張慧博 張鐵君 孫永堅(jiān)

1 吉林大學(xué)通信工程學(xué)院 吉林 130012

2 吉林大學(xué)珠海學(xué)院 廣東 519041

0 引言

VoIP是目前互聯(lián)網(wǎng)應(yīng)用領(lǐng)域的一個(gè)熱門話題，VoIP技術(shù)使得基于類似 Internet這樣的數(shù)據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)電話業(yè)務(wù)成為可能。與傳統(tǒng)電話業(yè)務(wù)相比，這種實(shí)現(xiàn)模式能夠提供更多的集成功能、更高的通信帶寬、更穩(wěn)定的通信質(zhì)量以及更靈活的管理能力，突出的優(yōu)勢是顯著降低通信成本。企業(yè)部署VoIP系統(tǒng)，首先要制定安全策略。安全策略要為VoIP提供基本的指導(dǎo)方針。它的責(zé)任是在實(shí)施VoIP系統(tǒng)時(shí)建立一個(gè)安全的防御體系，制定原則是確保安全策略不會(huì)與企業(yè)的發(fā)展目標(biāo)和實(shí)際活動(dòng)相抵觸。

1 依法保障網(wǎng)絡(luò)信息安全

自1994年互聯(lián)網(wǎng)正式引入我國以來，經(jīng)過十幾年快速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為了我國重要的社會(huì)基礎(chǔ)設(shè)施，為促進(jìn)經(jīng)濟(jì)社會(huì)更好更快的發(fā)展起到了推動(dòng)作用。但是，同其他國家一樣，我國互聯(lián)網(wǎng)始終面臨著黑客攻擊、網(wǎng)絡(luò)病毒泛濫等違法犯罪活動(dòng)的嚴(yán)重威脅。網(wǎng)絡(luò)欺詐、垃圾郵件、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒等，正時(shí)刻威脅著網(wǎng)絡(luò)信息的安全，損害了人們對互聯(lián)網(wǎng)的信心，危害到現(xiàn)實(shí)世界的正常秩序和社會(huì)和諧。據(jù)有關(guān)數(shù)據(jù)統(tǒng)計(jì)，僅2009年我國被境外控制的計(jì)算機(jī)IP地址就達(dá)100多萬個(gè)，被黑客組織篡改的網(wǎng)站多達(dá)4.2萬個(gè)；在受網(wǎng)絡(luò)病毒威脅方面，去年我國僅被“飛客”蠕蟲這一種網(wǎng)絡(luò)病毒感染的計(jì)算機(jī)數(shù)量就達(dá)每月 1800萬臺。在上述受攻擊的計(jì)算機(jī)中，不僅涉及大量網(wǎng)絡(luò)用戶，而且涉及金融、交通、能源、通信等多個(gè)部門，對我國經(jīng)濟(jì)發(fā)展和人民正常生產(chǎn)生活造成了嚴(yán)重危害。可以說互聯(lián)網(wǎng)安全問題是一個(gè)全球性問題。因此，應(yīng)切實(shí)采取措施，依法保障網(wǎng)絡(luò)信息安全，使網(wǎng)絡(luò)信息的流動(dòng)既安全可靠又通暢有序，為互聯(lián)網(wǎng)的健康發(fā)展創(chuàng)造有利條件。

2 構(gòu)建多層次安全對策

VoIP所面臨的安全威脅是原有互聯(lián)網(wǎng)絡(luò)部分安全漏洞的繼承，也是由其協(xié)議和標(biāo)準(zhǔn)的開放特性決定的。伴隨著VoIP的發(fā)展和普及，其安全問題顯得尤為重要，為了保護(hù)VoIP系統(tǒng)的安全，為用戶提供可靠的語音通迅環(huán)境，應(yīng)在黑客可能突破的攻擊路線上盡可能多的設(shè)防，用多層次方法保護(hù)VoIP的安全。

2.1 實(shí)現(xiàn)語音與數(shù)據(jù)分離

要建立一個(gè)安全的VoIP網(wǎng)絡(luò)，有效的方法之一就是將其從現(xiàn)有的數(shù)據(jù)網(wǎng)絡(luò)中獨(dú)立出來。這樣黑客對數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行的攻擊將不會(huì)影響到VoIP系統(tǒng)。眾所周知，基于IEEE801.1q的VLAN常用于提高數(shù)據(jù)的帶寬利用率和安全性。VLAN本身的功能還可以將其內(nèi)部的一個(gè)物理網(wǎng)絡(luò)分成許多個(gè)獨(dú)立的邏輯子網(wǎng)，這樣一來，可以依據(jù)具體應(yīng)用或部門使用范圍將它們分散到各自獨(dú)立的網(wǎng)絡(luò)中去。

