深度檢測防火墻:VOIP網(wǎng)絡安全的基石
陸耀光 2005/06/03
SonicWALL大中華區(qū)銷售總經(jīng)理
陸耀光加入SonicWALL已有4年時間。作為大中華區(qū)銷售總經(jīng)理����,陸耀光負責本地區(qū)的總體業(yè)務開發(fā)工作,包括制定銷售和市場戰(zhàn)略以及管理技術(shù)團隊�����。陸耀光成功地將SonicWALL在本地區(qū)的業(yè)務發(fā)展到數(shù)百萬美元��,同時在中國樹立起SonicWALL的品牌形象���。
加入SonicWALL之前���,陸耀光擔任朗訊科技公司的地區(qū)銷售經(jīng)理,負責企業(yè)市場數(shù)據(jù)網(wǎng)絡銷售工作��。在朗訊之前�����,陸耀光擔任3Com公司的銷售經(jīng)理。陸耀光在IT行業(yè)有10多年的銷售和市場經(jīng)驗�,特別專注于數(shù)據(jù)網(wǎng)絡和數(shù)據(jù)安全技術(shù)。
陸耀光畢業(yè)于香港理工大學�,獲得電子工程學位。
摘要:本文討論了與安全VoIP網(wǎng)絡部署相關(guān)的問題和復雜性�����,然后詳細介紹了SonicWALL公司的完全VoIP解決方案�����。
內(nèi)容
- 與VoIP和網(wǎng)絡安全性相關(guān)的問題
- 現(xiàn)有VoIP安全性解決方案
摘要
對于希望通過采用網(wǎng)絡電話(VoIP)技術(shù)來降低通信成本的企業(yè)來說�,語音和數(shù)據(jù)融合的網(wǎng)絡相關(guān)的安全風險不容忽視���。通話費用的降低���、集中管理和快速部署等好處顯而易見,因此VoIP安全性和網(wǎng)絡完整性方面的問題經(jīng)常被忽略�����。
在VoIP網(wǎng)絡中�����,有大量的目標會受到潛在的威脅,呼叫服務器以及相應的操作系統(tǒng)����、VoIP電話及軟件,甚至VoIP電話呼叫本身都容易受到攻擊�����。
本文討論了與安全VoIP網(wǎng)絡部署相關(guān)的問題和復雜性��,然后詳細介紹了SonicWALL公司的完全VoIP解決方案���,特別是SonicWALL創(chuàng)新的狀態(tài)數(shù)據(jù)包變換技術(shù)����。
與VoIP和網(wǎng)絡安全性相關(guān)的問題
在VoIP網(wǎng)絡中�����,防火墻*的傳統(tǒng)角色正在發(fā)生本質(zhì)上的變革��。過去,防火墻在VoIP環(huán)境中不影響VoIP的使用就可以了�。因為VoIP要求因特網(wǎng)上基于IP的資源是可預測的、靜態(tài)可用的����,但防火墻的網(wǎng)絡地址轉(zhuǎn)換(NAT)功能給VoIP網(wǎng)絡帶來了障礙。通過“pin-holing”和其它技術(shù)�����,安全供應商已經(jīng)找到了適應VoIP基礎(chǔ)設施�����、保證互操作的方法�����。
然而����,隨著網(wǎng)絡威脅越來越復雜���,防火墻在VoIP環(huán)境中的角色也從“保證通暢”演化為全面支持和保護整個基礎(chǔ)設施��。從IP電話�����、軟電話和無線通信設備等最終用戶終端�����,到H.323關(guān)守和SIP代理服務器等基礎(chǔ)設施設備����,企業(yè)范圍的VoIP部署涉及范圍越來越寬。簡單拒絕服務(DoS)攻擊的目的是影響IP語音基礎(chǔ)設施的可用性���,而全面的應用層攻擊則主要針對VoIP協(xié)議本身����?傊��,威脅的確存在�,并且在不斷增長�。
