VoIP基本安全對策的研究

張慧博 張鐵君 孫永堅

1 吉林大學(xué)通信工程學(xué)院 吉林 130012

2 吉林大學(xué)珠海學(xué)院 廣東 519041

0 引言

VoIP是目前互聯(lián)網(wǎng)應(yīng)用領(lǐng)域的一個熱門話題，VoIP技術(shù)使得基于類似 Internet這樣的數(shù)據(jù)網(wǎng)絡(luò)實現(xiàn)電話業(yè)務(wù)成為可能。與傳統(tǒng)電話業(yè)務(wù)相比，這種實現(xiàn)模式能夠提供更多的集成功能、更高的通信帶寬、更穩(wěn)定的通信質(zhì)量以及更靈活的管理能力，突出的優(yōu)勢是顯著降低通信成本。企業(yè)部署VoIP系統(tǒng)，首先要制定安全策略。安全策略要為VoIP提供基本的指導(dǎo)方針。它的責(zé)任是在實施VoIP系統(tǒng)時建立一個安全的防御體系，制定原則是確保安全策略不會與企業(yè)的發(fā)展目標(biāo)和實際活動相抵觸。

1 依法保障網(wǎng)絡(luò)信息安全

自1994年互聯(lián)網(wǎng)正式引入我國以來，經(jīng)過十幾年快速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為了我國重要的社會基礎(chǔ)設(shè)施，為促進經(jīng)濟社會更好更快的發(fā)展起到了推動作用。但是，同其他國家一樣，我國互聯(lián)網(wǎng)始終面臨著黑客攻擊、網(wǎng)絡(luò)病毒泛濫等違法犯罪活動的嚴(yán)重威脅。網(wǎng)絡(luò)欺詐、垃圾郵件、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒等，正時刻威脅著網(wǎng)絡(luò)信息的安全，損害了人們對互聯(lián)網(wǎng)的信心，危害到現(xiàn)實世界的正常秩序和社會和諧。據(jù)有關(guān)數(shù)據(jù)統(tǒng)計，僅2009年我國被境外控制的計算機IP地址就達100多萬個，被黑客組織篡改的網(wǎng)站多達4.2萬個；在受網(wǎng)絡(luò)病毒威脅方面，去年我國僅被“飛客”蠕蟲這一種網(wǎng)絡(luò)病毒感染的計算機數(shù)量就達每月 1800萬臺。在上述受攻擊的計算機中，不僅涉及大量網(wǎng)絡(luò)用戶，而且涉及金融、交通、能源、通信等多個部門，對我國經(jīng)濟發(fā)展和人民正常生產(chǎn)生活造成了嚴(yán)重危害。可以說互聯(lián)網(wǎng)安全問題是一個全球性問題。因此，應(yīng)切實采取措施，依法保障網(wǎng)絡(luò)信息安全，使網(wǎng)絡(luò)信息的流動既安全可靠又通暢有序，為互聯(lián)網(wǎng)的健康發(fā)展創(chuàng)造有利條件。

2 構(gòu)建多層次安全對策

VoIP所面臨的安全威脅是原有互聯(lián)網(wǎng)絡(luò)部分安全漏洞的繼承，也是由其協(xié)議和標(biāo)準(zhǔn)的開放特性決定的。伴隨著VoIP的發(fā)展和普及，其安全問題顯得尤為重要，為了保護VoIP系統(tǒng)的安全，為用戶提供可靠的語音通迅環(huán)境，應(yīng)在黑客可能突破的攻擊路線上盡可能多的設(shè)防，用多層次方法保護VoIP的安全。

