要的攻擊方式,與PSTN 相比,在VoIP 網(wǎng)絡(luò)中發(fā)起Dos/DDos 攻擊更加容易。

目前,VoIP遭受攻擊的例子還少。但是,Skype和VoicePulse公司對VoIP電話的加密方式曾經(jīng)引起過人們的擔(dān)憂。目前,大部分的VoIP電話系統(tǒng)都安裝于企業(yè)當(dāng)中,VoIP電話的加密技術(shù)也都用的是通用技術(shù)。

3 針對當(dāng)前VoIP存在的問題,我有以下建議:

1)企業(yè)VoIP 部署安全建議企業(yè)部署VoIP 時需考慮的安全措施包括:及時安裝操作系統(tǒng)補(bǔ)丁及更新VoIP 軟件;部署入侵檢測系統(tǒng)(IDS),保證應(yīng)用層和網(wǎng)絡(luò)層的安全;安裝支持本網(wǎng)絡(luò)使用的VoIP 通信協(xié)議的防火墻產(chǎn)品;在信任區(qū)域與非信任區(qū)域上布置應(yīng)用層網(wǎng)關(guān)(ALG),并與防火墻結(jié)合使用;使用可靠的認(rèn)證技術(shù)保證認(rèn)證和授權(quán)的安全;盡量減少軟電話的使用,并考慮移動電話(使用WLAN,CDMA 或GSM技術(shù))的安全性;有選擇性的布置VLAN,將語音流量和數(shù)據(jù)流量分開,如果能夠?qū)⒄Z音和數(shù)據(jù)服務(wù)器在物理上區(qū)分開則更好;使用加密傳輸技術(shù)保證媒體流的安全性(IPSec、SRTP 等);有選擇地在信任區(qū)域和/ 或非信任區(qū)域上部署VPN。VoIP 網(wǎng)絡(luò)對QoS 敏感,當(dāng)部署任何安全策略時,都要檢測新策略對網(wǎng)絡(luò)性能和語音質(zhì)量的影響,需評估的VoIP 語音質(zhì)量參數(shù)包括延遲、抖動、丟包率、MOS、R- factor 等。