H.323:VoIP中的导向性技术

随着VoIP部署的数量和规模不断增长和扩大，其安全性问题也日渐浮出水面。目前，对于VoIP安全威胁的探讨似乎理论多于实践。但是，少数的案例却在为企业敲响警钟，例如，2006年，调查人员逮捕了两个被指控潜入某未命名公司的网络，劫取他们的VoIP带宽并转手贩卖的嫌疑人。

在一份研究报告中，In-Stat的分析师预言商业IP电话的销售量将会从2006年的990万增长到2010年的4580万。在调查中发现，至今仍有超过40%的企业并没有为他们的VoIP部署制定任何安全保护计划。
 
在很多情况下，处理VoIP安全问题需要用户能够运用因特网的旧规则，毕竟，VoIP系统是易于受到攻击的。

技术现场：H.323 协议简介

通俗地说，VoIP技术就是通过把语音包封装在IP包中，然后进行IP数据包的转发,也就是基于IP承载网络的语音传输技术。随着宽带技术的迅猛发展及网络的普及，VoIP的应用范围也越来越广。

目前应用的VoIP协议主要有H.323、SIP、MGCP、SCCP协议等，其中SCCP协议是CISCO私有的协议。H.323技术发展的较早且运营范围比较广，是比较成熟的一种VOIP技术。H.323协议更应理解成一种框架性的协议，因为其协议部分涉及了H.225.0 RAS、H.225.0呼叫控制、H.245、H.235安全、H.450.X补充服务、RTP/RTCP协议等。H.323协议中的基本元素是Gatekeeper（GK）、MC、 MP、MCU、Gateway（网关）、 Terminal。

H.225.0 RAS主要完成终端向Gatekeeper注册，呼叫许可查询，状态信息查询；H.225.0呼叫控制主要完成终端与终端之间的呼叫的建立（建立与删除）；H.245主要用来完成通信双方能力协商，命令以及指示信息，打开/关闭逻辑信道等功能；RTP主要是用延时比较小的UDP来封装媒体流，并且封装的UDP报文的端口号为偶数；RTCP则是用来评估会话和连接质量，为通信双方提供反馈信息，RTCP的端口号为奇数，一般与RTP的端口号成对出现。

所有被一个Gatekeeper（GK）管理的MCU、Terminal、Gateway的集合体称为域，在一个域中只能有一个Gatekeeper。Gatekeeper的管理功能主要体现在为终端、网关、MCU提供地址翻译、接入管理、带宽管理等功能。网关主要为H.323终端与电路交换网络中的终端提供实时通信；MCU主要为三个或三个以上的终端或网关参与的多方会议进行控制。

H.245是基于TCP协议的；H.225.0的RAS部分是基于UDP的，H.225.0的呼叫控制部分是基于TCP的。对于基于TCP的H.245及H.225.0呼叫控制部分分别采用保留的端口号1720及1719，媒体流则是基于UDP的RTP流。

深度分析 H.323攻击类型及危害

由于VoIP技术只是利用IP进行语音数据包的封装，所以IP网络的安全问题在VoIP技术中同样会遇到。随着越来越多的SOFTPHONE应用于H.323的VoIP网络中，PC面对的安全隐患同样带给了VoIP。这就意味着H.323面临着越来越严峻的安全问题，蠕虫、木马病毒、DOS攻击等也会开始涉及到H.323网络中。同时，由于IP承载网固有的开放性及对其缺乏有效的管理，一定程度上造成了网络上的安全问题。这样一来，原来在传统的PSTN的可以安全传输的语音服务，在IP网络中就面临着安全问题的考验。

对于H.323的安全攻击主要包括以下几个方面：

1.拒绝服务攻击（DOS）/分布式拒绝服务攻击（DDOS）

由于H.225.0/Q.931是基于TCP的，并且端口是开放的，所以对于H.323的节点可以进行SYN－flood攻击，导致通信中断无法提供正常服务。同时H.323中的RAS（注册、许可、状态）信令是基于UDP的，UDP－flood也会造成DOS/DDOS攻击，导致设备无法处理正常的连接的建立，从而无法进行正常的通信。ICMP－flood攻击同样也会导致系统无法处理正常的数据包。

2.信息窃取

非法用户可以通过窃取相关数据信息来得到合法用户的注册信息及登录密码等相关服务信息，这样就可以对合法用户注册服务进行伪造，从而可以使一些终端设备进行相关服务的免费使用。这会造成服务提供商经济上的损失，同时也会造成合法用户的经济上的损失。

3.信令协议修改

黑客可以通过一些网络监听器来截取H.323的信令的信息，并且对其进行相关内容的修改，包括协议信息、目的地址等。使H.323呼叫不能正常使用。可以对正常的呼叫进行跟踪，或是对其进行相应的呼叫转移进行窃听。

4.通信内容的非法监听

H.323的RTP/RTCP媒体流是基于UDP的，会造成DOS/DDOS攻击使双方不能正常通信，同时可以通过进行网络窃听来进行通信双方通信内容的窃听。

5.操作系统攻击

许多呼叫处理部分是基于操作系统（例如Gatekeeper）或操作系统组件的，这样一来就存在很大的安全隐患。许多攻击者可以通过扫描探测出操作系统类型，从而进行相应的DOS攻击或是其它攻击，最终导致系统崩溃重启等。

安全应对：防火墙对于H.323防攻击检测

由于H.323技术中的信令部分及媒体流部分分别基于TCP及UDP，攻击报文就有可能存在于网络层、传输层及应用层。这就需要支持VOIP中H.323的防攻击检测的防火墙可以工作在网络层、传输层及应用层，以完成对于报文的解析。由于一些DOS/DDOS攻击运行在网络层/传输层，而防火墙的syn－cookie、syn－proxy技术可以解决syn－flood这样的DOS攻击，其它的防攻击技术可以有效地阻止icmp－flood、land－attack、teardrop attack等攻击。由于H.323是利用IP进行转发的，一些VPN技术，如Ipsec等，在一定程度上可以解决一定的安全问题。

为了对付各种针对于H.323协议漏洞的攻击，就需要防火墙更加智能高效的完成对于应用层报文的深度解析。但是应用层是极其复杂的，而且H.323协议的实现存在一定的私有性，各个厂家实现的方式不同或者是有一部分的私有扩展。这就导致了有可能不同厂家的实现方式不兼容，并且对于同一厂商的不同终端实现的方式也有可能有所不同。这样一来对于可以进行H.323防攻击检测的防火墙来说，支持这些H.323的专有协议及其私有的扩展就十分的必要。但是要想支持所有厂家的专有的H.323协议也并非易事，或者说是不太可能的事情，其工程太过于庞大，维护起来也需要大量的人力。针对某个厂家的专有的H.323协议的支持还是可行的，对于其它不支持可以选择过滤掉或是进行IP转发。

在H.323协议中，H.245及H.225.0中的信令呼叫部分采用保留的端口号1720及1719。但是RTP中的UDP端口号是随机协商出来的，是无法事先预知的，因此无法根据对于信令部分检测来判断RTP的数据包是否是攻击报文。

一般来说防火墙都会具有NAT功能，如果内部向外面拨打电话，或者是向外面的GK进行注册的时候会在一些注册信息，或者在一些信令信息中交互带有内部地址的信息。而在NAT中并不会理会这些信息中的IP地址或者是端口号信息，这就会造成内部地址在通话建立时没有被转换。

同时，语音报对于延时是非常敏感的，这也就要求防火墙在对于语音报进行防攻击检测的时候不能引起整个网络的太大的延时。针对上述情况，传统防火墙的做法是为H.323封包静态地打开一段连续的节点，来支持H.323封包的穿越及检测，但这样同样也为黑客开了后门使系统容易受到攻击。如果能动态地检测H.323封包（信令包及媒体流），将会极大地提高H.323网络的安全性。

除了增加防火墙来检测黑客攻击外，如果H.323通信产品自身可以支持一系列安全功能，提供多层次安全性的话，对所面临的安全性问题则是一个极大的改善。如在终端设备上支持802.1X身份认证，在终端设备之间及终端设备及服务器之间采用加密技术，来加密彼此之间的通话；在一些应用服务器中采用硬件化版本的Linux操作系统，降低其对于病毒、蠕虫、木马及其它攻击的敏感性，这就能更好地协助防火墙来保障H.323网络的安全。