DPI命運(yùn)如何
近期許多公司紛紛發(fā)表調(diào)查報(bào)告,報(bào)告里聲稱盡管現(xiàn)在特定
于具體應(yīng)用的防火墻越來(lái)越多���,但他們?nèi)匀粰z測(cè)到應(yīng)用層蠕蟲和病毒的數(shù)量正在不斷增加�����。這時(shí)���,帶有深度包檢測(cè)(Deep Packet
Inspection,
DPI)功能的防火墻成為了舌戰(zhàn)的焦點(diǎn)。我們知道�����,DPI功能將使得網(wǎng)絡(luò)管理員能夠配置數(shù)字位匹配模式用以匹配和鑒別特定的數(shù)據(jù)包��。然而�,恐怕這些防火墻
廠商正在犯著十幾年前以太網(wǎng)網(wǎng)橋制造商就曾經(jīng)犯過(guò)的錯(cuò)誤。那時(shí)候����,為了對(duì)抗路由器����,網(wǎng)橋制造商引入了能按位模式來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包的所謂智能網(wǎng)橋����,他們宣稱這些
智能網(wǎng)橋融合了路由器的優(yōu)點(diǎn)同時(shí)擯棄了路由器的缺點(diǎn)。也許他們說(shuō)的沒錯(cuò)�,但事實(shí)是,配置這些智能網(wǎng)橋的門檻實(shí)在太高了����,如果你的腦袋沒有博士級(jí)別的智商,
那恐怕你很難能有機(jī)會(huì)懂明白這些智能網(wǎng)橋的配置細(xì)節(jié)���。
現(xiàn)在看來(lái)DPI的實(shí)現(xiàn)似乎避免不了與這些智能網(wǎng)橋相同的命運(yùn)。目前多數(shù)
DPI引擎的缺省設(shè)置是不分青紅皂白就把所有外部數(shù)據(jù)通通拒之門外��,因此表面上看起來(lái)好像確實(shí)提供了強(qiáng)有力的安全防護(hù)���,然而對(duì)管理員來(lái)說(shuō)真正的挑戰(zhàn)在于如
何配置這些引擎使其具有識(shí)別數(shù)據(jù)的能力�����,如何可以讓它過(guò)濾掉那些無(wú)用或帶攻擊性的數(shù)據(jù)而只讓真正有用的數(shù)據(jù)進(jìn)來(lái)��,對(duì)很多防火墻管理員來(lái)說(shuō)這個(gè)任務(wù)顯得是否
艱巨���。
就算對(duì)那些經(jīng)驗(yàn)豐富腦筋靈光的工程師來(lái)說(shuō)這也是夠嗆的�。Nokia的產(chǎn)品概念工程師在談到DPI時(shí)直言“感覺不太好”�����,他
說(shuō)“我們有一個(gè)內(nèi)部應(yīng)用需要用到防火墻���,我最終把所謂的智能應(yīng)用(Check
Point描述DPI引擎時(shí)所使用的術(shù)語(yǔ))給徹底關(guān)了�,實(shí)在是礙手礙腳�����,它缺省把所有的數(shù)據(jù)都給擋住了���,這不是添亂嘛����。”
先把易
用性放在一邊�����。很難想象通用防火墻軟件廠商能保證自己的軟件能夠?qū)崿F(xiàn)各種紛繁的IP語(yǔ)音(Voice over
IP,VoIP)標(biāo)準(zhǔn)和協(xié)議����。即使是那些做專業(yè)防火墻的公司在處理各種標(biāo)準(zhǔn)、RFC����、VoIP相關(guān)的重要草案時(shí)也是相當(dāng)頭疼,所以通用防火墻公司很難象那
些專用防火墻公司一樣又快又省地及時(shí)支持新標(biāo)準(zhǔn)���,更不用說(shuō)那些標(biāo)準(zhǔn)的擴(kuò)展了��。
碰到這些情況網(wǎng)絡(luò)管理員該如何抉擇呢�?對(duì)于通話量較
低并且對(duì)IP電話要求比較簡(jiǎn)單的情況�����,升級(jí)通用防火墻加入DPI支持是個(gè)可行的方案���。另一方面,對(duì)高通話量的情況�,通常需要把VoIP數(shù)據(jù)轉(zhuǎn)移到專用的防
火墻上�,只有一種情況例外�,就是如果防火墻軟件廠商和IP專用分組交換機(jī)(IP
PBX)廠商在技術(shù)上有合作的話,可以做到讓通用DPI防火墻更好地支持IP PBX的特殊功能��,那么通用防火墻也有可能可以應(yīng)付高通話量的要求����。
部署專用安全設(shè)備可能可以比較快地解決問(wèn)題,提供所謂的“單項(xiàng)優(yōu)勢(shì)”(best-of-breed)安全防護(hù)��,但這也意味著你要管理和維護(hù)更多的專業(yè)設(shè)