對于成功的VoIP實施,有三個關(guān)鍵因素必須考慮:
- VoIP安全性
- VoIP網(wǎng)絡互操作性和協(xié)議支持
- VoIP供應商互操作性
下面的章節(jié)討論了這幾個方面���。
*在本文中���,“防火墻”一詞用來指任何為VoIP網(wǎng)絡提供外圍安全功能的安全設備����。實際上�����,現(xiàn)代安全設備已經(jīng)超過了狀態(tài)檢查防火墻��,采用深度數(shù)據(jù)包檢測技術(shù)大大增強了安全能力��。
VoIP安全性
VoIP安全性包括許多方面���,但對于任何部署都必須考慮的主要因素包括接入���、可用性和實現(xiàn)��。
接入
VoIP呼叫容易受到會話劫持和中間人攻擊���。沒有適當?shù)陌踩胧�,攻擊者可以截取VoIP呼叫并修改呼叫參數(shù)/地址。這就為電話欺騙���、身份竊取��、呼叫重定向和其它攻擊打開了大門��。
即使不修改VoIP數(shù)據(jù)包����,攻擊者也可以竊聽到通過VoIP網(wǎng)絡傳輸?shù)碾娫捊徽�����。如果VoIP數(shù)據(jù)包無保護地通過因特網(wǎng)傳輸�,攻擊者就有機會獲得所包含的信息。
對于標準的公共交換電話網(wǎng)絡(PSTN)連接���,截取對話需要物理上接觸電話線或者小型交換機(PBX)��。但對于通常是通過公共因特網(wǎng)和TCP/IP協(xié)議傳輸?shù)脑捯?數(shù)據(jù)網(wǎng)絡來說���,并沒有提供類似電話線的“物理線路”安全性。通過在網(wǎng)絡基礎(chǔ)設施的某些部分(如VoIP網(wǎng)關(guān)的出入口)訪問和監(jiān)視網(wǎng)絡業(yè)務流��,攻擊者可以獲取并重組VoIP數(shù)據(jù)包。利用公開可以獲得的工具��,如Vomit(http://vomit.xtdnet.nl)�����,可以將這些數(shù)據(jù)包轉(zhuǎn)換為.wav文件�,這樣攻擊者就可以竊聽,甚至錄制并重放通話內(nèi)容�����。
可用性
VoIP網(wǎng)絡的可用性也是一個重要問題�����。PSTN網(wǎng)絡的可用性達到99.999% - 攻擊者要想影響其可用性必須物理上訪問電話交換機或切斷電話線��。然而����,對于沒有保護的VoIP網(wǎng)絡,針對關(guān)鍵點的簡單拒絕服務(DoS)攻擊就可以削弱或者中斷話音和數(shù)據(jù)通信�����。
VoIP網(wǎng)絡對于DoS攻擊特別敏感��,例如:
- 畸形請求DoS - 可以利用精心編制的協(xié)議請求來利用已知的漏洞��,從而導致服務部分或全部中斷������?梢岳眠@種方法導致目標崩潰,也可以用來控制目標�����。
- 針對媒體的DoS - VoIP媒體由實時協(xié)議(RTP)數(shù)據(jù)包承載��,因此容易受到攻擊���。例如����,網(wǎng)絡阻塞型攻擊�����,或者是削弱或破壞終端設備(電話或網(wǎng)關(guān))實時處理數(shù)據(jù)包的能力。
如果攻擊者能夠訪問網(wǎng)絡中媒體傳輸經(jīng)過的部分��,那么只需要簡單地注入大量媒體數(shù)據(jù)包或者高服務質(zhì)量(QoS)優(yōu)先級的數(shù)據(jù)包就可以擾亂合法媒體數(shù)據(jù)包的傳輸�。
- 基于負載的DoS - DoS攻擊并不一定需要利用畸形數(shù)據(jù)包才能達到目的。向目標發(fā)送大量合法請求很容易就會使設計不好的系統(tǒng)癱瘓��。