2.2 部署防火墻

邊界保護(hù)手段通常采用防火墻技術(shù)，傳統(tǒng)的防火墻僅僅是為數(shù)據(jù)應(yīng)用設(shè)計(jì)的。語音會(huì)話、視頻會(huì)議中會(huì)使用一串UDP和TCP包，它們還有復(fù)雜的呼叫機(jī)制。一個(gè)傳統(tǒng)的防火墻很可能不適合 VoIP網(wǎng)絡(luò)，這就需要帶有深度包檢測(Deep Packet Inspection, DPI)功能的防火墻。

2.3 設(shè)置入侵防御系統(tǒng)

如果攻擊者獲得了網(wǎng)絡(luò)訪問權(quán)，從VoIP內(nèi)部發(fā)動(dòng)攻擊，無疑對VoIP是個(gè)極大的威脅。譬如說，利用SIP，發(fā)送大量的“注冊”請求會(huì)導(dǎo)致服務(wù)器無力處理請求。入侵防護(hù)系統(tǒng)可以解決從內(nèi)部發(fā)動(dòng)攻擊這個(gè)問題，入侵檢測系統(tǒng)能理解SIP，可以檢測這些攻擊。一款好的IPS(Intrusion Prevention System )還能夠防止基于SIP的中間人攻擊，以免通過另一個(gè)設(shè)備改變流量傳輸方向。

2.4 對數(shù)據(jù)包進(jìn)行加密和認(rèn)證

對 VoIP數(shù)據(jù)包進(jìn)行加密和認(rèn)證可以有效地防止通話受到監(jiān)聽。IETF RFC 2401定義的安全性IP(IPSec)是常用的安全協(xié)議，它提供了加密和認(rèn)證功能，可以有效的防止分組數(shù)據(jù)包遭受攻擊、竊聽和篡改，為IP網(wǎng)絡(luò)通信提供安全服務(wù)。IPSec協(xié)議由一組協(xié)議組成，其中包括AH、ESP、IKE及加密和驗(yàn)證算法。ESP的作用是確保IP數(shù)據(jù)包的機(jī)密性 、數(shù)據(jù)的完整性及對數(shù)據(jù)源的身份驗(yàn)證。此外，它還要完成對網(wǎng)絡(luò)攻擊的抵抗。每一個(gè)IPSec節(jié)點(diǎn)都包含有一個(gè)安全策略庫(SPD)。SPD決定了整個(gè)VPN的安全需求。在SPD這個(gè)數(shù)據(jù)庫中，每個(gè)條目都定義了要保護(hù)的是何種通信類型、何種保護(hù)形式，以及和誰共享這種保護(hù)。IPSec系統(tǒng)在處理輸入/輸出IP流時(shí)必須參考該策略庫，并根據(jù)從SPD中提取的策略對IP流采取不同的處理方法。

TLS保護(hù)VoIP會(huì)話也是非常重要的，TLS使用的是數(shù)字簽名和公共密鑰加密，這樣每一個(gè)端點(diǎn)都有一個(gè)可信任的、由權(quán)威 CA認(rèn)證的簽名。用 SRTP可以使用“安全RTP(SRTP)”來對應(yīng)用層的介質(zhì)進(jìn)行加密。安全RTP是IETF傳輸加密話音的標(biāo)準(zhǔn)。RFC 3711定義了SRTP，它可以提供信息認(rèn)證、機(jī)密性、回放保護(hù)、阻止對RTP數(shù)據(jù)流的拒絕服務(wù)式攻擊等安全機(jī)制。SRTP只用于話音分組，由于其只加密有效負(fù)荷，因此，非常適宜話音和視頻數(shù)據(jù)庫的傳輸。

另外，網(wǎng)關(guān)是數(shù)據(jù)進(jìn)出VoIP網(wǎng)絡(luò)的門戶，保護(hù)好VoIP網(wǎng)關(guān)也是關(guān)鍵所在。

