“突破”IP電話網(wǎng)絡
2004/08/20
IP電話網(wǎng)絡能防黑客嗎���?最近����,美國《網(wǎng)絡世界》對這個問題進行了有史以來第一次公開測試,結果是肯定的�。同時,測試活動也說明:能否防黑客在很大程度上取決于你用的是哪個廠商的IP PBX�,而且更重要的是,取決于你是否愿意為了防黑客在網(wǎng)絡安全規(guī)劃����、網(wǎng)絡和人力資源以及額外的安全設備方面投入金錢和時間。
思科和Avaya兩家公司的產(chǎn)品參加了這次橫向評測���。在測試中����,美國《網(wǎng)絡世界》制訂了一項計劃���,以評估各廠商的IP電話產(chǎn)品在對抗堅定的惡意攻擊者時的實際安全度�。按照測試的基本原則�,給4人攻擊小組設定了一些限制。例如����,只能用黑客工具及可在Internet上獲得的攻擊手段; 攻擊必須通過最終用戶數(shù)據(jù)端口或IP電話連接發(fā)起�����,就像黑客進入了辦公室中的標準小隔間一樣;攻擊者不能拆開廠商的IP電話系統(tǒng)進行仔細研究����;等等。
攻擊的目標是破壞電話通信�。攻擊小組通過數(shù)據(jù)和IP電話連接,用掃描工具和其他技巧來了解他們能對系統(tǒng)拓撲做什么��。攻擊小組預先不知道廠商的任何配置信息���。這些“黑客”在找到一些“目標”后�����,就有系統(tǒng)地發(fā)起多次攻擊�,有時同時攻擊多個目標��。
因為受到基本原則和測試時間的限制����,所以需要說明的是:對這些產(chǎn)品發(fā)起的攻擊不像在實際情況中可能遇到的攻擊那么嚴重。6位安全專家對此表示,這些攻擊屬于中等強度����。
思科:“無法被破壞”的系統(tǒng)
思科的方案配置為:一個基于中檔CallManager的系統(tǒng),具有呼叫控制����、話音郵件和網(wǎng)關;基于Catalyst 4500和Catalyst 6500的第二層/第三層基礎設施��;大量入侵檢測系統(tǒng)(IDS)和PIX防火墻安全附加軟件�。
測試結果表明,采用了復雜攻擊手段的攻擊小組無法破壞思科公司的VoIP網(wǎng)絡���,甚至無法對其造成顯著的干擾��。這套精心制造的IP電話系統(tǒng)(包括第二層和第三層基礎設施以及各式各樣的附加安全軟件)是“安全的”(參見表中所示的VoIP安全評價標準)�����,它最大限度地全面發(fā)揮了思科公司的網(wǎng)絡安全專長����,利用了思科公司擁有的每一種防御武器����。
與大多數(shù)用戶目前使用的系統(tǒng)相比�,本次測試的思科拓撲方案的確具有更安全的選項和更嚴格的安全設置�,不過所有可選產(chǎn)品目前都收費提供��。
特別的CallManager
4.0版CallManager處理呼叫控制軟件���,是思科公司IP電話解決方案的核心���,其中包括一些有關安全的新功能,主要的是該公司第一個VoIP加密功能��。這次����,只有思科公司較新的7970 IP電話機支持話音流(實時傳輸協(xié)議,Real-time Transfer Protocol����,簡稱RTP)加密。據(jù)思科公司透露�,最新的CallManager除了運行在Windows 2000操作系統(tǒng)上,還有新的增強功能��。對本次的測試而言,這意味著關閉了一些開放端口以及禁用了一些不必要的服務��。
