VoIP防火墙 你能否保IP电话安全？（3）
2007-07-29   网络

应用层的复杂性又是另一个问题。有些基于代理的防火墙自诩其有强大的检查校验数据报SIP正确性的能力，但我们恐怕不能尽信其言。SIP是一个极端复杂的协议，涉及到60多个RFC和标准草案，仅仅是准确实现这些纷繁的特性和功能就足够把这些防火墙厂商压得喘不过气来。

　　SIP还具有极强的扩展性，许多厂商在此基础上进行了很多专有的扩展，如果没有这些厂商的支持的话是几乎不可能对其功能和正确性进行检查的，所以在购买此类产品之前建议进行认真细致的试用和评估。

　　绝大多数防火墙厂商的产品只实现了一小部分SIP的RFC和标准草案，而且厂商对这类事实一般都秘而不宣，显然，如果公布他们的产品具体实现了哪些RFC不就直接暴露了他们产品在SIP支持方面的局限性了吗？

　　然而SIP也仅仅只是众多IP电话协议中的一个而已。Nortel、Avaya和Cisco在连接电话终端和他们的IP PBX时都使用了其专有的基于H.323协议的变种协议。目前市场上有许多H.323协议的变种，媒体网关控制协议(MGCP和MEGACO)也不例外。为了进行企业电话客户端和这些IP PBX的安全防护，对防火墙来说支持这些专有H.323变种协议就显得相当重要。比如Check Point的安全解决方案主管Sharon Besser就说他们的Check Point防火墙同时支持Pingtel、Nortel和其他设备厂商的专有扩展协议。

　　然而，仅仅只是能支持这些协议还远远不够，网络管理员还非常重视防火墙部署时的简易性。美国劳伦斯.利弗莫尔国家实验室安全应急主管Jon Diaz就说过：“我研究过DPI的实现，但问题是要具有很多相关的专业知识才可能弄明白整个配置过程。”

放弃防火墙？

　　由于目前没有任何一个防火墙方案能完美地解决VoIP安全问题，因此有些安全专家认为在应用层这个级别可能最好的处理办法就是完全放弃防火墙。RTFM安全咨询公司的主管兼传输层安全(TLS)工作小组副主席Eric Rescorla认为防火墙并不是像想象的那么好，“看看电子邮件蠕虫是如何突破防火墙的吧”，他说。

　　Dynamicsoft公司的CTO和SIP创建者之一Jonathan Rosenberg也赞同这种观点，他在一封电子邮件里写道“防火墙厂商必须要非常熟悉SIP和其他IP电话协议，这样才能保证他们产品的质量，而实际上他们做不到这一点，结果就是当一个新的应用或协议出现时，在部署它们的时候你不得不寻求厂商的帮助。这种情况就完全体现不出网络的主要好处。”

　　Rosenberg建议采用一种新的模式，即防火墙不用理会SIP和其他应用层协议。他说现在一些客户端技术如简单UDP穿越NAT协议(STUN)、交互式连通建立方式(ICE)、通过中继方式穿越NAT技术(TURN)使得防火墙不需要处理SIP就能让IP通话穿过防火墙。这些协议和技术为客户端获取NAT和防火墙所使用的外部传输层地址提供了途径，这样SIP客户端就能在会话描述协议(SDP)中规定的数据报域内加入外部地址，使得回来的数据报能被导向正确的地址。

　　Rosenberg相信那些开发基于SIP的应用的开发人员会比较倾向于支持该协议，而网络管理员就不一定了。过去的经验表明安全问题从来都是很棘手的，开发人员并不总是愿意或者说并不总是有能力在开发的时候完全解决安全问题。而从CERT和NISCC发布的安全报告来看，我们也没什么理由期待SIP开发人员会与众不同。

　　企业部署VoIP防火墙十分必要

　　尽管当今绝大多数公司的VoIP网络都是不对外开放的，但仍然有必要在企业内部部署VoIP防火墙。越来越多的攻击开始从VoIP网络内部发起，对此进行防卫是必不可少的，作为对策，第一步可以将所有网络语音数据隔离在虚拟局域网中，与此同时在可信任的域内部署代理和网闸同样很重要。

　　对于带DPI的全状态检测防火墙，部署过程是一个在不受信任的网络和受信任的企业之间的隔离带里的防火墙端口上安装SIP代理的过程。而实现了SIP背对背用户代理的防火墙则有所不同，因为它们的功能类似代理服务器，用户代理(User Agent)可以在上面注册。这类防火墙可以和全状态检测防火墙一起部署在隔离带中，只要使用不同的端口即可，或者单独部署在公司网络的其他地方。

除了技术实现细节之外，网络管理员也要留意协议问题。由于绝大多数IP PBX在和其他设备终端连接时使用了专有协议和SIP或H.323中继，所以在部署时很可能需要厂商的直接支持。