隨著VoIP部署的數(shù)量和規(guī)模不斷增長和擴(kuò)大���,其安全性問題也日漸浮出水面���。目前��,對于VoIP安全威脅的探討似乎理論多于實(shí)踐��。但是�����,少數(shù)的案例卻在為企業(yè)敲響警鐘�,例如���,2006年����,調(diào)查人員逮捕了兩個(gè)被指控潛入某未命名公司的網(wǎng)絡(luò)�,劫取他們的VoIP帶寬并轉(zhuǎn)手販賣的嫌疑人。
在一份研究報(bào)告中�,In-Stat的分析師預(yù)言商業(yè)IP電話的銷售量將會(huì)從2006年的990萬增長到2010年的4580萬���。在調(diào)查中發(fā)現(xiàn)�,至今仍有超過40%的企業(yè)并沒有為他們的VoIP部署制定任何安全保護(hù)計(jì)劃�。
在很多情況下,處理VoIP安全問題需要用戶能夠運(yùn)用因特網(wǎng)的舊規(guī)則���,畢竟�����,VoIP系統(tǒng)是易于受到攻擊的�����。
技術(shù)現(xiàn)場:H.323 協(xié)議簡介
通俗地說�����,VoIP技術(shù)就是通過把語音包封裝在IP包中��,然后進(jìn)行IP數(shù)據(jù)包的轉(zhuǎn)發(fā),也就是基于IP承載網(wǎng)絡(luò)的語音傳輸技術(shù)��。隨著寬帶技術(shù)的迅猛發(fā)展及網(wǎng)絡(luò)的普及��,VoIP的應(yīng)用范圍也越來越廣�����。
目前應(yīng)用的VoIP協(xié)議主要有H.323�、SIP、MGCP、SCCP協(xié)議等����,其中SCCP協(xié)議是CISCO私有的協(xié)議。H.323技術(shù)發(fā)展的較早且運(yùn)營范圍比較廣�,是比較成熟的一種VOIP技術(shù)。H.323協(xié)議更應(yīng)理解成一種框架性的協(xié)議���,因?yàn)槠鋮f(xié)議部分涉及了H.225.0 RAS����、H.225.0呼叫控制����、H.245、H.235安全�、H.450.X補(bǔ)充服務(wù)、RTP/RTCP協(xié)議等�����。H.323協(xié)議中的基本元素是Gatekeeper(GK)��、MC���、 MP��、MCU����、Gateway(網(wǎng)關(guān))�、 Terminal。
H.225.0 RAS主要完成終端向Gatekeeper注冊���,呼叫許可查詢����,狀態(tài)信息查詢�;H.225.0呼叫控制主要完成終端與終端之間的呼叫的建立(建立與刪除);H.245主要用來完成通信雙方能力協(xié)商���,命令以及指示信息��,打開/關(guān)閉邏輯信道等功能���;RTP主要是用延時(shí)比較小的UDP來封裝媒體流,并且封裝的UDP報(bào)文的端口號為偶數(shù)�����;RTCP則是用來評估會(huì)話和連接質(zhì)量,為通信雙方提供反饋信息��,RTCP的端口號為奇數(shù)����,一般與RTP的端口號成對出現(xiàn)。
所有被一個(gè)Gatekeeper(GK)管理的MCU����、Terminal、Gateway的集合體稱為域��,在一個(gè)域中只能有一個(gè)Gatekeeper��。Gatekeeper的管理功能主要體現(xiàn)在為終端���、網(wǎng)關(guān)�����、MCU提供地址翻譯�、接入管理�、帶寬管理等功能�����。網(wǎng)關(guān)主要為H.323終端與電路交換網(wǎng)絡(luò)中的終端提供實(shí)時(shí)通信;MCU主要為三個(gè)或三個(gè)以上的終端或網(wǎng)關(guān)參與的多方會(huì)議進(jìn)行控制����。
H.245是基于TCP協(xié)議的;H.225.0的RAS部分是基于UDP的�����,H.225.0的呼叫控制部分是基于TCP的����。對于基于TCP的H.245及H.225.0呼叫控制部分分別采用保留的端口號1720及1719,媒體流則是基于UDP的RTP流�����。
深度分析 H.323攻擊類型及危害
由于VoIP技術(shù)只是利用IP進(jìn)行語音數(shù)據(jù)包的封裝�����,所以IP網(wǎng)絡(luò)的安全問題在VoIP技術(shù)中同樣會(huì)遇到�。隨著越來越多的SOFTPHONE應(yīng)用于H.323的VoIP網(wǎng)絡(luò)中�,PC面對的安全隱患同樣帶給了VoIP����。這就意味著H.323面臨著越來越嚴(yán)峻的安全問題,蠕蟲����、木馬病毒、DOS攻擊等也會(huì)開始涉及到H.323網(wǎng)絡(luò)中����。同時(shí),由于IP承載網(wǎng)固有的開放性及對其缺乏有效的管理����,一定程度上造成了網(wǎng)絡(luò)上的安全問題。這樣一來����,原來在傳統(tǒng)的PSTN的可以安全傳輸?shù)恼Z音服務(wù),在IP網(wǎng)絡(luò)中就面臨著安全問題的考驗(yàn)�。
對于H.323的安全攻擊主要包括以下幾個(gè)方面:
1.拒絕服務(wù)攻擊(DOS)/分布式拒絕服務(wù)攻擊(DDOS)
由于H.225.0/Q.931是基于TCP的,并且端口是開放的�,所以對于H.323的節(jié)點(diǎn)可以進(jìn)行SYN-flood攻擊,導(dǎo)致通信中斷無法提供正常服務(wù)����。同時(shí)H.323中的RAS(注冊����、許可�、狀態(tài))信令是基于UDP的��,UDP-flood也會(huì)造成DOS/DDOS攻擊����,導(dǎo)致設(shè)備無法處理正常的連接的建立,從而無法進(jìn)行正常的通信�����。ICMP-flood攻擊同樣也會(huì)導(dǎo)致系統(tǒng)無法處理正常的數(shù)據(jù)包�����。
2.信息竊取
非法用戶可以通過竊取相關(guān)數(shù)據(jù)信息來得到合法用戶的注冊信息及登錄密碼等相關(guān)服務(wù)信息�����,這樣就可以對合法用戶注冊服務(wù)進(jìn)行偽造�,從而可以使一些終端設(shè)備進(jìn)行相關(guān)服務(wù)的免費(fèi)使用����。這會(huì)造成服務(wù)提供商經(jīng)濟(jì)上的損失���,同時(shí)也會(huì)造成合法用戶的經(jīng)濟(jì)上的損失����。
3.信令協(xié)議修改
黑客可以通過一些網(wǎng)絡(luò)監(jiān)聽器來截取H.323的信令的信息����,并且對其進(jìn)行相關(guān)內(nèi)容的修改,包括協(xié)議信息����、目的地址等。使H.323呼叫不能正常使用����。可以對正常的呼叫進(jìn)行跟蹤�����,或是對其進(jìn)行相應(yīng)的呼叫轉(zhuǎn)移進(jìn)行竊聽。
4.通信內(nèi)容的非法監(jiān)聽
H.323的RTP/RTCP媒體流是基于UDP的����,會(huì)造成DOS/DDOS攻擊使雙方不能正常通信,同時(shí)可以通過進(jìn)行網(wǎng)絡(luò)竊聽來進(jìn)行通信雙方通信內(nèi)容的竊聽����。
5.操作系統(tǒng)攻擊
許多呼叫處理部分是基于操作系統(tǒng)(例如Gatekeeper)或操作系統(tǒng)組件的,這樣一來就存在很大的安全隱患��。許多攻擊者可以通過掃描探測出操作系統(tǒng)類型�����,從而進(jìn)行相應(yīng)的DOS攻擊或是其它攻擊�,最終導(dǎo)致系統(tǒng)崩潰重啟等�����。
安全應(yīng)對:防火墻對于H.323防攻擊檢測
由于H.323技術(shù)中的信令部分及媒體流部分分別基于TCP及UDP���,攻擊報(bào)文就有可能存在于網(wǎng)絡(luò)層�����、傳輸層及應(yīng)用層��。這就需要支持VOIP中H.323的防攻擊檢測的防火墻可以工作在網(wǎng)絡(luò)層��、傳輸層及應(yīng)用層�����,以完成對于報(bào)文的解析���。由于一些DOS/DDOS攻擊運(yùn)行在網(wǎng)絡(luò)層/傳輸層����,而防火墻的syn-cookie����、syn-proxy技術(shù)可以解決syn-flood這樣的DOS攻擊,其它的防攻擊技術(shù)可以有效地阻止icmp-flood��、land-attack����、teardrop attack等攻擊。由于H.323是利用IP進(jìn)行轉(zhuǎn)發(fā)的�,一些VPN技術(shù),如Ipsec等,在一定程度上可以解決一定的安全問題�。
為了對付各種針對于H.323協(xié)議漏洞的攻擊,就需要防火墻更加智能高效的完成對于應(yīng)用層報(bào)文的深度解析�����。但是應(yīng)用層是極其復(fù)雜的��,而且H.323協(xié)議的實(shí)現(xiàn)存在一定的私有性�,各個(gè)廠家實(shí)現(xiàn)的方式不同或者是有一部分的私有擴(kuò)展。這就導(dǎo)致了有可能不同廠家的實(shí)現(xiàn)方式不兼容�,并且對于同一廠商的不同終端實(shí)現(xiàn)的方式也有可能有所不同。這樣一來對于可以進(jìn)行H.323防攻擊檢測的防火墻來說��,支持這些H.323的專有協(xié)議及其私有的擴(kuò)展就十分的必要�����。但是要想支持所有廠家的專有的H.323協(xié)議也并非易事���,或者說是不太可能的事情,其工程太過于龐大�,維護(hù)起來也需要大量的人力。針對某個(gè)廠家的專有的H.323協(xié)議的支持還是可行的����,對于其它不支持可以選擇過濾掉或是進(jìn)行IP轉(zhuǎn)發(fā)����。
在H.323協(xié)議中��,H.245及H.225.0中的信令呼叫部分采用保留的端口號1720及1719�����。但是RTP中的UDP端口號是隨機(jī)協(xié)商出來的����,是無法事先預(yù)知的,因此無法根據(jù)對于信令部分檢測來判斷RTP的數(shù)據(jù)包是否是攻擊報(bào)文�����。
一般來說防火墻都會(huì)具有NAT功能��,如果內(nèi)部向外面撥打電話����,或者是向外面的GK進(jìn)行注冊的時(shí)候會(huì)在一些注冊信息,或者在一些信令信息中交互帶有內(nèi)部地址的信息�����。而在NAT中并不會(huì)理會(huì)這些信息中的IP地址或者是端口號信息,這就會(huì)造成內(nèi)部地址在通話建立時(shí)沒有被轉(zhuǎn)換�。
同時(shí),語音報(bào)對于延時(shí)是非常敏感的�����,這也就要求防火墻在對于語音報(bào)進(jìn)行防攻擊檢測的時(shí)候不能引起整個(gè)網(wǎng)絡(luò)的太大的延時(shí)��。針對上述情況����,傳統(tǒng)防火墻的做法是為H.323封包靜態(tài)地打開一段連續(xù)的節(jié)點(diǎn),來支持H.323封包的穿越及檢測�,但這樣同樣也為黑客開了后門使系統(tǒng)容易受到攻擊。如果能動(dòng)態(tài)地檢測H.323封包(信令包及媒體流)���,將會(huì)極大地提高H.323網(wǎng)絡(luò)的安全性�。
除了增加防火墻來檢測黑客攻擊外�����,如果H.323通信產(chǎn)品自身可以支持一系列安全功能�,提供多層次安全性的話,對所面臨的安全性問題則是一個(gè)極大的改善�。如在終端設(shè)備上支持802.1X身份認(rèn)證,在終端設(shè)備之間及終端設(shè)備及服務(wù)器之間采用加密技術(shù)�,來加密彼此之間的通話;在一些應(yīng)用服務(wù)器中采用硬件化版本的Linux操作系統(tǒng)��,降低其對于病毒���、蠕蟲��、木馬及其它攻擊的敏感性�����,這就能更好地協(xié)助防火墻來保障H.323網(wǎng)絡(luò)的安全����。