2.1 實現(xiàn)語音與數(shù)據(jù)分離

要建立一個安全的VoIP網(wǎng)絡(luò)，有效的方法之一就是將其從現(xiàn)有的數(shù)據(jù)網(wǎng)絡(luò)中獨立出來。這樣黑客對數(shù)據(jù)網(wǎng)絡(luò)進行的攻擊將不會影響到VoIP系統(tǒng)。眾所周知，基于IEEE801.1q的VLAN常用于提高數(shù)據(jù)的帶寬利用率和安全性。VLAN本身的功能還可以將其內(nèi)部的一個物理網(wǎng)絡(luò)分成許多個獨立的邏輯子網(wǎng)，這樣一來，可以依據(jù)具體應(yīng)用或部門使用范圍將它們分散到各自獨立的網(wǎng)絡(luò)中去。

2.2 部署防火墻

邊界保護手段通常采用防火墻技術(shù)，傳統(tǒng)的防火墻僅僅是為數(shù)據(jù)應(yīng)用設(shè)計的。語音會話、視頻會議中會使用一串UDP和TCP包，它們還有復(fù)雜的呼叫機制。一個傳統(tǒng)的防火墻很可能不適合 VoIP網(wǎng)絡(luò)，這就需要帶有深度包檢測(Deep Packet Inspection, DPI)功能的防火墻。

2.3 設(shè)置入侵防御系統(tǒng)

如果攻擊者獲得了網(wǎng)絡(luò)訪問權(quán)，從VoIP內(nèi)部發(fā)動攻擊，無疑對VoIP是個極大的威脅。譬如說，利用SIP，發(fā)送大量的“注冊”請求會導(dǎo)致服務(wù)器無力處理請求。入侵防護系統(tǒng)可以解決從內(nèi)部發(fā)動攻擊這個問題，入侵檢測系統(tǒng)能理解SIP，可以檢測這些攻擊。一款好的IPS(Intrusion Prevention System )還能夠防止基于SIP的中間人攻擊，以免通過另一個設(shè)備改變流量傳輸方向。

2.4 對數(shù)據(jù)包進行加密和認證

對 VoIP數(shù)據(jù)包進行加密和認證可以有效地防止通話受到監(jiān)聽。IETF RFC 2401定義的安全性IP(IPSec)是常用的安全協(xié)議，它提供了加密和認證功能，可以有效的防止分組數(shù)據(jù)包遭受攻擊、竊聽和篡改，為IP網(wǎng)絡(luò)通信提供安全服務(wù)。IPSec協(xié)議由一組協(xié)議組成，其中包括AH、ESP、IKE及加密和驗證算法。ESP的作用是確保IP數(shù)據(jù)包的機密性 、數(shù)據(jù)的完整性及對數(shù)據(jù)源的身份驗證。此外，它還要完成對網(wǎng)絡(luò)攻擊的抵抗。每一個IPSec節(jié)點都包含有一個安全策略庫(SPD)。SPD決定了整個VPN的安全需求。在SPD這個數(shù)據(jù)庫中，每個條目都定義了要保護的是何種通信類型、何種保護形式，以及和誰共享這種保護。IPSec系統(tǒng)在處理輸入/輸出IP流時必須參考該策略庫，并根據(jù)從SPD中提取的策略對IP流采取不同的處理方法。

TLS保護VoIP會話也是非常重要的，TLS使用的是數(shù)字簽名和公共密鑰加密，這樣每一個端點都有一個可信任的、由權(quán)威 CA認證的簽名。用 SRTP可以使用“安全RTP(SRTP)”來對應(yīng)用層的介質(zhì)進行加密。安全RTP是IETF傳輸加密話音的標(biāo)準(zhǔn)。RFC 3711定義了SRTP，它可以提供信息認證、機密性、回放保護、阻止對RTP數(shù)據(jù)流的拒絕服務(wù)式攻擊等安全機制。SRTP只用于話音分組，由于其只加密有效負荷，因此，非常適宜話音和視頻數(shù)據(jù)庫的傳輸。

另外，網(wǎng)關(guān)是數(shù)據(jù)進出VoIP網(wǎng)絡(luò)的門戶，保護好VoIP網(wǎng)關(guān)也是關(guān)鍵所在。

3 制定多方位安全策略

用戶使用VoIP時，使用用戶和設(shè)備認證機制確認使用者的身份是十分必要的，可以有效限制非法用戶對 VoIP發(fā)起的攻擊。IP電話設(shè)備的認證方法之一是利用MAC地址。如果當(dāng)MAC地址未知的終端試圖進入呼叫處理器，而且又不知道IP電話的MAC地址時，注冊就會失敗。這種設(shè)置能防止攻擊者將電話非法接到網(wǎng)絡(luò)中，進一步發(fā)動攻擊。身份認證也是H.323中重要的安全機制，確定終端用戶的身份，是整個安全機制的基礎(chǔ)。除此以外，建議制定多方位的安全策略來進一步提供VoIP安全保證。

3.1 阻擋式拒絕服務(wù)攻擊

入侵檢測系統(tǒng)對檢測“拒絕服務(wù)”攻擊十分有效。另外，VoIP阻擋“拒絕服務(wù)”攻擊的常用方法是：在網(wǎng)絡(luò)上建立一個過濾器或嗅探器，在信息到達VoIP服務(wù)器之前阻擋信息。如果過濾器偵察到的某項可疑的攻擊行動經(jīng)常出現(xiàn)，它便能接受指示，阻擋包含可疑信息的行動，讓VoIP服務(wù)器的對外連接線路保持暢通。此外，還應(yīng)經(jīng)常掃描檢查系統(tǒng)，解決系統(tǒng)存在的漏洞。

3.2 防止病毒傳播

入侵檢測、防火墻等常用的防范措施對于保護IP語音免受病毒侵害也具有顯著效果。另外，防止病毒傳播，可采取以下措施：

(1) 加強網(wǎng)絡(luò)管理員安全管理水平，提高安全意識。由于病毒和蠕蟲通常利用系統(tǒng)漏洞進行攻擊，所以需要在第一時間內(nèi)保持系統(tǒng)和應(yīng)用軟件的安全性，及時進行各種操作系統(tǒng)和應(yīng)用軟件的更新。

(2) 建立病毒檢測系統(tǒng)。在服務(wù)器和電腦上安裝防病毒軟件，使其能夠在第一時間內(nèi)檢測到網(wǎng)絡(luò)異常和病毒攻擊。

(3) 建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險降低到最小。由于病毒和蠕蟲爆發(fā)的突然性，在病毒被發(fā)現(xiàn)的時候可能已經(jīng)蔓延到了整個網(wǎng)絡(luò)，所以在突發(fā)情況下，建立一個緊急響應(yīng)系統(tǒng)是很有必要的，在病毒爆發(fā)的第一時間即能提供解決方案。

(4) 建立備份系統(tǒng)。對于VoIP的數(shù)據(jù)庫和數(shù)據(jù)系統(tǒng)，必須采用定期備份、多機備份措施，防止意外災(zāi)難下系統(tǒng)失效和話費數(shù)據(jù)丟失。

(5) 對于企事業(yè)網(wǎng)絡(luò)而言，可以采用以下一些主要手段：

① 在互聯(lián)網(wǎng)接入口處安裝防火墻，將病毒隔離在局域網(wǎng)之外；

② 對郵件服務(wù)器進行監(jiān)控，防止帶毒的郵件進行傳播；

③ 建立局域網(wǎng)內(nèi)部的升級系統(tǒng)，包括各種操作系統(tǒng)的補丁升級，各種常用應(yīng)用軟件升級，各種殺毒軟件病毒庫的升級等等；

④ 對局域網(wǎng)用戶進行安全教育與培訓(xùn)。

3.3 主動實施安全掃描

可以通過各種安全掃描軟件對系統(tǒng)進行體檢，迅速找到安全漏洞并及時修復(fù)。目前，有多種軟件可以對設(shè)備進行掃描，檢查系統(tǒng)的弱點并生成報表。

3.4 有效實現(xiàn)訪問控制

訪問控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕可以由類似于源地址、目的地址、端口號等特定指示條件來決定。盡管可以將語音與數(shù)據(jù)在網(wǎng)絡(luò)中分段，但在VoIP系統(tǒng)中還有許多設(shè)備需要橫跨語音網(wǎng)和數(shù)據(jù)網(wǎng)，如呼叫處理器、網(wǎng)關(guān)、注冊服務(wù)器等。路由器和三層交換機可以實現(xiàn)跨語音與數(shù)據(jù)VLAN的互相訪問。為了降低風(fēng)險，需要通過訪問控制列表 ACL來控制它們之間的流量，設(shè)置不同VLAN間乃至不同IP地址的設(shè)備對于不同網(wǎng)絡(luò)服務(wù)的訪問權(quán)限。不允許純數(shù)據(jù)流量去訪問呼叫處理器、注冊管理器等，只允許IP電話流量進入呼叫處理器。用戶還可以利用出站訪問控制限制來自網(wǎng)絡(luò)內(nèi)部的流量。這種控制可以防止內(nèi)部主機發(fā)送ICMP流量，只允許有效的源地址包離開網(wǎng)絡(luò)。這有助于防止IP地址欺騙，減小黑客利用用戶系統(tǒng)攻擊另一站點的可能性。

3.5 建立網(wǎng)管

以上介紹的是對于一般網(wǎng)絡(luò)所采取的安全策略，另外還可以采取其他的一些安全策略來加強VoIP網(wǎng)絡(luò)的安全。

加強網(wǎng)絡(luò)連通性的保護(可以采取加強網(wǎng)絡(luò)中路由和交換機上的保護、對線路和信令認證和加密、建立 VPN通道來保護語音等措施)、加強語音服務(wù)器的保護、提高網(wǎng)絡(luò)的可靠性、建立集中的事件記錄、建立網(wǎng)管系統(tǒng)、建立網(wǎng)絡(luò)安全檢測系統(tǒng)、定期檢查和測試、采取H.235協(xié)議等都可以加強VoIP網(wǎng)絡(luò)的安全性。

4 結(jié)束語

在IP網(wǎng)絡(luò)上實施寬帶電話的安全功能，運營商需要在不同的網(wǎng)絡(luò)層次開發(fā)和實施各種安全措施，如認證、加密、防火墻等。由于黑客的無孔不入，消除所有的安全威脅是不可能的，但可以采取適用的安全步驟，如:盡量降低網(wǎng)絡(luò)暴露，以減少拒絕服務(wù)(DoS)攻擊；加密VoIP流量以防止 VoIP呼叫受到監(jiān)聽，并力爭早日實現(xiàn)VoIP端到端的加密措施。此外，實現(xiàn)寬帶電話安全，不僅可以從技術(shù)方面采取措施，也可以依靠強有力的管制政策來獲得幫助。

[1] 張丹,任斐,趙闊,張園園,劉曉博,任維武,胡亮.基于 SVM 的在線無監(jiān)督入侵檢測系統(tǒng)[J].吉林大學(xué)學(xué)報(理學(xué)版).2009.

[2] 宋秀紅,肖宗水,魏本見.基于SIP的VoIP網(wǎng)絡(luò)中DoS攻擊的分析與研究計算機工程與設(shè)計[J].2008.

[3] 戚建勛.VoIP安全問題和解決方案.中國新通信[J].2007.

[4] 呂雪.公安邊防網(wǎng)中 VoIP網(wǎng)絡(luò)安全多層次保護措施的探討[J].公安海警高等專科學(xué)校學(xué)報.2007.

[5] 趙長林.用25種方法來打造VoIP的網(wǎng)絡(luò)安全[J].VoIP IT專家網(wǎng):2007.

[6] 姚玉坤,劉合武.基于 H.323協(xié)議的 VoIP安全問題探討[J].電信工程技術(shù)與標(biāo)準(zhǔn)化.2007.