備�,從長(zhǎng)期來(lái)看會(huì)造成成本的增加。雖然無(wú)法完全避免此類問(wèn)題�����,但如果網(wǎng)絡(luò)管理員能充分發(fā)揮聰明才智考慮那些支持安全管理平臺(tái)的安全設(shè)備的話是可以將影響降
到最低的�。
如果網(wǎng)絡(luò)管理員和防火墻廠商剛好是DPI的追隨者的話,應(yīng)該說(shuō)也還是很有盼頭的���?���;旧细倪M(jìn)DPI防火墻軟件人機(jī)交互和功能的方式有兩種��,其一自然是通過(guò)內(nèi)部開發(fā)改進(jìn)完善,另一種就是通過(guò)收購(gòu)那些剛起步的專業(yè)防火墻軟件公司并融合他們的技術(shù)優(yōu)勢(shì)����。
IP電話面臨諸多挑戰(zhàn)
由于目前已知的IP電話攻擊并不多見,所以想說(shuō)服CEO們和預(yù)算管理人員在IP電話安全方面增加資金投入還是有一定難度的����,網(wǎng)絡(luò)管理員們應(yīng)該會(huì)認(rèn)同這一
點(diǎn)。然而英國(guó)國(guó)家基礎(chǔ)建設(shè)安全響應(yīng)中心(NISCC)報(bào)導(dǎo)他們發(fā)現(xiàn)了目前被普遍認(rèn)為是在分組網(wǎng)上支持語(yǔ)音��、圖像和數(shù)據(jù)業(yè)務(wù)最成熟的H.323協(xié)議的多個(gè)漏
洞�,而其中又以負(fù)責(zé)建立IP電話連接的H.225.0子協(xié)議里問(wèn)題最多。如果漏洞遭到攻擊���,結(jié)果可能造成惡意代碼的執(zhí)行或是拒絕服務(wù)攻擊(DoS)���。
從原理上說(shuō),利用漏洞可以發(fā)起各種類型的攻擊�。比如一旦網(wǎng)關(guān)被黑客攻破,IP電話不用經(jīng)過(guò)認(rèn)證就可隨意撥打����,未經(jīng)保護(hù)的語(yǔ)音通話有可能遭到攔截和竊聽而
且可以被隨時(shí)截?cái)唷:诳屠弥囟ㄏ蚬艨梢园颜Z(yǔ)音郵件地址替換成自己指定的特定IP地址�����,為自己打開秘密通道和后門等等��。
與此同時(shí)���,其他流行的攻擊手段也會(huì)對(duì)網(wǎng)絡(luò)語(yǔ)音環(huán)境造成巨大的威脅����,除了DoS和分布式DoS攻擊外�����,如果PC中了特洛伊木馬的話��,竊聽就隨時(shí)可能發(fā)生���,類
似的����,亂序語(yǔ)音數(shù)據(jù)報(bào)(比如媒體數(shù)據(jù)報(bào)在會(huì)話數(shù)據(jù)報(bào)之前被接收到)和過(guò)長(zhǎng)的電話號(hào)碼都可能為緩沖區(qū)溢出攻擊打開方便之門�,而VoIP濫用(類似垃圾郵件)
則可以通過(guò)不停播打同一號(hào)碼使該號(hào)碼陷于癱瘓。
另一個(gè)復(fù)雜的問(wèn)題是,如果在防火墻之上同時(shí)運(yùn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)服務(wù)的話����,
外呼請(qǐng)求可能就無(wú)法正常工作。雖然NAT能夠轉(zhuǎn)換語(yǔ)音數(shù)據(jù)報(bào)中IP層和傳輸層的源地址與端口號(hào)���,但NAT并不理會(huì)語(yǔ)音數(shù)據(jù)報(bào)中其他更底層的源地址信息����,所
以對(duì)VoIP來(lái)說(shuō)這意味著主叫方的地址將是個(gè)內(nèi)部地址��,而被叫方在試圖建立通話時(shí)則會(huì)被導(dǎo)向錯(cuò)誤的源地址����。
當(dāng)涉及到外部呼叫者
時(shí),VoIP面臨的安全挑戰(zhàn)就愈加復(fù)雜了���。典型的情況是���,對(duì)于一個(gè)公司搭建的IP電話網(wǎng)絡(luò)來(lái)說(shuō),防火墻只認(rèn)可從該網(wǎng)絡(luò)內(nèi)部發(fā)起的會(huì)話請(qǐng)求�����,然而對(duì)IP電話
來(lái)說(shuō)公司外部的人也可能需要打電話進(jìn)來(lái)。對(duì)于內(nèi)部用戶來(lái)說(shuō)��,為他們安裝VPN客戶端是個(gè)暫時(shí)的解決方案�����,但長(zhǎng)遠(yuǎn)來(lái)說(shuō)這肯定不夠����,外部呼叫者可能是個(gè)陌生人
