您的位置: 网界网 > 周报全文 > 正文

[周报全文]评估IP电话的安全性

2004年07月26日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:评估IP电话的安全性

标签

    评估IP电话的安全性

    您的IP电话网络能抵御黑客攻击吗?答案是:基本上能。测试的结果也证明了这一点。不过,IP电话系统是否安全在很大程度上取决于您使用谁家的IP PBX,更重要的是,也要看您是否愿意在安全规划、网络与人力资源以及额外的安全设备上投入时间和资金。

    前不久,美国《网络世界》做了有史以来第一次针对IP电话安全性的公开测试。测试者制定了一套评估方案,组成了攻击小组,考察厂商的IP电话系统是否可以抵御恶意攻击。尽管测试者邀请了VoIP市场份额前5名的厂商参加,但只有Cisco和Avaya勇敢地接受了挑战,此次主要介绍Cisco的测试情况。

    Cisco提供的“最大安全性”VoIP配置是一个中等规模的基于CallManager的系统,具有呼叫控制、语音邮件和网关功能。采用Catalyst 4500和6500作为2/3层传输设备,还包含灵敏的入侵检测系统(IDS)和PIX防火墙安全附件,以及6位为本次测试提供支持的安全专家。经过测试,Cisco赢得了最高评价:“安全”(评价标准见VoIP安全等级表)。攻击小组在经过3天的尝试后,不能中断甚至干扰Cisco的电话运行。

    基本测试规则给攻击4人小组提出了一些限制。例如,只能使用可在Internet上可以得到的黑客工具和攻击手段等限制。

    攻击的目的是破坏电话通信。攻击小组通过数据和IP电话连接,利用扫描工具和其他技术,查看并了解网络拓扑结构。攻击小组事先不知道厂商的配置,在辨别和确定“目标”后,这些黑客系统地发动许多攻击,有时同时发动组合攻击。

    鉴于基本测试规则的限制以及测试的持续时间,需要指出的是,针对这些产品发动的攻击可能不如在实际环境中遇到的攻击那么厉害。攻击小组的几位安全专家称,这些攻击属于中等强度的攻击。

    像岩石一样坚固

    Cisco证明它可以建立一个连经验丰富的黑客攻击小组都不能破坏、甚至显著干扰的VoIP网络。这个IP电话产品套件利用了Cisco兵工厂中的每一种防御武器。包括:两台独立的PIX防火墙; 安装在骨干Catalyst 6500中的防火墙模块和IDS模块。还有一个完全独立的带外管理子网和多种安全管理应用。

    防火墙提供了一些非常有用的高级安全特性。其中之一是提出了信任端与不可信端的概念,不可信端接口总是指向黑客一方。另一特性是对协议状态的理解,它只允许特定VoIP协议,并且VoIP的请求和响应只有在适当方向上才能通过。测试过程中还使用到了其他一些防火墙特性,包括:

    ● VoIP呼叫控制的状态检测,网络地址转换和透传呼叫控制数据流的能力。

    ●TCP截取,以确保TCP连接的完成。这可以防止某些针对CallManager的拒绝服务(DoS)攻击。

    ●对安全Skinny呼叫控制协议(安全SCCP)的支持。安全SCCP是Cisco用在VoIP网络中的专有SCCP的更新、更安全的形式。安全SCCP对呼叫控制信息进行加密。

    CallManager

    CallManager 4.0负责处理呼叫控制,它是Cisco IP电话产品套件的核心。它包括一些新的与安全有关的特性,其中最关键的特性是该公司的第一个VoIP加密功能。目前,只有Cisco的新型7970 IP电话机上才支持语音流加密。这款最新的CallManager在安全上得到了进一步的加强,它采用Windows 2000操作系统,关闭了不必要的服务和端口。

    Catalyst IOS版本包含多种自我防御特性。在测试中,核心Catalyst 6500上使用IOS 12.2(17b)sxa,在接入Catalyst 4500上使用IOS 12.1(20)ew。由于这些自我防御功能是第一道防线,因此它们在挫败攻击小组的攻击过程中发挥的作用比其他任何部件都要大。这些自我防御功能包括:

    ● 流量监管和承诺接入速率,它们非常成功地抵御了DoS攻击。

    ● 2层端口安全性,用于限制端口上MAC地址的数量。

    ● 2层DHCP嗅探,用于防止DHCP耗尽攻击。

    ● DHCP检测,用于阻止ARP投毒(poisoning)和ARP欺骗攻击。

    ● IP源防护,防止冒名攻击。

    ● VLAN访问控制列表,限制可抵达IP电话的数据流。

    Cisco安全代理是一个基于主机的入侵防御系统,现在是CallManager IP电话服务器中不可分割的安全组件。它还安装在Cisco的Unity语音邮件服务器和所有其他部署在Cisco网络上的Windows 2000服务器中。安全代理自动运行,它在服务器上提供了一些功能强大的安全保护措施,包括:

    ● 缓冲区溢出保护。

    ● 预防网络蠕虫和特洛伊木马(未测试)。

    ● 防止非授权应用的运行。

    ● 防止syn洪泛攻击。

    ● 端口扫描检测。

    攻击小组没有造成能够感觉到的电话通信的中断。测试者只对Cisco IP电话系统中的两处稍有些担心。

    首先,攻击小组可以轻松地在IP电话机连接中插入被动嗅探器。他们可以借此观察和采集数据流的所有详细信息—协议、地址,甚至捕获RTP。RTP运行在UDP之上,用来传送语音样本。不过(+微信关注网络世界),流入/流出Cisco 7970电话的VoIP数据流可以用128位密码加密。攻击小组很快承认解密这些数据流毫无希望。

    其次,在掌握了利用插入的嗅探器采集到的网络信息后,黑客可以接入自己的计算机,访问语音VLAN,并向此VLAN上的其他设备发送数据。不过,他们不能假冒IP电话或IP电话呼叫。在采用了其他各种控制措施的情况下,他们不能更进一步地利用本系统。

    跨多层和多种平台协调管理有效的安全性并非易事。尽管Cisco安全专家进行了现场调试、监测和配置,测试者仍发现了配置问题。比如,一个易受攻击的服务被误留了下来,运行在一个节点上。虽然此类问题很快得到了纠正,但这说明即便是最周密的安全计划也会因配置不当而受到影响。(未完待续) ■

VoIP安全等级表
总评攻击小组可以造成的最大影响
安全对语音服务没有造成能感觉到的破坏。
有抵抗力只有轻微的、暂时的干扰。
易受攻击通过复杂或组合攻击,电话服务可被长时间中断。
开放通过比较简单的攻击,电话服务可被有效地、无限期地中断。
不安全影响所有用户的电话系统或服务可被容易地和无限期地停止工作。

    VoIP安全测试基本规则

    为了对所有厂商的产品进行一致性测试,采用了以下基本规则:

    1、厂商对IP电话系统和网络基础设施具有完全的控制权:决定包括哪些产品以及如何配置。

    2、模拟中等规模的、纯本地的VoIP环境(园区或楼宇)。不能有穿越WAN的VoIP流量。

    3、完成设置后,IP电话和第2/3层数据网络功能(如从PSTN呼出/呼入正常的IP电话)不能因为安全设置而受到限制。

    4、完成设置后,厂商不能主动地操作或重新配置他们的网络,但他们可以被动地监测安全报警/报警日志。

    5、将从以下地点发动攻击:

     a. 利用“工作间”的数据LAN接口,攻击者可以合法地接入(如通过有效的MAC地址)。

     b. 利用“工作间”的IP电话。攻击者有权使用这部电话,包括将电话背部的“数据交换端口”用于 PC。这

     是典型的“内部攻击”情形。

    6、所有的攻击都必须基于在Internet上公开的工具和 攻击,不能使用新编写的攻击或其他定制的攻击。

    7、攻击者不能获得或解剖厂商的IP电话硬件。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]