甚至不需要發(fā)送實際的VoIP請求�,利用TCP SYN Flood這樣的DoS攻擊就可以使設備在相當長的一段時間內(nèi)無法接收呼叫。
實現(xiàn)問題
VoIP涉及大量標準���,如會話初始化協(xié)議(SIP)�����、H.323�、媒體網(wǎng)關(guān)控制協(xié)議(MGCP)和H.248���。這些復雜的標準會由于軟件實現(xiàn)中的缺陷或錯誤而留下漏洞���。對于PSTN,電話是簡單的“啞終端”-
所有邏輯和智能都在PBX中���。對于攻擊者來說���,破壞PSTN網(wǎng)絡的訪問可以使用的手段并不多。
然而對于VoIP����,目前影響操作系統(tǒng)和應用的錯誤、缺陷和漏洞也同樣適用于VoIP設備����。不要忘記,目前許多VoIP呼叫服務器和網(wǎng)關(guān)設備都使用了脆弱的Windows和Linux操作系統(tǒng)����。看看有關(guān)H.323[CERT-H.323]或SIP[CERT
- SIP]的CERT建議就可以了解已經(jīng)發(fā)現(xiàn)如此大量的漏洞以及受到影響的十多家供應商的名單��。
VoIP網(wǎng)絡互操作性和協(xié)議支持
VoIP比基于TCP/UDP的標準應用更為復雜�����。由于VoIP信令和協(xié)議的復雜性���,而且當防火墻利用網(wǎng)絡地址轉(zhuǎn)換(NAT)技術(shù)修改源地址和源端口信息時引入的不一致性��,因此VoIP有效地通過防火墻比較困難����。原因有幾個。
- VoIP工作時采用兩組協(xié)議 - 信令(在客戶和VoIP服務器)和媒體(客戶間)��。每個對話中媒體協(xié)議(RTP/RTCP)所使用的端口/IP地址是由信令協(xié)議動態(tài)協(xié)商的���。防火墻需要動態(tài)跟蹤和維護這一信息��,在適當?shù)臅r候為會話安全地打開所選擇的端口并適時關(guān)閉它們���。
- 多個媒體端口通過信令會話動態(tài)協(xié)商;媒體端口的協(xié)商內(nèi)容包含在信令協(xié)議的凈荷中(IP地址和端口信息)。防火墻需要深入檢測每個數(shù)據(jù)包來獲得所需要的信息并動態(tài)維持會話�����,因此需要防火墻具備額外的處理能力��。
- 源和目標IP地址嵌入在VoIP信令數(shù)據(jù)包中���。支持NAT的防火墻對數(shù)據(jù)包在IP頭一級進行IP地址和端口轉(zhuǎn)換�����。更為不利的是����,全對稱NAT防火墻經(jīng)常調(diào)整其NAT綁定,而且為了保護內(nèi)部網(wǎng)絡��,可能會隨時關(guān)閉允許外部數(shù)據(jù)包進入的針孔通道�,從而使得服務供應商無法向內(nèi)部網(wǎng)絡的客戶發(fā)送呼叫請求����。
- 為有效地支持VoIP,NAT防火墻需要在數(shù)據(jù)包通過防火墻時進行深度數(shù)據(jù)包檢測并轉(zhuǎn)換嵌入的IP地址和端口信息�����。
- 防火墻還必須能夠處理由不同VoIP系統(tǒng)所使用的不同消息格式組成的信令協(xié)議組��。實際上��,兩家供應商采用了同樣的協(xié)議組并不意味著他們之間就可以互操作�。
VoIP供應商互操作性
有些VoIP供應商的產(chǎn)品所實現(xiàn)的協(xié)議與基于RFC的標準VoIP協(xié)議有少量不同,并不是所有都完全符合或兼容標準����。而且,有些供應商采用了所謂“標準兼容的”專用VoIP協(xié)議。由于這一原因��,防火墻能夠與盡量廣泛的VoIP終端設備和呼叫服務器實現(xiàn)互操作就非常重要����。