所以不可能為他們預(yù)裝VPN客戶端�。
防火墻保障IP電話安全的實(shí)現(xiàn)方案
為了對(duì)抗針對(duì)IP電話的攻擊,防火墻必須要更智能更高效地檢驗(yàn)進(jìn)來(lái)的數(shù)據(jù)報(bào)里與SIP相關(guān)的信息�����。對(duì)此�����,不同的防火墻廠商采取了不同的方案���,但大體來(lái)看各方案或多或少都存在一些問(wèn)題����。
對(duì)于具有全狀態(tài)檢測(cè)(stateful-inspection)功能的防火墻來(lái)說(shuō),它本身并不具有應(yīng)付應(yīng)用層攻擊的防護(hù)能力�,這種防火墻在傳輸層對(duì)數(shù)據(jù)
進(jìn)行檢查,它首先跟蹤從公司IP電話網(wǎng)絡(luò)出去的會(huì)話連接����,然后利用這些信息來(lái)決定哪些外部數(shù)據(jù)是安全的可以進(jìn)入公司網(wǎng)絡(luò)的數(shù)據(jù)。
基于代理的防火墻如TIS的Guantlet具有在應(yīng)用層對(duì)具體應(yīng)用進(jìn)行安全保護(hù)的能力����,它的工作方式是首先檢測(cè)從外部進(jìn)來(lái)的會(huì)話連接,分析其所使用的協(xié)
議�,然后掐斷該外部連接,最后從自己這方重新發(fā)起一個(gè)到對(duì)方的新連接�����。這種防火墻雖然能直接在應(yīng)用層對(duì)不同的具體應(yīng)用提供相應(yīng)的保護(hù)�,但它是以犧牲性能為
條件的,并且需要對(duì)每個(gè)具體應(yīng)用進(jìn)行特別調(diào)整��。
沒有任何一款VoIP防火墻(包括全狀態(tài)檢測(cè)防火墻)是純粹工作在網(wǎng)絡(luò)層和傳輸層
的����,最起碼它們也要利用應(yīng)用層網(wǎng)關(guān)(ALG)在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層查找地址信息并進(jìn)行相應(yīng)修改��。ALG對(duì)終端設(shè)備來(lái)說(shuō)是透明的,所以在處理SIP時(shí)�����,
它們并不會(huì)向請(qǐng)求連接一方發(fā)送TRYING消息�����。
有些防火墻在處理SIP數(shù)據(jù)報(bào)時(shí)會(huì)利用DPI查看數(shù)據(jù)報(bào)更細(xì)節(jié)的信息�,比如在應(yīng)用層檢查數(shù)據(jù)報(bào)是否符合標(biāo)準(zhǔn)格式����,這樣這些基于DPI的防火墻就能防住某些緩沖區(qū)溢出攻擊,比如如果數(shù)據(jù)報(bào)里的電話號(hào)碼超出標(biāo)準(zhǔn)規(guī)定的長(zhǎng)度的話���,防火墻會(huì)直接拒之門外����。
基于代理的防火墻(用SIP領(lǐng)域的術(shù)語(yǔ)來(lái)說(shuō)也叫背對(duì)背用戶代理�,Back-2-Back User
Agent,B2BUAs)位處主叫方和被叫方中間����,截取兩端的通話信號(hào)和媒體流���,這些設(shè)備工作方式類似SIP代理服務(wù)器,只不過(guò)它們同時(shí)還能進(jìn)行協(xié)議正
確性校驗(yàn)和檢查����。邊界會(huì)話控制器(Session Border
Controllers,SBCs)是一種被眾多運(yùn)營(yíng)商用于連接VoIP服務(wù)和支持QoS的設(shè)備,它們也屬于基于代理的防火墻這一類�����。很多制造SBC的廠
商同時(shí)也為企業(yè)提供類似的防火墻產(chǎn)品�,如Jasomi Networks、Kagoor Networks�、Ingate Systems和Acme
Packet等。
防火墻的復(fù)雜性
每種防火墻實(shí)現(xiàn)方案都面臨著諸如應(yīng)用層復(fù)雜性和性能及價(jià)格等方面的問(wèn)題�����。還有數(shù)據(jù)加密的問(wèn)題����,或多或少都有,只不過(guò)有些比較明顯而已�����。
顯然,如果通話數(shù)據(jù)被加密的話防火墻是沒法對(duì)數(shù)據(jù)進(jìn)行檢查的����。而基于代理的防火墻可能可以繞過(guò)這個(gè)問(wèn)題,但同時(shí)又造成其他的安全隱患��,因?yàn)榇祟惙阑饓ξ?
