“突破”IP电话网络

客户世界 | 2015年7月12日 | 文库 | 评论已关闭 | 1018

||2004-08-23

　　IP电话网络能防黑客吗？最近，美国《网络世界》对这个问题进行了有史以来第一次公开测试，结果是肯定的。同时，测试活动也说明:能否防黑客在很大程度上取决于你用的是哪个厂商的IP PBX，而且更重要的是，取决于你是否愿意为了防黑客在网络安全规划、网络和人力资源以及额外的安全设备方面投入金钱和时间。

　　思科和Avaya两家公司的产品参加了这次横向评测。在测试中，美国《网络世界》制订了一项计划，以评估各厂商的IP电话产品在对抗坚定的恶意攻击者时的实际安全度。按照测试的基本原则，给4人攻击小组设定了一些限制。例如，只能用黑客工具及可在Internet上获得的攻击手段; 攻击必须通过最终用户数据端口或IP电话连接发起，就像黑客进入了办公室中的标准小隔间一样；攻击者不能拆开厂商的IP电话系统进行仔细研究；等等。

　　攻击的目标是破坏电话通信。攻击小组通过数据和IP电话连接，用扫描工具和其他技巧来了解他们能对系统拓扑做什么。攻击小组预先不知道厂商的任何配置信息。这些“黑客”在找到一些“目标”后，就有系统地发起多次攻击，有时同时攻击多个目标。

　　因为受到基本原则和测试时间的限制，所以需要说明的是：对这些产品发起的攻击不像在实际情况中可能遇到的攻击那么严重。6位安全专家对此表示，这些攻击属于中等强度。

思科：“无法被破坏”的系统

　　思科的方案配置为:一个基于中档CallManager的系统，具有呼叫控制、话音邮件和网关；基于Catalyst 4500和Catalyst 6500的第二层/第三层基础设施；大量入侵检测系统（IDS）和PIX防火墙安全附加软件。

　　测试结果表明，采用了复杂攻击手段的攻击小组无法破坏思科公司的VoIP网络，甚至无法对其造成显著的干扰。这套精心制造的IP电话系统(包括第二层和第三层基础设施以及各式各样的附加安全软件)是“安全的”（参见表中所示的VoIP安全评价标准），它最大限度地全面发挥了思科公司的网络安全专长，利用了思科公司拥有的每一种防御武器。

　　与大多数用户目前使用的系统相比，本次测试的思科拓扑方案的确具有更安全的选项和更严格的安全设置，不过所有可选产品目前都收费提供。

特别的CallManager

　　4.0版CallManager处理呼叫控制软件，是思科公司IP电话解决方案的核心，其中包括一些有关安全的新功能，主要的是该公司第一个VoIP加密功能。这次，只有思科公司较新的7970 IP电话机支持话音流（实时传输协议，Real-time Transfer Protocol，简称RTP）加密。据思科公司透露，最新的CallManager除了运行在Windows 2000操作系统上，还有新的增强功能。对本次的测试而言，这意味着关闭了一些开放端口以及禁用了一些不必要的服务。

　　在所测试的各个Catalyst IOS版本中包含了一些令人印象深刻的网络自防御功能，如把IOS 12.2（17b）sxa放在核心Catalyst 6500上，把IOS 12.1(20)ew放在接入Catalyst 4500上。这些功能在阻止攻击方面，比思科拓扑中任何其他组件贡献都大，因为它们是第一线防御措施，其中包括：流量策略和承诺接入速率、第二层端口安全性、第二层动态主机配置协议（Dynamic Host Configuration Protocol，简称DHCP）监听、动态地址解析协议（Dynamic Address Resolution Protocol ，简称ARP）检查、IP源保护（IP Source Guard）以及虚拟LAN（VLAN）访问控制列表。

　　Cisco安全代理（Cisco Security Agent，简称CSA）是一个基于主机的防入侵系统（IPS），现在是CallManager IP电话服务器中的安全组件的组成部分。它还用在思科的Unity话音邮件服务器和所有在思科的网络拓扑中使用的其他Windows 2000服务器上（总共7个CSA代理）。CSA代理自动运行，无需值守，在服务器上提供一些强大的安全措施，包括：

