论文部分内容阅读
摘要:VoIP(Voice over IP)是建立在Internet基礎上的一种语音应用,首先研究和分析了VOIP应用过程中存在的主要安全威胁,并且针对这些安全威胁提出了一系列的解决方法和技术,通过对这些技术的合理应用可以增强VOIP应用的安全性。
关键词:VOIP;防火墙;STUN;入侵防护系统
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)32-1091-02
Reserch and Implementation of Security Technologies on VOIP System
ZHAO Jing
(Department of Computer and Electronics Engineering,University of Shanghai for Science and Technology,Shanghai 200093,China)
Abstract: In this article an analysis is made of the existing security concerns in VOIP system,then a series of methods and technologies are provided to protect VOIP application.In this way,the security of VOIP system will be enhanced.
Key words: VOIP; firewall; STUN; IPS
1 引言
VoIP也称为网络电话,它是在IP网络上通过TCP/IP协议实现的一种语音应用,这种应用包括PC对PC连接、PC对电话连接、电话对电话连接等。目前,全球市场包括中国已有相当大的一部分语音业务通过IP来传送,随着VoIP的广泛普及和应用,加强VoIP系统的安全性显得日益紧迫。
2 VoIP基本原理及技术
IP电话是建立在IP技术上的分组化、数字化传输技术,它将普通电话的模拟信号转换成可以在因特网上传送的IP数据包,同时也将收到的IP数据包转换成声音的模拟电信号,其基本原理是:通过语音压缩算法对语音数据进行压缩编码处理,然后把这些语音数据按IP等相关协议进行打包,经过IP网络把数据包传输到目的端,再把这些语音数据包组装起来,经过解码解压处理后,恢复成原来的语音信号,从而达到由IP网络传送语音的目的。
3 VoIP系统面临的安全威胁
下面分析一下VOIP系统可能面临的安全威胁,大致可以分为以下几类。
3.1 常规威胁
由于VoIP基于可同时承载语音、数据等的统一IP网络架构,语音和数据网络的融合增加了网络被攻击的风险,对数据网络的各种攻击手段都会出现在语音和数据融合的网络中。
3.2 VoIP特有的安全威胁
除了会遭遇上述的威胁外,VoIP系统还会遭遇以下这些与语音有关的主要威胁:
1) 产品本身易受攻击:VoIP基础设施需要添加专用交换机系统、网关、代理、注册和定位服务器以及拨打到IP骨干网的电话,对数据通信的攻击可通过IP语音基础设施进行。
2) 相关协议实现的漏洞:VoIP涉及大量协议,如SIP、H.323、MGCP等,这些复杂的协议会由于软件实现中的缺陷或错误而留下漏洞。
3) 信令协议篡改:恶意用户可以监控和篡改建立呼叫后传输的数据包。
4) IP电话被盗打:通过窃取使用者IP电话的登录密码能够获得话机的权限。
5) 流媒体侦听:VOIP存在通过对IP电话之间的RTP语音流窃取并重放的问题。
6) 呼叫黑洞:指未授权的拒绝通过VoIP传输,从而结束或阻止正在进行的信息交流。
4 可以采用的主要安全技术
在分析了VoIP系统可能受到的安全威胁之后,可以认识到加强VoIP系统安全的必要性和复杂性,可以采用下面介绍的这些主要技术和措施来保障VoIP系统的安全运行。
4.1 防火墙技术
传统防火墙其自身的特性对VoIP的部署是一个障碍,因为它丢弃所有从外到内未开放端口的连接请求,而VoIP采用动态端口传输语音和视频,若防火墙开放全部端口,意味着防火墙形同虚设;另外VoIP要求因特网上基于IP的资源是可预测、静态可用的,因而当防火墙利用NAT技术时,要使VoIP有效通过防火墙会较困难,因而必须采用一些新技术。
4.1.1 语音感知应用层网关(ALG)
应用层网关被设计成能够识别指定的协议(如H.323、SIP或MGCP等),它不是简单地察看包头信息来决定数据包是否可以通过,而是更深层的分析数据包载荷内的数据,也就是应用层的数据。采用这种技术可以使网络能够动态开放和关闭防火墙端口。
4.1.2 STUN (Simple Traversal of UDP Through NAT)
STUN是一种UDP流协议穿透NAT的协议,其解决NAT问题的思路如下:私网接入用户通过某种机制预先得到其地址对应在出口NAT上的对外地址,然后直接填写出口NAT上的对外地址,而不是私网内用户的私有IP地址,这样报文负载中的内容在经过NAT时就无需被修改了,只需按普通NAT流程转换报文头的IP地址即可,而此时负载中的IP地址信息和报文头地址信息是一致的。
4.1.3 TURN(Traversal Using Relay NAT)
TURN方式解决NAT问题的思路与STUN相似,采用TURN Server的地址和端口作为客户端对外的接收地址和端口,即私网用户发出的报文都要经过TURN Server进行Relay转发。这种应用方式除了具有STUN方式的优点外,还解决了STUN无法穿透对称NAT的问题
4.1.4 深度包检测技术
