VoIP面临的关键风险及其控制对策

VoIP面临的关键风险及其控制对策

谈如何保持语音通信的私密性

IP语音(VoIP)技术正在从汇聚广域网(WAN)服务向企业局域网(LAN)迅速扩展。根据位于美国新泽西州Boonton的市场研究公司Insight Research Corporation所提供的数字，单在美国，IP电话分机数量预计将由2004年的约1400万部增加到2008年的约4500万部，增长3倍以上。

随着装机数量的增加，用户对安全问题的担心也在增加。企业力图采取谨慎措施，防止盗用长途电话服务，并确保语音信箱等语音资源使用的私密性。

目前所采用的系统化保护IP网络安全的综合手段已经保护了大量核心业务应用，而且传统语音行业在保护单独的电路交换PBX系统(即专用分组交换机系统)方面也有很多经验。所以剩下的问题是:我们怎样才能最好地利用两种网络的优势来提供先进的IP通信语音服务，并做到像将要被取代的传统系统所提供的服务一样安全、甚至还要更安全?

识别风险因素

让我们先从识别对语音网络设备和服务构成威胁的因素开始，然后再讨论减少风险的方法。一些风险因素威胁到语音服务本身的可用性、质量以及语音交谈的私密性，而另一些风险因素则把语音网络用作渗透数据网络的一种渠道，因为数据网络通常是对窃贼来说最有价值的所在。

在IP语音环境中，最常见的风险因素包括以下主要类别:

盗用服务或收费欺诈

擅自使用语音信箱等语音资源

以语音设备和基础设施为入口点来破坏数据网络

服务停止或拒绝服务(DoS)以及由此造成生产率损失

对呼叫私密性的侵犯(窃听行为)

以数据网络为例，通过对语音网络设备以多层的、深度防御的方式采用标准网络设计和最佳网络配置，就可以消除大多数风险因素。

在一个IP环境中，前两个风险因素是与在电路交换环境中同样的方式应对的。例如，要防止“黑客”拨打你的PBX网络，然后再退出到一个长途网络，通常只要不允许分机接通外线就可以了。

确保语音通信内容只能被主叫方所联系的人接收非常重要，这样外人就不知道谁在跟谁通信，也就不知道潜在的商业伙伴关系、并购信息、以及保密的研发信息等。

剩余的风险因素，即数据盗用(一种在语音帮助下的网络入侵行为)、拒绝服务、服务质量下降以及窃听等，与共用一个基础设施的语音和数据包紧密相关。针对这些剩余的风险因素的防护措施包括:

语音虚拟局域网(VLANs)或逻辑网络划分

根据地点和用途的不同，停用某些电话上的某些功能

采用应用层防火墙和“接入控制列表”(ACLs)

采用资源限制，来控制DoS(拒绝服务)的进攻

媒介和链路加密

让我们来看看上面的每一种安全措施怎样发挥作用。

美国IP PBX电话分机装机数量(百万)

2004年 2005年 2006年* 2007年* 2008年*

13.6 19.4 26.6 36.3 45.2

资料来源:Insight Research Corporation，新泽西州Boonton

* 预测数字

通过划分网络来降低风险

通过向特定VLANs分配语音流来逻辑划分语音和数据流，是业界普遍接受的一种最好方法。专门的语音设备，应尽可能地限于专用语音VLANs。只有这样才能限制其只与其他语音资源进行通信。思科IP通信安全部高级系统营销经理Roger Farnsworth解释说，更为重要的是，这样可以将语音流与通用数据网络分开，因为在这种网络上语音流可能更容易被截获或动手脚。

Farnsworth解释说:“VLANs可帮助防止恶意设备接入到网络中。VLANs有特定会员标准，加入一个VLAN网络的设备必须满足该标准，才能使其身份通过验证。如果一个VLAN网络是专门为承载语音流而配置的，那么非电话设备肯定会被阻止。”

思科IP通信安全部技术营销工程师Greg Moore说，从DoS角度来看，将语音划分成独立的逻辑VLANs，可减少网络受到攻击的可能性。“黑客”往往编写攻击最流行的软件的病毒，而到目前为止最流行的软件一直是通用数据服务器操作系统。Moore指出:“像思科CallManager服务器这样的呼叫处理设备的职责范围比通用数据服务器的职责范围更有限，所以使语音在逻辑上保持分开，可减少语音受到这些入侵攻击的可能性。”顺便指出，语音VLANs在服务质量(QoS)方面还有很大的附加好处，在一个交换机/路由器队列中，它们的优先级可以被排在数据VLANs前面，从而减少VoIP的延迟。

在建立VLANs时，Farnsworth建议不要使用默认的VLAN地址，这样VLAN数字就不易被“黑客”猜到。他补充说:“处于同样原因，要使用非连续数字编码的VLANs。”

身份验证和IP电话的安全性

一个安全的语音网络的重要构成部分是，通过在呼叫服务器(思科CallManager或CallManager Express)上注册，确认IP电话(电话机和软件电话)是IP电话网络的合法参与者。Farnsworth说:“身份的管理是语音安全的一个关键构成部分。”Moore还建议为IP电话采用一些最好的物理手段，其中之一是停用下游PC在诸如大堂、餐厅、装货处和警卫室等环境中接入网络的电话接口，因为在这些环境中，雇员以外的其他人都有可能进入网络。同样，他还建议在这些公共场合停用通过网络拨打IP电话的功能。