缓冲器溢出保护，保护服务器协议栈免受包括变形数据包在内的各种攻击;
防止网络蠕虫和特洛伊木马（未测试）;
防止未经授权的应用运行;
防止同步洪水式攻击，这是一系列针对服务器TCP处理的DoS攻击;
端口扫描检测，这是所有黑客用来根据服务器对具体服务的响应以及端口数确定脆弱点的方法。

两个“小小担心”

　　经过3天的攻击后，攻击小组未能发现对电话通信有可察觉到的破坏。对所测试的思科系统，仅有两个小小的担心。

　　首先，我们的“黑客”很容易在IP电话机连接中插入一个无源探头。从这个有利地点，他们可以观察和收集全部信息流细节，包括协议、地址，甚至可以捕获RTP。不过，进出Cisco 7970电话的VoIP信息流可以是128位加密的。本次活动的“黑客”小组也承认，它不太可能解密这些信息流。

　　第二点，通过插入的探头收集网络信息后，“黑客”们就可以插入他们自己的计算机，获得对话音VLAN的访问并向VLAN上的其他设备发送信息流。不过，他们无法假冒一个IP电话或用欺骗手法进行IP电话呼叫。由于所有其他控制手段的存在，他们无法进一步利用该系统。

　　有一个按照思科说明配置的防火墙，在任何方向都不传输信息流，这也许是安全的，但是却不很实用。还有一个易受攻击的服务，被错误地留在一个节点上运行。虽然这些问题都被迅速解决了，但也说明，即使制订得最好的安全性计划，也可能因为不恰当或不正确的设置而受到影响甚至损害。

Avaya：两种配置评价不同

　　Avaya提供了两种配置: 一种是没有周边产品、开箱即用的Avaya IP电话实施方案，这种设备没有额外收费的安全选项；另一种是最高安全性配置，VoIP设备相同，但是有附加防火墙和Extreme网络公司的第二层/第三层基础设施交换机。安全方面的弱点使基本的Avaya配置获得了不好不坏的评价; 而加强的产品组合综合评价为“有抵抗力的”（参见表中所示的VoIP安全评价标准）。

方案一：虽有安全机制，却难免受到攻击

　　Avaya公司为参与安全评估提交的第一个方案根本没有第三层网络基础设施，所有IP通信都通过一个扁平的交换式第二层网络，这个网络分成两个相互隔离的VLAN，一个用于话音，另一个用于数据；没有使用防火墙。尽管如此，它确实具有各种各样固有的安全机制。例如：

呼叫控制，以一套冗余的S8700媒体服务器形式出现，把呼叫控制连接到专用LAN，专用LAN把媒体服务器与生产网络隔离开。这些服务器仅连接到专用IP系统接口模块，运行G650媒体网关中的第5版软件。
话音邮件通过模拟主干连接，Avaya称，当IP网络有问题或有来自IP网络的安全威胁时，这是一个有利条件。
远程诊断和测试没有通过Internet连接，Avaya为其设置了一个安全调制解调器连接。但是，尽管这一定会避免基于IP的攻击，却几乎不能代表数据连网或安全性的最新水平。
系统软件上载过程有两个步骤：管理员把新软件下载到膝上型机，然后从膝上型机把软件上载到呼叫控制系统。

　　不过，Avaya的呼叫控制信息没有加密，用于IP电话验证的口令也不是很强壮。而Avaya Cajun P333交换机确实具有一些安全功能。

　　攻击小组成功突破和监视思科系统的两种主要技巧在Avaya环境中同样很奏效。“黑客”们可以很容易地在IP电话连接中插入一个无源探头，观察和收集全部信息流细节。进出Avaya 4620 IP电话的VoIP流也进行了加密。“黑客”们还能把他们自己的计算机插入系统，访问话音VLAN，与VLAN上的其他设备联系，但是不能假冒IP电话或用欺骗手法进行IP电话呼叫。

　　攻击小组发现了一些可以用来破坏话音通信的严重弱点。比如，连续几分钟向一个IP电话发送特殊类型的高速信息流后，该电话在很多情况下会重新启动。这种重新启动使得电话易于受到第二步攻击——传递少量的特殊信息包，这使该电话陷于禁用状态达20分钟。另外，Avaya IP电话后部的交换机数据端口利用所附的VLAN标签接受和传递用户信息流，使黑客更容易搞破坏。