深度包检测技术以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集,决定如何处理数据包。通常深度包检测技术深入检查通过防火墙的每个数据包及其应用载荷,因为很多恶意行为可能隐藏在数据载荷中。
4.1.5 会话边界控制器(SBC)
SBC可以被看作支持VoIP的防火墙,它还可以修改IP包的包头,使IP包能够顺利通过网络边缘设备。SBC是一种“可识别应用层”的设备,可以识别第五层和第七层的消息,并且还可以处理第五层的众多会话信令协议,修改数据包头的地址,从而实现“远端防火墙穿越”。同时SBC可以通过对会话数目的限制,实现应用层防DOS攻击。
4.2 虚拟局域网(VLAN)技术
让语音和数据在不同的虚拟局域网上传输,把所有的VoIP电话放在单独的虚拟局域网上,并且使用不可路由的RFC 1918地址。防止VLAN间进行通信可缓解窃听电话的现象,还可为VoIP虚拟局域网赋予较高优先级。
4.3 加密技术
可以使用加密技术比如IPsec来保持VoIP的安全,加密还可以挫败需要对基础设施获得物理访问权的其他类型的攻击。
4.4 入侵防护系统(IPS)
IPS可以缓解从内部发动攻击这个问题。例如,利用SIP发送大量的“注册”请求会导致服务器无力处理请求,而如果IPS能够理解SIP,就可以检测这些攻击。
4.5 加强操作系统安全
支持VoIP的服务器一般运行在Linux、Windows等操作系统上,而这些操作系统又有着不同的漏洞和补丁需要完善。VoIP设备一般都放在机房内独立运行,不需要人为干预,但是这些设备出厂的时候,如果没有打上最新的补丁,就需要网管维护部门不断跟踪最新的安全信息或者和设备厂商保持联系,为这些骨干设备升级操作系统,避免遭到黑客的攻击,另外还要认真限制对它们的访问。
5 结束语
本文对VOIP应用过程中存在的主要安全威胁进行了研究和分析,并且针对这些安全威胁提出了一系列的解决方法和技术,通过对这些技术的合理应用可以极大的增强VOIP应用的安全性。
参考文献:
[1] Rosenberg J, Schulzrinne H, Camarillo G,et al. SIP:Session initiation protocol[EB/OL][S.L].IETF,2002,6.
[2] Lippmann R P,Cunningham R K.Improving Intrusion Detection Performance Using Keyword Selection and Neural Networks.Computer Networks-the International Journal of Computer and Telecommunica- tions Networking,2000,34(4):597-603
[3] ITU-T RFC 3015 Megaco Protocol Version 1.0. [S],2000.11.
[4] ITU-T RFC 3525 Gateway Control Protocol Version 1.[S],2003.06.
关键词:VOIP;防火墙;STUN;入侵防护系统
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)32-1091-02
Reserch and Implementation of Security Technologies on VOIP System
ZHAO Jing
(Department of Computer and Electronics Engineering,University of Shanghai for Science and Technology,Shanghai 200093,China)
Abstract: In this article an analysis is made of the existing security concerns in VOIP system,then a series of methods and technologies are provided to protect VOIP application.In this way,the security of VOIP system will be enhanced.
Key words: VOIP; firewall; STUN; IPS
1 引言
VoIP也称为网络电话,它是在IP网络上通过TCP/IP协议实现的一种语音应用,这种应用包括PC对PC连接、PC对电话连接、电话对电话连接等。目前,全球市场包括中国已有相当大的一部分语音业务通过IP来传送,随着VoIP的广泛普及和应用,加强VoIP系统的安全性显得日益紧迫。
2 VoIP基本原理及技术
IP电话是建立在IP技术上的分组化、数字化传输技术,它将普通电话的模拟信号转换成可以在因特网上传送的IP数据包,同时也将收到的IP数据包转换成声音的模拟电信号,其基本原理是:通过语音压缩算法对语音数据进行压缩编码处理,然后把这些语音数据按IP等相关协议进行打包,经过IP网络把数据包传输到目的端,再把这些语音数据包组装起来,经过解码解压处理后,恢复成原来的语音信号,从而达到由IP网络传送语音的目的。
3 VoIP系统面临的安全威胁
下面分析一下VOIP系统可能面临的安全威胁,大致可以分为以下几类。
3.1 常规威胁
由于VoIP基于可同时承载语音、数据等的统一IP网络架构,语音和数据网络的融合增加了网络被攻击的风险,对数据网络的各种攻击手段都会出现在语音和数据融合的网络中。
3.2 VoIP特有的安全威胁
除了会遭遇上述的威胁外,VoIP系统还会遭遇以下这些与语音有关的主要威胁:
1) 产品本身易受攻击:VoIP基础设施需要添加专用交换机系统、网关、代理、注册和定位服务器以及拨打到IP骨干网的电话,对数据通信的攻击可通过IP语音基础设施进行。
2) 相关协议实现的漏洞:VoIP涉及大量协议,如SIP、H.323、MGCP等,这些复杂的协议会由于软件实现中的缺陷或错误而留下漏洞。
3) 信令协议篡改:恶意用户可以监控和篡改建立呼叫后传输的数据包。
4) IP电话被盗打:通过窃取使用者IP电话的登录密码能够获得话机的权限。
5) 流媒体侦听:VOIP存在通过对IP电话之间的RTP语音流窃取并重放的问题。
6) 呼叫黑洞:指未授权的拒绝通过VoIP传输,从而结束或阻止正在进行的信息交流。
4 可以采用的主要安全技术
在分析了VoIP系统可能受到的安全威胁之后,可以认识到加强VoIP系统安全的必要性和复杂性,可以采用下面介绍的这些主要技术和措施来保障VoIP系统的安全运行。
4.1 防火墙技术
传统防火墙其自身的特性对VoIP的部署是一个障碍,因为它丢弃所有从外到内未开放端口的连接请求,而VoIP采用动态端口传输语音和视频,若防火墙开放全部端口,意味着防火墙形同虚设;另外VoIP要求因特网上基于IP的资源是可预测、静态可用的,因而当防火墙利用NAT技术时,要使VoIP有效通过防火墙会较困难,因而必须采用一些新技术。
4.1.1 语音感知应用层网关(ALG)
应用层网关被设计成能够识别指定的协议(如H.323、SIP或MGCP等),它不是简单地察看包头信息来决定数据包是否可以通过,而是更深层的分析数据包载荷内的数据,也就是应用层的数据。采用这种技术可以使网络能够动态开放和关闭防火墙端口。
4.1.2 STUN (Simple Traversal of UDP Through NAT)
STUN是一种UDP流协议穿透NAT的协议,其解决NAT问题的思路如下:私网接入用户通过某种机制预先得到其地址对应在出口NAT上的对外地址,然后直接填写出口NAT上的对外地址,而不是私网内用户的私有IP地址,这样报文负载中的内容在经过NAT时就无需被修改了,只需按普通NAT流程转换报文头的IP地址即可,而此时负载中的IP地址信息和报文头地址信息是一致的。
4.1.3 TURN(Traversal Using Relay NAT)
TURN方式解决NAT问题的思路与STUN相似,采用TURN Server的地址和端口作为客户端对外的接收地址和端口,即私网用户发出的报文都要经过TURN Server进行Relay转发。这种应用方式除了具有STUN方式的优点外,还解决了STUN无法穿透对称NAT的问题
4.1.4 深度包检测技术
深度包检测技术以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集,决定如何处理数据包。通常深度包检测技术深入检查通过防火墙的每个数据包及其应用载荷,因为很多恶意行为可能隐藏在数据载荷中。
4.1.5 会话边界控制器(SBC)
SBC可以被看作支持VoIP的防火墙,它还可以修改IP包的包头,使IP包能够顺利通过网络边缘设备。SBC是一种“可识别应用层”的设备,可以识别第五层和第七层的消息,并且还可以处理第五层的众多会话信令协议,修改数据包头的地址,从而实现“远端防火墙穿越”。同时SBC可以通过对会话数目的限制,实现应用层防DOS攻击。
4.2 虚拟局域网(VLAN)技术
让语音和数据在不同的虚拟局域网上传输,把所有的VoIP电话放在单独的虚拟局域网上,并且使用不可路由的RFC 1918地址。防止VLAN间进行通信可缓解窃听电话的现象,还可为VoIP虚拟局域网赋予较高优先级。
4.3 加密技术
可以使用加密技术比如IPsec来保持VoIP的安全,加密还可以挫败需要对基础设施获得物理访问权的其他类型的攻击。
4.4 入侵防护系统(IPS)
IPS可以缓解从内部发动攻击这个问题。例如,利用SIP发送大量的“注册”请求会导致服务器无力处理请求,而如果IPS能够理解SIP,就可以检测这些攻击。
4.5 加强操作系统安全
支持VoIP的服务器一般运行在Linux、Windows等操作系统上,而这些操作系统又有着不同的漏洞和补丁需要完善。VoIP设备一般都放在机房内独立运行,不需要人为干预,但是这些设备出厂的时候,如果没有打上最新的补丁,就需要网管维护部门不断跟踪最新的安全信息或者和设备厂商保持联系,为这些骨干设备升级操作系统,避免遭到黑客的攻击,另外还要认真限制对它们的访问。
5 结束语
本文对VOIP应用过程中存在的主要安全威胁进行了研究和分析,并且针对这些安全威胁提出了一系列的解决方法和技术,通过对这些技术的合理应用可以极大的增强VOIP应用的安全性。
参考文献:
[1] Rosenberg J, Schulzrinne H, Camarillo G,et al. SIP:Session initiation protocol[EB/OL][S.L].IETF,2002,6.
[2] Lippmann R P,Cunningham R K.Improving Intrusion Detection Performance Using Keyword Selection and Neural Networks.Computer Networks-the International Journal of Computer and Telecommunica- tions Networking,2000,34(4):597-603
[3] ITU-T RFC 3015 Megaco Protocol Version 1.0. [S],2000.11.
[4] ITU-T RFC 3525 Gateway Control Protocol Version 1.[S],2003.06.