他解释说:“如果你将一部未受保护的电话置于安全威胁之中，你就有可能遭受严重损失。电话上的XML应用采用与Web应用相同的HTTP80端口。”

尽管语音和数据在逻辑上也许是分开的，但80端口对IP电话却可能是打开的，使一个入侵者可以从Web进入电话网络，再从电话网络进入语音网络。他建议:“应编写ACLs，只让XML服务器接入电话，而将通过80端口进行的电话到Web的接入停用。所有这些都可通过思科CallManager进行配置。”
DoS和资源限制

Farnsworth说，利用流量限制和QoS工具也可帮助保护语音网络的安全，使其不会受到DoS攻击和其他类型的包冲击而瘫痪。他解释说，采用限制一个给定协议所能消耗的处理器和链路资源的数量等办法，也能遏制一次DoS攻击所能产生的影响。

Moore补充说，“局域网微流策略器”(LAN Microflow Policing)(思科QoS的一个功能)是根据每个业务流来实施流量控制的，让用户将一个IP地址或一次登录过程限于一定数量的带宽等。这样做可防止来自某一特定的IP源地址的一次攻击消耗超过设定的带宽最大值(这样也就确保了始终为生产业务流留出一些容量)。

另外，一组被称为CIS(Catalyst Integrated Security)的功能在这些攻击发生之前就能将其挫败。这些工具中的一种为“动态ARP检验”(Dynamic ARP Inspection)，它对ARP请求进行观察，看在第2层的结合表中是否有冲突;另一种是“IP源地址保护”(IP Source Guard)，它对第3层进行观察，看是否有冲突。两个功能在Catalyst和“思科IOS软件”操作系统中都有。Moore说，在找到任何这样的冲突时，可通过这些功能丢弃相关的包或封住相关的端口。

接入控制和OS保护

第一代防火墙只针对IP地址信息，并通过与ACLs进行匹配来决定允许或拒绝。然而，应用层的防火墙现在可以检验IP标头(IP Headers)中接口层和第7层应用信息，从而对信息流是否的确合法做出更可靠的判定。

因为VoIP信号协议经常能跨越很多端口，所以应用层防火墙等有必要跟踪登录过程，并根据需要打开和关闭端口，而不是让一系列端口都打开，使它们有可能受到入侵者的攻击。然后，防火墙和相关的ACLs必须为VoIP进行独特配置，以便让信号传递在IP话机或软件电话等设备，与思科CallManager 或 CallManager Express呼叫服务器之间进行(对于流应用，信号传递是在IP话机或软件电话与“实时传递协议”(RTP)媒介服务器之间进行)。而且，某些应用系统是专为VoIP设计的，如思科的Attendant Console自动呼叫路由应用和“网络拨号器”(Web Dialer) “点击拨叫”(click-to-dial)应用。这些应用系统所使用的第4层端口必须为已知端口，并且通过配置得到穿过防火墙的授权。

任何一种网络安全的最佳实践都要求操作系统采用最新的补丁。而且，用“思科安全代理”软件所进行的基于主机的入侵防护和采用几种形式的基于网络的入侵探测和防护，可帮助保护服务器上的操作系统和保护网络的完整性。目前，思科CallManager、思科联系中心、以及思科Unity 主机操作系统都已配备正确配置的“思科安全代理”软件版本。

信息流截获和媒介加密

Moore介绍，截获信息流并不容易。他说:“如果我们所介绍的其他所有安全层都受到了保护，那么就不是人人都需要加密。”然而，传输媒介和链路加密是一些机构所要求的另一层保护措施。

思科能够利用“安全实时协议”(SRTP)在IP电话之间进行端到端的加密。专为语音包设计的SRTP支持“先进加密标准”(AES)，是一个IETF(Internet Engineering Task Force)标准(RFC 3711)。采用SRTP进行的媒介加密比IPSec带宽效率更高，是对等候时间敏感的VoIP传输需要考虑的一个重要问题。

思科支持在一系列思科IP电话上进行的媒介加密，包括思科IP电话7940G、7960G和 7970G。这些电话还支持行业标准的X.509数字认证，能够验证终端设备是否加密，而不用靠人工输入加密关键数据，更方便进行大规模升级。

媒介加密功能在一系列思科媒介网关上也能实现，包括思科1800、2800和3800系列“集成服务路由器”。除了支持SRTP媒介加密外，这些思科网关产品还支持利用IPSec对呼叫设置信息进行加密。

通过加密保护隐私，还可利用“思科Unity统一信息发布系统”的安全的、私密的信息发布功能应用于语音信息。信息可被标注为私密的和安全的，这样，只有想让接到的接收者才能解密和听取这些信息。

勇敢面对挑战

IP电话的装机数量现在正在快速增加，使企业面临新的风险。但这些风险并不是无法控制的，了解这些风险是进行成功防卫的第一步。而且，由于IP电话服务与IP数据基础设施的互动性，设计整个网络范围的安全防卫框架和防卫策略是关键。保护数据网络的措施中有很多也是保护语音网络所必需采取的;同样，电路交换语音网络所面临的风险中有很多在IP网络中也需要加以控制。

因此，划分语音VLANs、配置采用可感知应用的防火墙和可感知语音的ACLs、限制公共场所电话上的某些功能、以及对隐私内容进行加密等等，是保持语音网络正常运行，并防止其成为盗用和破坏企业数据资源的渠道所应当采取的措施。