【voip技术—voip中国】 本文讨论了与安全VoIP网络部署相关的问题和复杂性，然后详细介绍了SonicWALL公司的完全VoIP解决方案。

　　作者简介:陆耀光

　　SonicWALL大中华区销售总经理

　　陆耀光加入SonicWALL已有4年时间。作为大中华区销售总经理，陆耀光负责本地区的总体业务开发工作，包括制定销售和市场战略以及管理技术团队。陆耀光成功地将SonicWALL在本地区的业务发展到数百万美元，同时在中国树立起SonicWALL的品牌形象。

　　加入SonicWALL之前，陆耀光担任朗讯科技公司的地区销售经理，负责企业市场数据网络销售工作。在朗讯之前，陆耀光担任3Com公司的销售经理。陆耀光在IT行业有10多年的销售和市场经验，特别专注于数据网络和数据安全技术。

　　陆耀光毕业于香港理工大学，获得电子工程学位。



　　摘要:本文讨论了与安全VoIP网络部署相关的问题和复杂性，然后详细介绍了SonicWALL公司的完全VoIP解决方案。

　　内容

　　1)与VoIP和网络安全性相关的问题

　　2)现有VoIP安全性解决方案

　　摘要

　　对于希望通过采用网络电话(VoIP)技术来降低通信成本的企业来说，语音和数据融合的网络相关的安全风险不容忽视。通话费用的降低、集中管理和快速部署等好处显而易见，因此VoIP安全性和网络完整性方面的问题经常被忽略。

　　在VoIP网络中，有大量的目标会受到潜在的威胁，呼叫服务器以及相应的操作系统、VoIP电话及软件，甚至VoIP电话呼叫本身都容易受到攻击。

　　本文讨论了与安全VoIP网络部署相关的问题和复杂性，然后详细介绍了SonicWALL公司的完全VoIP解决方案，特别是SonicWALL创新的状态数据包变换技术。

　　与VoIP和网络安全性相关的问题

　　在VoIP网络中，防火墙*的传统角色正在发生本质上的变革。过去，防火墙在VoIP环境中不影响VoIP的使用就可以了。因为VoIP要求因特网上基于IP的资源是可预测的、静态可用的，但防火墙的网络地址转换(NAT)功能给VoIP网络带来了障碍。通过“pin-holing”和其它技术，安全供应商已经找到了适应VoIP基础设施、保证互操作的方法。

　　然而，随着网络威胁越来越复杂，防火墙在VoIP环境中的角色也从“保证通畅”演化为全面支持和保护整个基础设施。从IP电话、软电话和无线通信设备等最终用户终端，到H.323关守和SIP代理服务器等基础设施设备，企业范围的VoIP部署涉及范围越来越宽。简单拒绝服务(DoS)攻击的目的是影响IP语音基础设施的可用性，而全面的应用层攻击则主要针对VoIP协议本身。总之，威胁的确存在，并且在不断增长。

　　对于成功的VoIP实施，有三个关键因素必须考虑:

　　·VoIP安全性

　　·VoIP网络互操作性和协议支持

　　·VoIP供应商互操作性

　　下面的章节讨论了这几个方面。

　　*在本文中，“防火墙”一词用来指任何为VoIP网络提供外围安全功能的安全设备。实际上，现代安全设备已经超过了状态检查防火墙，采用深度数据包检测技术大大增强了安全能力。

　　VoIP安全性

　　VoIP安全性包括许多方面，但对于任何部署都必须考虑的主要因素包括接入、可用性和实现。

　　接入

　　VoIP呼叫容易受到会话劫持和中间人攻击。没有适当的安全措施，攻击者可以截取VoIP呼叫并修改呼叫参数/地址。这就为电话欺骗、身份窃取、呼叫重定向和其它攻击打开了大门。

　　即使不修改VoIP数据包，攻击者也可以窃听到通过VoIP网络传输的电话交谈。如果VoIP数据包无保护地通过因特网传输，攻击者就有机会获得所包含的信息。

　　对于标准的公共交换电话网络(PSTN)连接，截取对话需要物理上接触电话线或者小型交换机(PBX)。但对于通常是通过公共因特网和TCP/IP协议传输的话音/数据网络来说，并没有提供类似电话线的“物理线路”安全性。通过在网络基础设施的某些部分(如VoIP网关的出入口)访问和监视网络业务流，攻击者可以获取并重组VoIP数据包。利用公开可以获得的工具，如Vomit(http://vomit.xtdnet.nl)，可以将这些数据包转换为.wav文件，这样攻击者就可以窃听，甚至录制并重放通话内容。

　　可用性

　　VoIP网络的可用性也是一个重要问题。PSTN网络的可用性达到99.999% - 攻击者要想影响其可用性必须物理上访问电话交换机或切断电话线。然而，对于没有保护的VoIP网络，针对关键点的简单拒绝服务(DoS)攻击就可以削弱或者中断话音和数据通信。

　　VoIP网络对于DoS攻击特别敏感，例如:

　　·畸形请求DoS - 可以利用精心编制的协议请求来利用已知的漏洞，从而导致服务部分或全部中断。可以利用这种方法导致目标崩溃，也可以用来控制目标。

　　·针对媒体的DoS - VoIP媒体由实时协议(RTP)数据包承载，因此容易受到攻击。例如，网络阻塞型攻击，或者是削弱或破坏终端设备(电话或网关)实时处理数据包的能力。

　　如果攻击者能够访问网络中媒体传输经过的部分，那么只需要简单地注入大量媒体数据包或者高服务质量(QoS)优先级的数据包就可以扰乱合法媒体数据包的传输。

　　·基于负载的DoS - DoS攻击并不一定需要利用畸形数据包才能达到目的。向目标发送大量合法请求很容易就会使设计不好的系统瘫痪。

　　甚至不需要发送实际的VoIP请求，利用TCP SYN Flood这样的DoS攻击就可以使设备在相当长的一段时间内无法接收呼叫。

　　实现问题

　　VoIP涉及大量标准，如会话初始化协议(SIP)、H.323、媒体网关控制协议(MGCP)和H.248。这些复杂的标准会由于软件实现中的缺陷或错误而留下漏洞。对于PSTN，电话是简单的“哑终端”- 所有逻辑和智能都在PBX中。对于攻击者来说，破坏PSTN网络的访问可以使用的手段并不多。

　　然而对于VoIP，目前影响操作系统和应用的错误、缺陷和漏洞也同样适用于VoIP设备。不要忘记，目前许多VoIP呼叫服务器和网关设备都使用了脆弱的Windows和Linux操作系统。看看有关H.323[CERT-H.323]或SIP[CERT - SIP]的CERT建议就可以了解已经发现如此大量的漏洞以及受到影响的十多家供应商的名单。

　　VoIP网络互操作性和协议支持

　　VoIP比基于TCP/UDP的标准应用更为复杂。由于VoIP信令和协议的复杂性，而且当防火墙利用网络地址转换(NAT)技术修改源地址和源端口信息时引入的不一致性，因此VoIP有效地通过防火墙比较困难。原因有几个。

　　·VoIP工作时采用两组协议 - 信令(在客户和VoIP服务器)和媒体(客户间)。每个对话中媒体协议(RTP/RTCP)所使用的端口/IP地址是由信令协议动态协商的。防火墙需要动态跟踪和维护这一信息，在适当的时候为会话安全地打开所选择的端口并适时关闭它们。

　　·多个媒体端口通过信令会话动态协商;媒体端口的协商内容包含在信令协议的净荷中(IP地址和端口信息)。防火墙需要深入检测每个数据包来获得所需要的信息并动态维持会话，因此需要防火墙具备额外的处理能力。

　　·源和目标IP地址嵌入在VoIP信令数据包中。支持NAT的防火墙对数据包在IP头一级进行IP地址和端口转换。更为不利的是，全对称NAT防火墙经常调整其NAT绑定，而且为了保护内部网络，可能会随时关闭允许外部数据包进入的针孔通道，从而使得服务供应商无法向内部网络的客户发送呼叫请求。

　　·为有效地支持VoIP，NAT防火墙需要在数据包通过防火墙时进行深度数据包检测并转换嵌入的IP地址和端口信息。

　　·防火墙还必须能够处理由不同VoIP系统所使用的不同消息格式组成的信令协议组。实际上，两家供应商采用了同样的协议组并不意味着他们之间就可以互操作。

　　VoIP供应商互操作性

　　有些VoIP供应商的产品所实现的协议与基于RFC的标准VoIP协议有少量不同，并不是所有都完全符合或兼容标准。而且，有些供应商采用了所谓“标准兼容的”专用VoIP协议。由于这一原因，防火墙能够与尽量广泛的VoIP终端设备和呼叫服务器实现互操作就非常重要。

　　最后，每家供应商都应当保证与其它供应商的设备是兼容的。SonicWALL在这方面投入了大量的时间和精力。SonicWALL设备可互操作的部分设备名单在本文档后面列出。

　　现有VoIP安全性解决方案

　　目前有多种针对VoIP基础设施安全保障方法。下表简要概述了主要的方法。

　　SonicWALL解决方法

　　SonicWALL公司的完全VoIP解决方案为VoIP基础设施提供了非常好的安全性，基于标准的VoIP兼容性，以及与全球大多数主要VoIP网关和通信设备的互操作性。

　　所有SonicWALL TZ 170 和 PRO 系列 (Gen 4) 安全设备都支持本文所描述的全面VoIP安全防护能力。这一点非常重要，因为VoIP网络的总体安全性取决于网络中最脆弱的链路，这些地方需要最高水平的保护，甚至在家庭办公和个人通信设备方面也是如此。

　　SonicWALL安全设备基于SonicOS版或增强版固件，具有内建的VoIP能力。利用SonicWALL增强版，用户可以获得更多呼叫监控和报告功能，以及更多更全面的服务质量(QoS)支持(例如，进入方向带宽管理)。

转载地址:http://www.voipchina.cn/technology/2005-06-03/41774.shtml