最后,每家供應商都應當保證與其它供應商的設備是兼容的��。SonicWALL在這方面投入了大量的時間和精力��。SonicWALL設備可互操作的部分設備名單在本文檔后面列出��。
現(xiàn)有VoIP安全性解決方案
目前有多種針對VoIP基礎(chǔ)設施安全保障方法�。下表簡要概述了主要的方法。
SonicWALL解決方法
SonicWALL公司的完全VoIP解決方案為VoIP基礎(chǔ)設施提供了無與倫比的安全性���,基于標準的VoIP兼容性����,以及與全球大多數(shù)主要VoIP網(wǎng)關(guān)和通信設備的互操作性����。
所有SonicWALL TZ 170 和 PRO 系列 (Gen 4) 安全設備都支持本文所描述的全面VoIP安全防護能力。這一點非常重要����,因為VoIP網(wǎng)絡的總體安全性取決于網(wǎng)絡中最脆弱的鏈路�����,這些地方需要最高水平的保護��,甚至在家庭辦公和個人通信設備方面也是如此���。
SonicWALL安全設備基于SonicOS版或增強版固件,具有內(nèi)建的VoIP能力���。利用SonicWALL增強版,用戶可以獲得更多呼叫監(jiān)控和報告功能�,以及更多更全面的服務質(zhì)量(QoS)支持(例如,進入方向帶寬管理)��。
圖 1.
SonicWALL VoIP 解決方法
SonicWALL VoIP解決方案的核心包括以下方面(將在本文后面的章節(jié)詳細描述):
- 在整個VoIP呼叫期間的狀態(tài)數(shù)據(jù)包檢測和變換
- 安全性
- VoIP入侵防御�、防病毒、內(nèi)容過濾
- VoIP over WLAN����,支持全面的威脅預防功能
- 檢測并丟棄畸形惡意數(shù)據(jù)包
- 強制‘封閉’VoIP網(wǎng)絡 – 防止非授權(quán)呼叫
- 架構(gòu)
- 支持流式媒體和組播應用
- 任意設備組合可以位于任何區(qū)域(H.323 和 SIP 端點、H.323 關(guān)守�、H.323 多點控制單元、SIP代理和重定向服務器)
- 網(wǎng)守和代理可以位于網(wǎng)絡的任何位置,甚至在DMZ區(qū)
- 全對稱NAT
- 豐富的報告
- 呼叫跟蹤
- ‘異���!瘮(shù)據(jù)包日志
- 簡化問題排除和調(diào)試過程
SonicWALL VoIP安全性
SonicWALL公司功能強大的深度檢測技術(shù)為在VoIP基礎(chǔ)設施中的所有點檢測和強化業(yè)務流管理提供了一種靈活的框架���。
VoIP服務器和端點
- 業(yè)務流合法性
對通過防火墻的每個VoIP信令和媒體數(shù)據(jù)包進行狀態(tài)檢測可保證所有業(yè)務流的合法性。對于攻擊者來說��,攻擊所使用的主要方法就是利用特殊編制的數(shù)據(jù)包來窺探和利用軟硬件實現(xiàn)的缺陷��,從而導致目標設備出現(xiàn)緩沖區(qū)溢出等問題���。SonicWALL能夠在奇異或非法數(shù)據(jù)包到達目標之前檢測到它們并將其丟棄�。
- 對VoIP協(xié)議的應用層保護
SonicWALL入侵檢測服務(IPS)能夠為VoIP協(xié)議應用層提供全面保護�。IPS集成了一個可配置的超高性能掃描引擎,配合動態(tài)更新和擁有1900多攻擊和漏洞簽名的數(shù)據(jù)庫����,可以保護網(wǎng)絡免受最復雜的木馬和變形威脅的影響。SonicWALL已經(jīng)利用一系列VoIP相關(guān)的簽名來擴展其IPS簽名數(shù)據(jù)包���,可以防止惡意業(yè)務流到達受保護的VoIP電話和服務器�����。