在所測試的各個Catalyst IOS版本中包含了一些令人印象深刻的網(wǎng)絡自防御功能�,如把IOS 12.2(17b)sxa放在核心Catalyst 6500上,把IOS 12.1(20)ew放在接入Catalyst 4500上�����。這些功能在阻止攻擊方面��,比思科拓撲中任何其他組件貢獻都大�����,因為它們是第一線防御措施�,其中包括:流量策略和承諾接入速率、第二層端口安全性����、第二層動態(tài)主機配置協(xié)議(Dynamic Host Configuration Protocol,簡稱DHCP)監(jiān)聽�、動態(tài)地址解析協(xié)議(Dynamic Address Resolution Protocol ,簡稱ARP)檢查�����、IP源保護(IP Source Guard)以及虛擬LAN(VLAN)訪問控制列表。
Cisco安全代理(Cisco Security Agent�����,簡稱CSA)是一個基于主機的防入侵系統(tǒng)(IPS)�����,現(xiàn)在是CallManager IP電話服務器中的安全組件的組成部分��。它還用在思科的Unity話音郵件服務器和所有在思科的網(wǎng)絡拓撲中使用的其他Windows 2000服務器上(總共7個CSA代理)�����。CSA代理自動運行��,無需值守��,在服務器上提供一些強大的安全措施�����,包括:
- 緩沖器溢出保護�����,保護服務器協(xié)議棧免受包括變形數(shù)據(jù)包在內(nèi)的各種攻擊;
- 防止網(wǎng)絡蠕蟲和特洛伊木馬(未測試);
- 防止未經(jīng)授權的應用運行;
- 防止同步洪水式攻擊�����,這是一系列針對服務器TCP處理的DoS攻擊;
- 端口掃描檢測���,這是所有黑客用來根據(jù)服務器對具體服務的響應以及端口數(shù)確定脆弱點的方法����。
兩個“小小擔心”
經(jīng)過3天的攻擊后����,攻擊小組未能發(fā)現(xiàn)對電話通信有可察覺到的破壞。對所測試的思科系統(tǒng)�����,僅有兩個小小的擔心����。
首先,我們的“黑客”很容易在IP電話機連接中插入一個無源探頭��。從這個有利地點��,他們可以觀察和收集全部信息流細節(jié),包括協(xié)議�、地址,甚至可以捕獲RTP���。不過�����,進出Cisco 7970電話的VoIP信息流可以是128位加密的���。本次活動的“黑客”小組也承認�,它不太可能解密這些信息流。
第二點�����,通過插入的探頭收集網(wǎng)絡信息后��,“黑客”們就可以插入他們自己的計算機��,獲得對話音VLAN的訪問并向VLAN上的其他設備發(fā)送信息流���。不過�,他們無法假冒一個IP電話或用欺騙手法進行IP電話呼叫。由于所有其他控制手段的存在�����,他們無法進一步利用該系統(tǒng)����。
有一個按照思科說明配置的防火墻,在任何方向都不傳輸信息流���,這也許是安全的���,但是卻不很實用。還有一個易受攻擊的服務����,被錯誤地留在一個節(jié)點上運行。雖然這些問題都被迅速解決了�,但也說明,即使制訂得最好的安全性計劃��,也可能因為不恰當或不正確的設置而受到影響甚至損害��。
Avaya:兩種配置 評價不同
Avaya提供了兩種配置: 一種是沒有周邊產(chǎn)品��、開箱即用的Avaya IP電話實施方案,這種設備沒有額外收費的安全選項���;另一種是最高安全性配置����,VoIP設備相同�,但是有附加防火墻和Extreme網(wǎng)絡公司的第二層/第三層基礎設施交換機。安全方面的弱點使基本的Avaya配置獲得了不好不壞的評價; 而加強的產(chǎn)品組合綜合評價為“有抵抗力的”(參見表中所示的VoIP安全評價標準)���。
方案一:雖有安全機制�����,卻難免受到攻擊
Avaya公司為參與安全評估提交的第一個方案根本沒有第三層網(wǎng)絡基礎設施,所有IP通信都通過一個扁平的交換式第二層網(wǎng)絡�,這個網(wǎng)絡分成兩個相互隔離的VLAN,一個用于話音���,另一個用于數(shù)據(jù)����;沒有使用防火墻�。盡管如此�����,它確實具有各種各樣固有的安全機制����。例如:
- 呼叫控制�,以一套冗余的S8700媒體服務器形式出現(xiàn),把呼叫控制連接到專用LAN���,專用LAN把媒體服務器與生產(chǎn)網(wǎng)絡隔離開���。這些服務器僅連接到專用IP系統(tǒng)接口模塊,運行G650媒體網(wǎng)關中的第5版軟件�����。
- 話音郵件通過模擬主干連接��,Avaya稱�����,當IP網(wǎng)絡有問題或有來自IP網(wǎng)絡的安全威脅時,這是一個有利條件���。
- 遠程診斷和測試沒有通過Internet連接��,Avaya為其設置了一個安全調(diào)制解調(diào)器連接�。但是��,盡管這一定會避免基于IP的攻擊�,卻幾乎不能代表數(shù)據(jù)連網(wǎng)或安全性的最新水平。
- 系統(tǒng)軟件上載過程有兩個步驟:管理員把新軟件下載到膝上型機�,然后從膝上型機把軟件上載到呼叫控制系統(tǒng)。
不過�����,Avaya的呼叫控制信息沒有加密����,用于IP電話驗證的口令也不是很強壯。而Avaya Cajun P333交換機確實具有一些安全功能�����。
攻擊小組成功突破和監(jiān)視思科系統(tǒng)的兩種主要技巧在Avaya環(huán)境中同樣很奏效��������!昂诳汀眰兛梢院苋菀椎卦贗P電話連接中插入一個無源探頭�����,觀察和收集全部信息流細節(jié)����。進出Avaya 4620 IP電話的VoIP流也進行了加密�。“黑客”們還能把他們自己的計算機插入系統(tǒng)�����,訪問話音VLAN�����,與VLAN上的其他設備聯(lián)系�����,但是不能假冒IP電話或用欺騙手法進行IP電話呼叫。
攻擊小組發(fā)現(xiàn)了一些可以用來破壞話音通信的嚴重弱點����。比如,連續(xù)幾分鐘向一個IP電話發(fā)送特殊類型的高速信息流后���,該電話在很多情況下會重新啟動��。這種重新啟動使得電話易于受到第二步攻擊——傳遞少量的特殊信息包���,這使該電話陷于禁用狀態(tài)達20分鐘。另外���,Avaya IP電話后部的交換機數(shù)據(jù)端口利用所附的VLAN標簽接受和傳遞用戶信息流�,使黑客更容易搞破壞����。
方案二:“抵抗力”大大增加
Avaya正式表示,關于VoIP基礎設施之下的第二層和第三層設備�����,其IP電話系統(tǒng)是交換機不可知的��。因此在第二個方案的測試中�,用Extreme公司的第二層/第三層交換機取代了第一輪測試中使用的Avaya Cajun P333交換機(Extreme是Avaya的合作伙伴)。從結構上看��,增加的第三層IP路由和其他主要的配置變化防止了第一輪測試中所用的攻擊�����。
在這個方案中��,使安全性得到增強的一些變化包括:
- Summit交換機的IP信息流速率限制防止任何TCP��、UDP或廣播信息流速率超過1Mbps����。
- 每個IP電話端口都建立了單獨的VLAN。
- Avaya稱為“正移交換(Shuffling)”的過程被禁用����。
Extreme Alpine可以限制它傳遞給已知的IP電話MAC地址的信息量。這意味著��,黑客必須假冒合法IP電話的MAC地址來通過Alpine發(fā)送信息流���。這也正是我們的攻擊小組所采用的方法�����。我們的攻擊小組設計的無源監(jiān)視電纜可以捕獲所有使用中的網(wǎng)絡地址����,在這一配置增強的Avaya系統(tǒng)中也一樣。
SG208防火墻配置成僅讓特定端口的信息流進出呼叫控制設備�����。只有在狹窄的特定UDP端口范圍內(nèi)的信息流才允許傳遞到媒體處理模塊�����,只有與Avaya基于H.323的呼叫控制信令有關的端口和協(xié)議才傳遞到CLAN模塊�。“黑客”們沒用多少時間就用簡單的技巧推斷出哪個端口是開放的�����。根據(jù)他們的監(jiān)視結果��,呼叫處理是H.323�。這意味著某些端口一定處于使用中,用偽造的真實電話IP身份�,他們能夠與呼叫控制基礎設施聯(lián)系并得到響應����。
在第一輪測試中成功攻擊了其他IP電話的方法對這次的配置不再起作用了�����。但是攻擊小組找到了另一個脆弱點��。通過用特定協(xié)議和端口向呼叫控制設備發(fā)布一個非常小的信息包��,可以阻止IP電話注冊�����。在通常情況下��,這只會影響很少量的電話���,因為IP電話只在第一次插入時才注冊。
因此���,除非一個電話移動或斷開連接���,它通常不需要重新注冊�。另外���,只要把很小量的信息流持續(xù)發(fā)送到呼叫控制器���,也可能阻止電話注冊。Avaya表示�����,要消除這一脆弱點�,呼叫控制軟件需要增加一個修補軟件,該公司承諾要解決這個問題����。
VoIP安全性測試的基本原則
為了對所有廠商的產(chǎn)品進行一致的測試,要在測試之前�����,用這些基本原則設定一個公平的評測環(huán)境�����。
1. 廠商完全控制IP電話環(huán)境及其下的網(wǎng)絡基礎設施,采用哪些產(chǎn)品以及每個產(chǎn)品如何配置�����,完全由廠商決定���。
2. 模擬的是僅用于局域網(wǎng)的中檔VoIP環(huán)境(校園或大樓)�����,不會通過遠程分布式場所之間的WAN傳輸VoIP信息流。
3. 安全設置不能限制IP電話和第二層/第三層數(shù)據(jù)連網(wǎng)功能����,包括從PSTN進出的普通IP電話呼叫。
4. 配置完成后�,廠商不能主動操縱或重新配置其網(wǎng)絡。但是它們可以繼續(xù)被動地監(jiān)視安全警報/報警日志��。
5. 所有攻擊都將從以下這些特定攻擊點發(fā)出:
a. 通過辦公室隔間中的數(shù)據(jù)LAN端口���,攻擊者可以合法進入這些端口(例如有效MAC地址)�����。
b. 通過辦公室隔間IP電話���,攻擊者有這些IP電話的使用權��,包括電話機后面用于臺式機或膝上型機的“數(shù)據(jù)交換機端口”��,其典型的代表是“內(nèi)部人攻擊”方案����。
6. 所有攻擊都將使用或基于可在Internet上公開獲得的工具或攻擊手段���。不能使用新程序或其他獨特或定制的攻擊手段�。
7. 攻擊者不能獲得�����、分解并仔細研究廠商的IP電話系統(tǒng)硬件�����。
整體評價
本次測試結果反映了保證網(wǎng)絡安全的一個原則:有效的安全性必須涉及網(wǎng)絡的所有層���。思科在第二層和第三層(Catalyst交換機)�、第四層和第五層(防火墻和IPS)、第六層(RTP話音流加密���,不過仍然僅限于某些電話)以及第七層(用基于服務器的軟件����,如CSA)采用了有效的措施��。
Avaya的第一次配置只有有限的第二層防御措施�����,除了第六層�����,在第三層及其上的防御措施很少��。值得贊揚的是�,Avaya的所有電話上確實都有很好的RTP加密(第六層)支持��。Avaya增強的最高安全性配置更有效地保證了第三層����、第四層和第六層的安全,但仍然有一些漏洞。
VoIP安全問題是由IP電話的普及和增長催生的�,這是一個至關重要的問題。我們也希望其他IP電話系統(tǒng)廠商參加到保證VoIP安全的戰(zhàn)斗中來����。
計算機世界網(wǎng)(www.ccw.com.cn)