隨著VoIP安全風險逐日升高,實在需要1個公正的第三方組織,聯合當前網通、電信、安全與軟體等領域的廠商或組織,長期追蹤VoIP安全的發展狀況,並制定威脅定義與分類,以作為相關因應措施的準則。基於上述理由,並以確保VoIP隱私權與安全性為目標的VoIP安全聯盟(Voice over IP Security Alliance;VoIPSA)正式於2005年2月成立,參與成員包括Avaya、Qwest、Siemens、Symantec、Sprint、 VeriSign、Nortel、3Com、Juniper與SonicWall等共100多家會員。
VoIPSA聯盟的首要任務,即在定義VoIP所有元素的安全基本原則與需求,同時制定VoIP安全威脅的分類方法,為了達到此兩大目標,VoIPSA聯盟特別成立安全需求(Securtiy Requirments)與威脅分類(Threat Taxonomy)2個工作小組,來完成相關任務與工作。前者主要工作即對VoIP整體架構中的安全防護元件、網路管理、端點存取與認證等環節,定義出清楚明白的安全需求;後者主要任務則是將VoIP安全威脅定義清楚,因為只有提供確實的描述,企業才可能針對風險擬定出有效的VoIP安全防護策略。 VoIPSA表示,接下來將開發測試套裝軟體,以協助廠商用以評估產品是否能達成安全需求政策。
日前,VoIPSA聯盟發表了1.0版的VoIP安全威脅分類書(VoIP Security Threat Taxonomy),該文件中特別將現有VoIP的安全威脅劃分成社工威脅(Social Threats)、竊聽(Eavesdropping)、攔截與修改(Interception and Modification)、系統服務濫用(Service Abuse)、網際網路服務阻斷(Intentional Interruption of Service)、其他服務阻斷等6大類別。
該報告將具備性騷擾、勒索等語音內容以及SPIT,都歸類在社工威脅類別下;竊聽類別則包括通話模式追縱與封包流量擷取等安全威脅;至於當前眾所熟悉的通話劫持、身分冒用,抑或採用通話轉址技術的Pharming等安全問題,都歸於攔截與修改的類目之下。而所謂的網際網路服務阻斷,則泛指針對不同目標或採用不同手法的各種DoS或DDoS(Distributed DoS)攻擊,至於其他類別,則專指電力或系統耗盡的DoS攻擊。
總之,面對繁雜而多變的各類攻擊,VoIP安全威脅分類書的發表,確實可讓今後的安全防護有依循的標準及方向,有了清楚的威脅定義後,不論對企業安全政策的擬定、供應商的產品開發,乃至安全協定的制定,都有相當深遠的幫助。
圖說:VoIPSA聯盟特別成立安全需求與威脅分類2個工作小組,以完成VoIP所有元素的安全基本原則與需求之定義,同時制定VoIP安全威脅的分類方法。(圖片來源/VoIPSA聯盟網站)
對抗VoIP安全威脅 網路、安全廠商總動員
受到市場用戶對VoIP安全需求的強力吸引,目前許多網路大廠與安全廠商,莫不推出與其相關的技術與產品,在產品類型上,以防火牆、IPS、多功能閘道器為主,此外,隨著安全路由器大行其道,因此,在路由器中整合安全與VoIP功能,將成為今後的主要發展趨勢。除此之外,部分廠商也正開發透過專屬協議、加密技術、跨網認證或VPN等方式,來保護VoIP使用者的安全,同時,也有廠商正在開發可以判斷VoIP是人為還是機器撥打的演算法技術,以作為反垃圾語音的過濾基礎。
首先就防火牆、IPS與多功能防火牆而言,相關廠商莫不看好VoIP的發展前景,並積極增加對VoIP安全性的防護能力,其中知名的廠商包括Juniper、Fortinet、Check Point、TippingPoint、BorderWare與SonicWall。據Juniper香港/台灣區技術總監游源濱表示,該公司已將適用於企業VoIP防護的功能,內建於NetScreen防火牆部分系列產品內建的作業系統-Screen OS 5.1之中。
此外, Check Point大中華區總經理黃康銘指出,該公司早在NG系列上即已支援VoIP安全防護功能,如今NGX則特別加強H.323 v4、SIP與其他協定的支援,透過Stateful Inspection檢查機制,可以確定H.323及SIP封包的結構是否符合RFC 3261協定,並檢查封包的來源與目的地。此外,透過支援VoIP的網址轉換(Network Address Translation;NAT)增強功能,可降低服務冒用與呼叫劫持等攻擊的風險。面對DoS攻擊所可能造成VoIP系統癱瘓問題,Check Point採用來源位址認證與管制機制,輔以限制VoIP交談流量的方式,以阻擋DoS攻擊。
面對VoIP日益嚴重的安全問題與需求,目前許多網路與安全廠商紛紛藉由不同產品積極搶食市場大餅,除了前述的防火牆、IPS等安全防護產品外,思科、北電、Juniper等網路大廠也積極將旗下網路產品直接內建VoIP等安全功能,其中尤以安全路由器為然。
但據Infonetics Research的研究報告指出,有高達68%的企業在部署VoIP時,因為效能不佳而被迫升級路由器。對此,Juniper亞太區企業解決方案行銷經理鄧愛茵即表示,透過結合混合式/IP PBX架構的Juniper安全與保證通訊語音網路解決方案,即可解決路由效能與安全問題,該方案強調藉由OoS、ASIC元件、模組化JUNOS軟體、 cRTP協定、LFI與IPSec VPN技術,可解決語音延遲、抖動等品質問題,還可加速路由速度及網路效能。
面對VoIP安全防護,安全設備與語音品質往往呈現互斥的狀態,對此,Juniper則提出支援語音察覺能力(Voice-Aware)與SIP/H.323協定的應用層閘道(Application Layer Gateway;ALG)來解決這個宿疾。該技術最重要的特點,就是可以動態切換不同的防火牆連接埠,如此一來,將可使所有進出的通話都能順利通過防火牆,兼顧安全與品質的要求。至於其他廠家的相關解決之道,則多採固定開啟某網段下的多個連接埠,如此做法雖然可以解決網路通訊品質的問題,但多個連接埠同時開啟,也意味著安全風險將隨之提高。
圖說:Juniper NetScreen防火牆部分系列產品內建的Screen OS 5.1版作業系統,已經直接支援VoIP安全防護的功能。(圖片來源/Juniper網站)
圖說:Check Point NGX支援VoIP安全防護功能,透過Stateful Inspection機制,可檢查封包的來源與目的地。此外,網址轉換增強功能,則可降低服務冒用與呼叫劫持等攻擊的風險。(圖片來源/Check Point網站)
電子時報 記者曹乙帆/台北 2005/12/28
留言列表
認識 馬堤 (3)