于通話兩端的信號(hào)和媒體流之間�����,通話方會(huì)“認(rèn)為”他們已經(jīng)和對(duì)方建立了直接的安全對(duì)話����,但實(shí)際上他們只是和防火墻建立了安全會(huì)話����,因此基于代理的防火墻實(shí)
際上有著潛在的不安全因素。
應(yīng)用層的復(fù)雜性又是另一個(gè)問(wèn)題���。有些基于代理的防火墻自詡其有強(qiáng)大的檢查校驗(yàn)數(shù)據(jù)報(bào)SIP正確性的能力����,但我們恐怕不能盡信其言����。SIP是一個(gè)極端復(fù)雜的
協(xié)議��,涉及到60多個(gè)RFC和標(biāo)準(zhǔn)草案���,僅僅是準(zhǔn)確實(shí)現(xiàn)這些紛繁的特性和功能就足夠把這些防火墻廠商壓得喘不過(guò)氣來(lái)。
SIP還具有極強(qiáng)的擴(kuò)展性����,許多廠商在此基礎(chǔ)上進(jìn)行了很多專有的擴(kuò)展,如果沒有這些廠商的支持的話是幾乎不可能對(duì)其功能和正確性進(jìn)行檢查的�,所以在購(gòu)買此類產(chǎn)品之前建議進(jìn)行認(rèn)真細(xì)致的試用和評(píng)估。
絕大多數(shù)防火墻廠商的產(chǎn)品只實(shí)現(xiàn)了一小部分SIP的RFC和標(biāo)準(zhǔn)草案���,而且廠商對(duì)這類事實(shí)一般都秘而不宣���,顯然,如果公布他們的產(chǎn)品具體實(shí)現(xiàn)了哪些RFC不就直接暴露了他們產(chǎn)品在SIP支持方面的局限性了嗎��?
然而SIP也僅僅只是眾多IP電話協(xié)議中的一個(gè)而已����。Nortel、Avaya和Cisco在連接電話終端和他們的IP
PBX時(shí)都使用了其專有的基于H.323協(xié)議的變種協(xié)議��。目前市場(chǎng)上有許多H.323協(xié)議的變種,媒體網(wǎng)關(guān)控制協(xié)議(MGCP和MEGACO)也不例外�。
為了進(jìn)行企業(yè)電話客戶端和這些IP PBX的安全防護(hù),對(duì)防火墻來(lái)說(shuō)支持這些專有H.323變種協(xié)議就顯得相當(dāng)重要���。比如Check
Point的安全解決方案主管Sharon Besser就說(shuō)他們的Check
Point防火墻同時(shí)支持Pingtel�、Nortel和其他設(shè)備廠商的專有擴(kuò)展協(xié)議��。
然而�����,僅僅只是能支持這些協(xié)議還遠(yuǎn)遠(yuǎn)不夠�����,網(wǎng)絡(luò)管理員還非常重視防火墻部署時(shí)的簡(jiǎn)易性�。美國(guó)勞倫斯.利弗莫爾國(guó)家實(shí)驗(yàn)室安全應(yīng)急主管Jon Diaz就說(shuō)過(guò):“我研究過(guò)DPI的實(shí)現(xiàn)�,但問(wèn)題是要具有很多相關(guān)的專業(yè)知識(shí)才可能弄明白整個(gè)配置過(guò)程。”
放棄防火墻���?
