作者简介:陆耀光

　　sonicwall大中华区销售总经理

　　陆耀光加入sonicwall已有4年时间。作为大中华区销售总经理，陆耀光负责本地区的总体业务开发工作，包括制定销售和市场战略以及管理技术团队。陆耀光成功地将sonicwall在本地区的业务发展到数百万美元，同时在中国树立起sonicwall的品牌形象。

　　加入sonicwall之前，陆耀光担任朗讯科技公司的地区销售经理，负责企业市场数据网络销售工作。在朗讯之前，陆耀光担任3com公司的销售经理。陆耀光在it行业有10多年的销售和市场经验，特别专注于数据网络和数据安全技术。

　　陆耀光毕业于香港理工大学，获得电子工程学位。

　　摘要:本文讨论了与安全voip网络部署相关的问题和复杂性，然后详细介绍了sonicwall公司的完全voip解决方案。

　　内容

　　1)与voip和网络安全性相关的问题

　　2)现有voip安全性解决方案

　　摘要

　　对于希望通过采用网络电话(voip)技术来降低通信成本的企业来说，语音和数据融合的网络相关的安全风险不容忽视。通话费用的降低、集中管理和快速部署等好处显而易见，因此voip安全性和网络完整性方面的问题经常被忽略。

　　在voip网络中，有大量的目标会受到潜在的威胁，呼叫服务器以及相应的操作系统、voip电话及软件，甚至voip电话呼叫本身都容易受到攻击。

　　本文讨论了与安全voip网络部署相关的问题和复杂性，然后详细介绍了sonicwall公司的完全voip解决方案，特别是sonicwall创新的状态数据包变换技术。

　　与voip和网络安全性相关的问题

　　在voip网络中，防火墙*的传统角色正在发生本质上的变革。过去，防火墙在voip环境中不影响voip的使用就可以了。因为voip要求因特网上基于ip的资源是可预测的、静态可用的，但防火墙的网络地址转换(nat)功能给voip网络带来了障碍。通过“pin-holing”和其它技术，安全供应商已经找到了适应voip基础设施、保证互操作的方法。

　　然而，随着网络威胁越来越复杂，防火墙在voip环境中的角色也从“保证通畅”演化为全面支持和保护整个基础设施。从ip电话、软电话和无线通信设备等最终用户终端，到h.323关守和sip代理服务器等基础设施设备，企业范围的voip部署涉及范围越来越宽。简单拒绝服务(dos)攻击的目的是影响ip语音基础设施的可用性，而全面的应用层攻击则主要针对voip协议本身。总之，威胁的确存在，并且在不断增长。

　　对于成功的voip实施，有三个关键因素必须考虑:

　　·voip安全性

　　·voip网络互操作性和协议支持

　　·voip供应商互操作性

　　下面的章节讨论了这几个方面。

　　*在本文中，“防火墙”一词用来指任何为voip网络提供外围安全功能的安全设备。实际上，现代安全设备已经超过了状态检查防火墙，采用深度数据包检测技术大大增强了安全能力。

　　voip安全性

　　voip安全性包括许多方面，但对于任何部署都必须考虑的主要因素包括接入、可用性和实现。

　　接入

　　voip呼叫容易受到会话劫持和中间人攻击。没有适当的安全措施，攻击者可以截取voip呼叫并修改呼叫参数/地址。这就为电话欺骗、身份窃取、呼叫重定向和其它攻击打开了大门。

　　即使不修改voip数据包，攻击者也可以窃听到通过voip网络传输的电话交谈。如果voip数据包无保护地通过因特网传输，攻击者就有机会获得所包含的信息。

　　对于标准的公共交换电话网络(pstn)连接，截取对话需要物理上接触电话线或者小型交换机(pbx)。但对于通常是通过公共因特网和tcp/ip协议传输的话音/数据网络来说，并没有提供类似电话线的“物理线路”安全性。通过在网络基础设施的某些部分(如voip网关的出入口)访问和监视网络业务流，攻击者可以获取并重组voip数据包。利用公开可以获得的工具，如vomit()，可以将这些数据包转换为.wav文件，这样攻击者就可以窃听，甚至录制并重放通话内容。

　　可用性

　　voip网络的可用性也是一个重要问题。pstn网络的可用性达到99.999% - 攻击者要想影响其可用性必须物理上访问电话交换机或切断电话线。然而，对于没有保护的voip网络，针对关键点的简单拒绝服务(dos)攻击就可以削弱或者中断话音和数据通信。

　　voip网络对于dos攻击特别敏感，例如:

　　·畸形请求dos - 可以利用精心编制的协议请求来利用已知的漏洞，从而导致服务部分或全部中断。可以利用这种方法导致目标崩溃，也可以用来控制目标。

　　·针对媒体的dos - voip媒体由实时协议(rtp)数据包承载，因此容易受到攻击。例如，网络阻塞型攻击，或者是削弱或破坏终端设备(电话或网关)实时处理数据包的能力。

　　如果攻击者能够访问网络中媒体传输经过的部分，那么只需要简单地注入大量媒体数据包或者高服务质量(qos)优先级的数据包就可以扰乱合法媒体数据包的传输。

　　·基于负载的dos - dos攻击并不一定需要利用畸形数据包才能达到目的。向目标发送大量合法请求很容易就会使设计不好的系统瘫痪。

　　甚至不需要发送实际的voip请求，利用tcp syn flood这样的dos攻击就可以使设备在相当长的一段时间内无法接收呼叫。

　　实现问题

　　voip涉及大量标准，如会话初始化协议(sip)、h.323、媒体网关控制协议(mgcp)和h.248。这些复杂的标准会由于软件实现中的缺陷或错误而留下漏洞。对于pstn，电话是简单的“哑终端”- 所有逻辑和智能都在pbx中。对于攻击者来说，破坏pstn网络的访问可以使用的手段并不多。

　　然而对于voip，目前影响操作系统和应用的错误、缺陷和漏洞也同样适用于voip设备。不要忘记，目前许多voip呼叫服务器和网关设备都使用了脆弱的windows和linux操作系统。看看有关h.323[cert-h.323]或sip[cert - sip]的cert建议就可以了解已经发现如此大量的漏洞以及受到影响的十多家供应商的名单。

　　voip网络互操作性和协议支持

　　voip比基于tcp/udp的标准应用更为复杂。由于voip信令和协议的复杂性，而且当防火墙利用网络地址转换(nat)技术修改源地址和源端口信息时引入的不一致性，因此voip有效地通过防火墙比较困难。原因有几个。

　　·voip工作时采用两组协议 - 信令(在客户和voip服务器)和媒体(客户间)。每个对话中媒体协议(rtp/rtcp)所使用的端口/ip地址是由信令协议动态协商的。防火墙需要动态跟踪和维护这一信息，在适当的时候为会话安全地打开所选择的端口并适时关闭它们。