Figure 2 SonicWALL IPS GUI
- DoS 和 DDoS攻擊保護
防止DoS和DDoS攻擊����,如SYN Flood、Ping of Death以及LAND(IP)攻擊���。這些攻擊會造成網(wǎng)絡或服務癱瘓�。
- 驗證采用TCO的VoIP信令數(shù)據(jù)包的順序��。不允許失序或在窗口外重傳的數(shù)據(jù)包��。
- 在每一TCP會話中采用隨機TCP順序號(在連接建立時由加密隨機數(shù)生成器生成)并驗證數(shù)據(jù)流�����,防止重放和數(shù)據(jù)插入攻擊�。
- SYN Flood保護保證了攻擊者無法通過打開多個TCP/IP連接(并未完全建立 – 通常是采用欺騙源地址)來使服務器過載�。
- 狀態(tài)監(jiān)控
狀態(tài)監(jiān)控保證數(shù)據(jù)包(即使表面上看起來正確)符合目前所關(guān)聯(lián)的VoIP連接的狀態(tài)。
- SonicWALL防病毒
SonicWALL防病毒產(chǎn)品保護軟電話客戶免受基于病毒的威脅���,同時自動強制應用病毒定義DAT文件���。這大大縮短了整個網(wǎng)絡的防病毒策略管理所需要的時間��,并降低了成本�����。
VoIP會話
- 無縫支持加密媒體
一些VoIP設備可以利用加密來保護VoIP會話期間交換的媒體數(shù)據(jù)�����,防止竊聽和重放���。
- 強認證和加密
SonicWALL公司的點到點(site-to-site)和遠程移動用戶IPSec VPN經(jīng)過了ICSA認證,為遠程用戶��、遠程辦公人員和分支機構(gòu)訪問網(wǎng)絡資源提供了經(jīng)濟可靠和安全的遠程訪問通道���。配置健壯的認證服務�����,可以利用公共密鑰基礎(chǔ)設施(PKI)和數(shù)字證書為因特網(wǎng)VPN用戶提供強大的認證機制����。
為保護不支持加密媒體傳輸?shù)腣oIP設備�����,IPSec VPN提供了完全的解決方案,可保證VoIP呼叫的私密性���。
VoIP網(wǎng)絡
- 無線局域網(wǎng)上的VoIP ( VoIP over WLAN)
SonicWALL利用其分布式無線解決方案將完全的VoIP安全性擴展到附屬的無線網(wǎng)絡��。無論是利用內(nèi)置802.11無線功能的TZ 170系列����,還是配合使用PRO系列設備和SonicPoint
802.11a/b/g智能接入點�����,利用無線網(wǎng)絡的VoIP設備可以擁有與SonicWALL設備后面有線網(wǎng)絡上的VoIP設備一樣的所有安全特性和優(yōu)點�。
- 通過帶寬管理保證可用性和呼叫質(zhì)量
帶寬管理(包括入和出兩個方向)可保證時間敏感的VoIP業(yè)務流所需要的帶寬。通過連續(xù)監(jiān)控和管理可用的帶寬�,SonicWALL可以保證VoIP設備享有呼叫所需要的帶寬。
- WAN冗余和負載平衡
WAN冗余和負載平衡允許利用一個接口做為輔助或備份WAN端口���。輔助WAN端口可采用簡單的主/被(active/passive)設置,僅在主WAN端口故障和/或不可用時業(yè)務流才會路由到這個端口�。輔助WAN端口還可采用更為動態(tài)的(active/active)配置,出口業(yè)務流被分配到主和輔WAN端口�,以提供更大的吞吐能力�����。
- 高可用性
SonicWALL硬件故障切換能力可在系統(tǒng)故障時保證可靠連接的連接��,從而保障了高可用性�����。
ChinaByte(e.chinabyte.com)
相關(guān)鏈接: