每種防火墻實現(xiàn)方案都面臨著諸如應(yīng)用層復(fù)雜性和性能及價格等方面的問題。還有數(shù)據(jù)加密的問題,或多或少都有,只不過有些比較明顯而已。
顯然,如果通話數(shù)據(jù)被加密的話防火墻是沒法對數(shù)據(jù)進(jìn)行檢查的。而基于代理的防火墻可能可以繞過這個問題,但同時又造成其他的安全隱患,因為此類防火墻位于通話兩端的信號和媒體流之間,通話方會“認(rèn)為”他們已經(jīng)和對方建立了直接的安全對話,但實際上他們只是和防火墻建立了安全會話,因此基于代理的防火墻實際上有著潛在的不安全因素。
應(yīng)用層的復(fù)雜性又是另一個問題。有些基于代理的防火墻自詡其有強大的檢查校驗數(shù)據(jù)報SIP正確性的能力,但我們恐怕不能盡信其言。SIP是一個極端復(fù)雜的協(xié)議,涉及到60多個RFC和標(biāo)準(zhǔn)草案,僅僅是準(zhǔn)確實現(xiàn)這些紛繁的特性和功能就足夠把這些防火墻廠商壓得喘不過氣來。
SIP還具有極強的擴(kuò)展性,許多廠商在此基礎(chǔ)上進(jìn)行了很多專有的擴(kuò)展,如果沒有這些廠商的支持的話是幾乎不可能對其功能和正確性進(jìn)行檢查的,所以在購買此類產(chǎn)品之前建議進(jìn)行認(rèn)真細(xì)致的試用和評估。
絕大多數(shù)防火墻廠商的產(chǎn)品只實現(xiàn)了一小部分SIP的RFC和標(biāo)準(zhǔn)草案,而且廠商對這類事實一般都秘而不宣,顯然,如果公布他們的產(chǎn)品具體實現(xiàn)了哪些RFC不就直接暴露了他們產(chǎn)品在SIP支持方面的局限性了嗎?
然而SIP也僅僅只是眾多IP電話協(xié)議中的一個而已。Nortel、Avaya和Cisco在連接電話終端和他們的IP PBX時都使用了其專有的基于H.323協(xié)議的變種協(xié)議。目前市場上有許多H.323協(xié)議的變種,媒體網(wǎng)關(guān)控制協(xié)議(MGCP和MEGACO)也不例外。為了進(jìn)行企業(yè)電話客戶端和這些IP PBX的安全防護(hù),對防火墻來說支持這些專有H.323變種協(xié)議就顯得相當(dāng)重要。比如Check Point的安全解決方案主管Sharon Besser就說他們的Check Point防火墻同時支持Pingtel、Nortel和其他設(shè)備廠商的專有擴(kuò)展協(xié)議。
然而,僅僅只是能支持這些協(xié)議還遠(yuǎn)遠(yuǎn)不夠,網(wǎng)絡(luò)管理員還非常重視防火墻部署時的簡易性。美國勞倫斯.利弗莫爾國家實驗室安全應(yīng)急主管Jon Diaz就說過:“我研究過DPI的實現(xiàn),但問題是要具有很多相關(guān)的專業(yè)知識才可能弄明白整個配置過程。”
放棄防火墻?
由于目前沒有任何一個防火墻方案能完美地解決VoIP安全問題,因此有些安全專家認(rèn)為在應(yīng)用層這個級別可能最好的處理辦法就是完全放棄防火墻。RTFM安全咨詢公司的主管兼?zhèn)鬏攲影踩?TLS)工作小組副主席Eric Rescorla認(rèn)為防火墻并不是像想象的那么好,“看看電子郵件蠕蟲是如何突破防火墻的吧”,他說。
Dynamicsoft公司的CTO和SIP創(chuàng)建者之一Jonathan Rosenberg也贊同這種觀點,他在一封電子郵件里寫道“防火墻廠商必須要非常熟悉SIP和其他IP電話協(xié)議,這樣才能保證他們產(chǎn)品的質(zhì)量,而實際上他們做不到這一點,結(jié)果就是當(dāng)一個新的應(yīng)用或協(xié)議出現(xiàn)時,在部署它們的時候你不得不尋求廠商的幫助。這種情況就完全體現(xiàn)不出網(wǎng)絡(luò)的主要好處。”
Rosenberg建議采用一種新的模式,即防火墻不用理會SIP和其他應(yīng)用層協(xié)議。他說現(xiàn)在一些客戶端技術(shù)如簡單UDP穿越NAT協(xié)議(STUN)、交互式連通建立方式(ICE)、通過中繼方式穿越NAT技術(shù)(TURN)使得防火墻不需要處理SIP就能讓IP通話穿過防火墻。這些協(xié)議和技術(shù)為客戶端獲取NAT和防火墻所使用的外部傳輸層地址提供了途徑,這樣SIP客戶端就能在會話描述協(xié)議(SDP)中規(guī)定的數(shù)據(jù)報域內(nèi)加入外部地址,使得回來的數(shù)據(jù)報能被導(dǎo)向正確的地址。
Rosenberg相信那些開發(fā)基于SIP的應(yīng)用的開發(fā)人員會比較傾向于支持該協(xié)議,而網(wǎng)絡(luò)管理員就不一定了。過去的經(jīng)驗表明安全問題從來都是很棘手的,開發(fā)人員并不總是愿意或者說并不總是有能力在開發(fā)的時候完全解決安全問題。而從CERT和NISCC發(fā)布的安全報告來看,我們也沒什么理由期待SIP開發(fā)人員會與眾不同。
企業(yè)部署VoIP防火墻十分必要
盡管當(dāng)今絕大多數(shù)公司的VoIP網(wǎng)絡(luò)都是不對外開放的,但仍然有必要在企業(yè)內(nèi)部部署VoIP防火墻。越來越多的攻擊開始從VoIP網(wǎng)絡(luò)內(nèi)部發(fā)起,對此進(jìn)行防衛(wèi)是必不可少的,作為對策,第一步可以將所有網(wǎng)絡(luò)語音數(shù)據(jù)隔離在虛擬局域網(wǎng)中,與此同時在可信任的域內(nèi)部署代理和網(wǎng)閘同樣很重要。
對于帶DPI的全狀態(tài)檢測防火墻,部署過程是一個在不受信任的網(wǎng)絡(luò)和受信任的企業(yè)之間的隔離帶里的防火墻端口上安裝SIP代理的過程。而實現(xiàn)了SIP背對背用戶代理的防火墻則有所不同,因為它們的功能類似代理服務(wù)器,用戶代理(User Agent)可以在上面注冊。這類防火墻可以和全狀態(tài)檢測防火墻一起部署在隔離帶中,只要使用不同的端口即可,或者單獨部署在公司網(wǎng)絡(luò)的其他地方。
除了技術(shù)實現(xiàn)細(xì)節(jié)之外,網(wǎng)絡(luò)管理員也要留意協(xié)議問題。由于絕大多數(shù)IP PBX在和其他設(shè)備終端連接時使用了專有協(xié)議和SIP或H.323中繼,所以在部署時很可能需要廠商的直接支持。