3 制定多方位安全策略

用戶使用VoIP時(shí)，使用用戶和設(shè)備認(rèn)證機(jī)制確認(rèn)使用者的身份是十分必要的，可以有效限制非法用戶對 VoIP發(fā)起的攻擊。IP電話設(shè)備的認(rèn)證方法之一是利用MAC地址。如果當(dāng)MAC地址未知的終端試圖進(jìn)入呼叫處理器，而且又不知道IP電話的MAC地址時(shí)，注冊就會(huì)失敗。這種設(shè)置能防止攻擊者將電話非法接到網(wǎng)絡(luò)中，進(jìn)一步發(fā)動(dòng)攻擊。身份認(rèn)證也是H.323中重要的安全機(jī)制，確定終端用戶的身份，是整個(gè)安全機(jī)制的基礎(chǔ)。除此以外，建議制定多方位的安全策略來進(jìn)一步提供VoIP安全保證。

3.1 阻擋式拒絕服務(wù)攻擊

入侵檢測系統(tǒng)對檢測“拒絕服務(wù)”攻擊十分有效。另外，VoIP阻擋“拒絕服務(wù)”攻擊的常用方法是：在網(wǎng)絡(luò)上建立一個(gè)過濾器或嗅探器，在信息到達(dá)VoIP服務(wù)器之前阻擋信息。如果過濾器偵察到的某項(xiàng)可疑的攻擊行動(dòng)經(jīng)常出現(xiàn)，它便能接受指示，阻擋包含可疑信息的行動(dòng)，讓VoIP服務(wù)器的對外連接線路保持暢通。此外，還應(yīng)經(jīng)常掃描檢查系統(tǒng)，解決系統(tǒng)存在的漏洞。

3.2 防止病毒傳播

入侵檢測、防火墻等常用的防范措施對于保護(hù)IP語音免受病毒侵害也具有顯著效果。另外，防止病毒傳播，可采取以下措施：

(1) 加強(qiáng)網(wǎng)絡(luò)管理員安全管理水平，提高安全意識。由于病毒和蠕蟲通常利用系統(tǒng)漏洞進(jìn)行攻擊，所以需要在第一時(shí)間內(nèi)保持系統(tǒng)和應(yīng)用軟件的安全性，及時(shí)進(jìn)行各種操作系統(tǒng)和應(yīng)用軟件的更新。

(2) 建立病毒檢測系統(tǒng)。在服務(wù)器和電腦上安裝防病毒軟件，使其能夠在第一時(shí)間內(nèi)檢測到網(wǎng)絡(luò)異常和病毒攻擊。

(3) 建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險(xiǎn)降低到最小。由于病毒和蠕蟲爆發(fā)的突然性，在病毒被發(fā)現(xiàn)的時(shí)候可能已經(jīng)蔓延到了整個(gè)網(wǎng)絡(luò)，所以在突發(fā)情況下，建立一個(gè)緊急響應(yīng)系統(tǒng)是很有必要的，在病毒爆發(fā)的第一時(shí)間即能提供解決方案。

(4) 建立備份系統(tǒng)。對于VoIP的數(shù)據(jù)庫和數(shù)據(jù)系統(tǒng)，必須采用定期備份、多機(jī)備份措施，防止意外災(zāi)難下系統(tǒng)失效和話費(fèi)數(shù)據(jù)丟失。

(5) 對于企事業(yè)網(wǎng)絡(luò)而言，可以采用以下一些主要手段：

① 在互聯(lián)網(wǎng)接入口處安裝防火墻，將病毒隔離在局域網(wǎng)之外；

② 對郵件服務(wù)器進(jìn)行監(jiān)控，防止帶毒的郵件進(jìn)行傳播；

③ 建立局域網(wǎng)內(nèi)部的升級系統(tǒng)，包括各種操作系統(tǒng)的補(bǔ)丁升級，各種常用應(yīng)用軟件升級，各種殺毒軟件病毒庫的升級等等；

④ 對局域網(wǎng)用戶進(jìn)行安全教育與培訓(xùn)。

3.3 主動(dòng)實(shí)施安全掃描

可以通過各種安全掃描軟件對系統(tǒng)進(jìn)行體檢，迅速找到安全漏洞并及時(shí)修復(fù)。目前，有多種軟件可以對設(shè)備進(jìn)行掃描，檢查系統(tǒng)的弱點(diǎn)并生成報(bào)表。