方案二：“抵抗力”大大增加

　　Avaya正式表示，关于VoIP基础设施之下的第二层和第三层设备，其IP电话系统是交换机不可知的。因此在第二个方案的测试中，用Extreme公司的第二层/第三层交换机取代了第一轮测试中使用的Avaya Cajun P333交换机（Extreme是Avaya的合作伙伴）。从结构上看，增加的第三层IP路由和其他主要的配置变化防止了第一轮测试中所用的攻击。

在这个方案中，使安全性得到增强的一些变化包括：

Summit交换机的IP信息流速率限制防止任何TCP、UDP或广播信息流速率超过1Mbps。
每个IP电话端口都建立了单独的VLAN。
Avaya称为“正移交换（Shuffling）”的过程被禁用。

　　Extreme Alpine可以限制它传递给已知的IP电话MAC地址的信息量。这意味着，黑客必须假冒合法IP电话的MAC地址来通过Alpine发送信息流。这也正是我们的攻击小组所采用的方法。我们的攻击小组设计的无源监视电缆可以捕获所有使用中的网络地址，在这一配置增强的Avaya系统中也一样。

　　SG208防火墙配置成仅让特定端口的信息流进出呼叫控制设备。只有在狭窄的特定UDP端口范围内的信息流才允许传递到媒体处理模块，只有与Avaya基于H.323的呼叫控制信令有关的端口和协议才传递到CLAN模块。“黑客”们没用多少时间就用简单的技巧推断出哪个端口是开放的。根据他们的监视结果，呼叫处理是H.323。这意味着某些端口一定处于使用中，用伪造的真实电话IP身份，他们能够与呼叫控制基础设施联系并得到响应。

　　在第一轮测试中成功攻击了其他IP电话的方法对这次的配置不再起作用了。但是攻击小组找到了另一个脆弱点。通过用特定协议和端口向呼叫控制设备发布一个非常小的信息包，可以阻止IP电话注册。在通常情况下，这只会影响很少量的电话，因为IP电话只在第一次插入时才注册。

　　因此，除非一个电话移动或断开连接，它通常不需要重新注册。另外，只要把很小量的信息流持续发送到呼叫控制器，也可能阻止电话注册。Avaya表示，要消除这一脆弱点，呼叫控制软件需要增加一个修补软件，该公司承诺要解决这个问题。

VoIP安全性测试的基本原则

　　为了对所有厂商的产品进行一致的测试，要在测试之前，用这些基本原则设定一个公平的评测环境。

　　1. 厂商完全控制IP电话环境及其下的网络基础设施，采用哪些产品以及每个产品如何配置，完全由厂商决定。

　　2. 模拟的是仅用于局域网的中档VoIP环境（校园或大楼），不会通过远程分布式场所之间的WAN传输VoIP信息流。

　　3. 安全设置不能限制IP电话和第二层/第三层数据连网功能，包括从PSTN进出的普通IP电话呼叫。

　　4. 配置完成后，厂商不能主动操纵或重新配置其网络。但是它们可以继续被动地监视安全警报/报警日志。

　　5. 所有攻击都将从以下这些特定攻击点发出：

　　a. 通过办公室隔间中的数据LAN端口，攻击者可以合法进入这些端口（例如有效MAC地址）。

　　b. 通过办公室隔间IP电话，攻击者有这些IP电话的使用权，包括电话机后面用于台式机或膝上型机的“数据交换机端口”，其典型的代表是“内部人攻击”方案。

　　6. 所有攻击都将使用或基于可在Internet上公开获得的工具或攻击手段。不能使用新程序或其他独特或定制的攻击手段。

　　7. 攻击者不能获得、分解并仔细研究厂商的IP电话系统硬件。

整体评价

　　本次测试结果反映了保证网络安全的一个原则：有效的安全性必须涉及网络的所有层。思科在第二层和第三层（Catalyst交换机）、第四层和第五层（防火墙和IPS）、第六层（RTP话音流加密，不过仍然仅限于某些电话）以及第七层（用基于服务器的软件，如CSA）采用了有效的措施。

　　Avaya的第一次配置只有有限的第二层防御措施，除了第六层，在第三层及其上的防御措施很少。值得赞扬的是，Avaya的所有电话上确实都有很好的RTP加密（第六层）支持。Avaya增强的最高安全性配置更有效地保证了第三层、第四层和第六层的安全，但仍然有一些漏洞。

　　VoIP安全问题是由IP电话的普及和增长催生的，这是一个至关重要的问题。我们也希望其他IP电话系统厂商参加到保证VoIP安全的战斗中来。