由于目前沒有任何一個(gè)防火墻方案能完美地解決VoIP安全問(wèn)題�,因此有些安全專家認(rèn)為在應(yīng)用層這個(gè)級(jí)別可能最好的處理辦法就是完全放棄防火墻�。RTFM
安全咨詢公司的主管兼?zhèn)鬏攲影踩?TLS)工作小組副主席Eric
Rescorla認(rèn)為防火墻并不是像想象的那么好��,“看看電子郵件蠕蟲是如何突破防火墻的吧”��,他說(shuō)�����。
Dynamicsoft公
司的CTO和SIP創(chuàng)建者之一Jonathan
Rosenberg也贊同這種觀點(diǎn)����,他在一封電子郵件里寫道“防火墻廠商必須要非常熟悉SIP和其他IP電話協(xié)議��,這樣才能保證他們產(chǎn)品的質(zhì)量��,而實(shí)際上
他們做不到這一點(diǎn)�����,結(jié)果就是當(dāng)一個(gè)新的應(yīng)用或協(xié)議出現(xiàn)時(shí)���,在部署它們的時(shí)候你不得不尋求廠商的幫助�����。這種情況就完全體現(xiàn)不出網(wǎng)絡(luò)的主要好處����。”
Rosenberg建議采用一種新的模式,即防火墻不用理會(huì)SIP和其他應(yīng)用層協(xié)議�����。他說(shuō)現(xiàn)在一些客戶端技術(shù)如簡(jiǎn)單UDP穿越NAT協(xié)議(STUN)��、
交互式連通建立方式(ICE)�����、通過(guò)中繼方式穿越NAT技術(shù)(TURN)使得防火墻不需要處理SIP就能讓IP通話穿過(guò)防火墻��。這些協(xié)議和技術(shù)為客戶端獲
取NAT和防火墻所使用的外部傳輸層地址提供了途徑�,這樣SIP客戶端就能在會(huì)話描述協(xié)議(SDP)中規(guī)定的數(shù)據(jù)報(bào)域內(nèi)加入外部地址,使得回來(lái)的數(shù)據(jù)報(bào)能
被導(dǎo)向正確的地址�。
Rosenberg相信那些開發(fā)基于SIP的應(yīng)用的開發(fā)人員會(huì)比較傾向于支持該協(xié)議,而網(wǎng)絡(luò)管理員就不一定
了�����。過(guò)去的經(jīng)驗(yàn)表明安全問(wèn)題從來(lái)都是很棘手的���,開發(fā)人員并不總是愿意或者說(shuō)并不總是有能力在開發(fā)的時(shí)候完全解決安全問(wèn)題��。而從CERT和NISCC發(fā)布的
安全報(bào)告來(lái)看����,我們也沒什么理由期待SIP開發(fā)人員會(huì)與眾不同����。
企業(yè)部署VoIP防火墻十分必要
盡管當(dāng)今
絕大多數(shù)公司的VoIP網(wǎng)絡(luò)都是不對(duì)外開放的,但仍然有必要在企業(yè)內(nèi)部部署VoIP防火墻�����。越來(lái)越多的攻擊開始從VoIP網(wǎng)絡(luò)內(nèi)部發(fā)起���,對(duì)此進(jìn)行防衛(wèi)是必
不可少的�,作為對(duì)策��,第一步可以將所有網(wǎng)絡(luò)語(yǔ)音數(shù)據(jù)隔離在虛擬局域網(wǎng)中���,與此同時(shí)在可信任的域內(nèi)部署代理和網(wǎng)閘同樣很重要��。
對(duì)于
帶DPI的全狀態(tài)檢測(cè)防火墻�,部署過(guò)程是一個(gè)在不受信任的網(wǎng)絡(luò)和受信任的企業(yè)之間的隔離帶里的防火墻端口上安裝SIP代理的過(guò)程。而實(shí)現(xiàn)了SIP背對(duì)背用
戶代理的防火墻則有所不同���,因?yàn)樗鼈兊墓δ茴愃拼矸?wù)器���,用戶代理(User
Agent)可以在上面注冊(cè)。這類防火墻可以和全狀態(tài)檢測(cè)防火墻一起部署在隔離帶中��,只要使用不同的端口即可�,或者單獨(dú)部署在公司網(wǎng)絡(luò)的其他地方。
除了技術(shù)實(shí)現(xiàn)細(xì)節(jié)之外�����,網(wǎng)絡(luò)管理員也要留意協(xié)議問(wèn)題���。由于絕大多數(shù)IP PBX在和其他設(shè)備終端連接時(shí)使用了專有協(xié)議和SIP或H.323中繼����,所以在部署時(shí)很可能需要廠商的直接支持�。
點(diǎn)擊進(jìn)入論壇交流