3.4 有效實(shí)現(xiàn)訪問控制

訪問控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕可以由類似于源地址、目的地址、端口號等特定指示條件來決定。盡管可以將語音與數(shù)據(jù)在網(wǎng)絡(luò)中分段，但在VoIP系統(tǒng)中還有許多設(shè)備需要橫跨語音網(wǎng)和數(shù)據(jù)網(wǎng)，如呼叫處理器、網(wǎng)關(guān)、注冊服務(wù)器等。路由器和三層交換機(jī)可以實(shí)現(xiàn)跨語音與數(shù)據(jù)VLAN的互相訪問。為了降低風(fēng)險(xiǎn)，需要通過訪問控制列表 ACL來控制它們之間的流量，設(shè)置不同VLAN間乃至不同IP地址的設(shè)備對于不同網(wǎng)絡(luò)服務(wù)的訪問權(quán)限。不允許純數(shù)據(jù)流量去訪問呼叫處理器、注冊管理器等，只允許IP電話流量進(jìn)入呼叫處理器。用戶還可以利用出站訪問控制限制來自網(wǎng)絡(luò)內(nèi)部的流量。這種控制可以防止內(nèi)部主機(jī)發(fā)送ICMP流量，只允許有效的源地址包離開網(wǎng)絡(luò)。這有助于防止IP地址欺騙，減小黑客利用用戶系統(tǒng)攻擊另一站點(diǎn)的可能性。

3.5 建立網(wǎng)管

以上介紹的是對于一般網(wǎng)絡(luò)所采取的安全策略，另外還可以采取其他的一些安全策略來加強(qiáng)VoIP網(wǎng)絡(luò)的安全。

加強(qiáng)網(wǎng)絡(luò)連通性的保護(hù)(可以采取加強(qiáng)網(wǎng)絡(luò)中路由和交換機(jī)上的保護(hù)、對線路和信令認(rèn)證和加密、建立 VPN通道來保護(hù)語音等措施)、加強(qiáng)語音服務(wù)器的保護(hù)、提高網(wǎng)絡(luò)的可靠性、建立集中的事件記錄、建立網(wǎng)管系統(tǒng)、建立網(wǎng)絡(luò)安全檢測系統(tǒng)、定期檢查和測試、采取H.235協(xié)議等都可以加強(qiáng)VoIP網(wǎng)絡(luò)的安全性。

4 結(jié)束語

在IP網(wǎng)絡(luò)上實(shí)施寬帶電話的安全功能，運(yùn)營商需要在不同的網(wǎng)絡(luò)層次開發(fā)和實(shí)施各種安全措施，如認(rèn)證、加密、防火墻等。由于黑客的無孔不入，消除所有的安全威脅是不可能的，但可以采取適用的安全步驟，如:盡量降低網(wǎng)絡(luò)暴露，以減少拒絕服務(wù)(DoS)攻擊；加密VoIP流量以防止 VoIP呼叫受到監(jiān)聽，并力爭早日實(shí)現(xiàn)VoIP端到端的加密措施。此外，實(shí)現(xiàn)寬帶電話安全，不僅可以從技術(shù)方面采取措施，也可以依靠強(qiáng)有力的管制政策來獲得幫助。

[1] 張丹,任斐,趙闊,張園園,劉曉博,任維武,胡亮.基于 SVM 的在線無監(jiān)督入侵檢測系統(tǒng)[J].吉林大學(xué)學(xué)報(bào)(理學(xué)版).2009.

[2] 宋秀紅,肖宗水,魏本見.基于SIP的VoIP網(wǎng)絡(luò)中DoS攻擊的分析與研究計(jì)算機(jī)工程與設(shè)計(jì)[J].2008.

[3] 戚建勛.VoIP安全問題和解決方案.中國新通信[J].2007.

[4] 呂雪.公安邊防網(wǎng)中 VoIP網(wǎng)絡(luò)安全多層次保護(hù)措施的探討[J].公安海警高等?？茖W(xué)校學(xué)報(bào).2007.

[5] 趙長林.用25種方法來打造VoIP的網(wǎng)絡(luò)安全[J].VoIP IT專家網(wǎng):2007.

[6] 姚玉坤,劉合武.基于 H.323協(xié)議的 VoIP安全問題探討[J].電信工程技術(shù)與標(biāo)準(zhǔn)化.2007.