首頁>>>技術(shù)>>>VoIP

切勿大意 提防統(tǒng)一通信安全威脅

2008/10/15

  統(tǒng)一通信(UC)將為你的VoIP網(wǎng)絡(luò)打開了通往協(xié)作的大門,包括即時(shí)通訊,視頻,商業(yè)應(yīng)用和電子郵件之間的協(xié)作互補(bǔ),并且也開啟了新一輪的安全風(fēng)險(xiǎn)。

  而對于VoIP網(wǎng)絡(luò)來說,最大的風(fēng)險(xiǎn)仍然是基于IP網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。由于創(chuàng)建VoIP網(wǎng)絡(luò)和企業(yè)數(shù)據(jù)網(wǎng)絡(luò)之間的連接,統(tǒng)一通信會(huì)面臨著新的安全攻擊。

  一般情況下,會(huì)有很多企業(yè)極力隔離VoIP網(wǎng)絡(luò),它們通過創(chuàng)建保護(hù)語音網(wǎng)絡(luò)的離島來最大化地限制不必要電話的接入,以保護(hù)自身的網(wǎng)絡(luò)和數(shù)據(jù)安全。

  而現(xiàn)在,統(tǒng)一通信可以改變這一切。通過定義你所開啟的基礎(chǔ)網(wǎng)絡(luò)構(gòu)架,統(tǒng)一通信可以幫助你解決企業(yè)內(nèi)外環(huán)境不同客戶和商業(yè)伙伴的協(xié)作問題。

  以前可能會(huì)出現(xiàn)的偷聽,篡改,截獲,欺詐等網(wǎng)絡(luò)攻擊,現(xiàn)在也將會(huì)由于UC的采用而變得更加司空見慣。

  切勿忽略IP網(wǎng)絡(luò)攻擊

  雖然在現(xiàn)實(shí)中理論上的VoIP特定攻擊很少,但是我們并不能放松警惕。我們需要采取最基本的措施充分保障IP網(wǎng)絡(luò)的安全。

  通常情況下,人們比較留意色情類的攻擊,以防偷聽,假冒或者欺騙等的破壞。這些,也是面臨的網(wǎng)絡(luò)攻擊威脅中最具普遍性的。

  此外,企業(yè)用戶在配置VoIP時(shí)應(yīng)該留意統(tǒng)一通信開放出來的安全漏洞。安全總是關(guān)于黑客和肉雞之間盡可能多的障礙問題,一旦選擇引入統(tǒng)一通信,那么勢必就會(huì)減少一些這樣的障礙。比如,統(tǒng)一通信可能會(huì)引入客戶端電腦上的軟件使用。為了測試商業(yè)VoIP網(wǎng)絡(luò),有人還專門模擬了針對VoIP的網(wǎng)絡(luò)攻擊。事后他們指出,微軟的Office Communications Server客戶端和思科的通信客戶端的呼叫中心應(yīng)用程序,很容易成為潛在的攻擊目標(biāo),尤其是受到來自內(nèi)部的攻擊。通過語音服務(wù)連接VoIP的客戶端,它們可以侵入數(shù)據(jù)虛擬局域網(wǎng),從而造成更大的破壞。

  同樣,統(tǒng)一通信應(yīng)用程序依賴于綁定在LDAP和動(dòng)態(tài)目錄服務(wù)器上的語音VLAN,也很容易產(chǎn)生數(shù)據(jù)網(wǎng)絡(luò)的安全漏洞。通過語音的VLAN,用戶密碼和企業(yè)數(shù)據(jù)都有可能被竊取。

  為了保護(hù)依賴于統(tǒng)一通信的VoIP,必須在做出決策之前進(jìn)行風(fēng)險(xiǎn)評估。統(tǒng)一通信代表了一系列先進(jìn)的集成和應(yīng)用,這些集成和應(yīng)用客觀上會(huì)導(dǎo)致一些安全風(fēng)險(xiǎn),但是并不是所有的風(fēng)險(xiǎn)都是很緊急的。比如,通過控制統(tǒng)一通信軟件可以觸發(fā)電話呼叫。更為重要的,則是出現(xiàn)未知的偷聽或者應(yīng)用程序被擾亂的情況,從而隱私被泄露或者呼叫了錯(cuò)誤的號(hào)碼。

  保護(hù)這些網(wǎng)絡(luò)是完全可以做到的,但是這需要較為復(fù)雜的手段,并且還需要更多的企業(yè)付出更多的代價(jià)。

  切勿忽略規(guī)則要求

  規(guī)則是個(gè)涉及各行各業(yè)的大問題,比如金融,保健和支付卡行業(yè)都具有一些會(huì)影響到VoIP的規(guī)則。無論是語音信箱、即時(shí)信息泄露數(shù)據(jù)還是視頻會(huì)議透露細(xì)節(jié),統(tǒng)一通信都必須保障數(shù)據(jù)的完整和機(jī)密。

  統(tǒng)一通信也會(huì)引發(fā)新的涉及數(shù)據(jù)存儲(chǔ)的法律政策。比如,發(fā)送至電子郵件的語音郵件信息,將可以被視為取證的參考數(shù)據(jù)。如果這樣的語音信息被存儲(chǔ)在某個(gè)微型驅(qū)動(dòng)器上有長達(dá)三年的時(shí)間,該電子方式存儲(chǔ)的數(shù)據(jù)在法律上仍然有效。當(dāng)然,語音信箱還會(huì)面臨更多法律法規(guī)方面的問題。

  使用統(tǒng)一通信獲得成功的企業(yè),一般都在準(zhǔn)備階段初期有安全團(tuán)隊(duì)的不懈努力。不幸的是,還有很多企業(yè)并不是從一開始就對安全給予足夠重視。

  我們建議,在引入統(tǒng)一通信和VoIP初期,就應(yīng)該設(shè)立保障安全和制定規(guī)則的團(tuán)隊(duì)協(xié)作,這樣有助于責(zé)任明確,劃分電話專家和基礎(chǔ)架構(gòu)專家的任務(wù)執(zhí)行,如果有必要的話,甚至還可以加入訴訟團(tuán)隊(duì)完善協(xié)調(diào)機(jī)制。

  VoIP將會(huì)帶來一些新技術(shù)的興起。據(jù)國外媒體報(bào)道,有意以服務(wù)為導(dǎo)向的基礎(chǔ)架構(gòu)方面投入的IT主管中,有近46%的受訪者表示他們將打算使統(tǒng)一通信和CRM、ERP等SOA應(yīng)用結(jié)合起來。但是,這樣會(huì)變得更加復(fù)雜,因?yàn)樗呀y(tǒng)一通信和VoIP延伸到了應(yīng)用領(lǐng)域。

  另外,企業(yè)行政主管可能會(huì)以為安全就是對任何事情都說不,即使意味著要斷絕商業(yè)活動(dòng)也要避免網(wǎng)絡(luò)和數(shù)據(jù)的泄露。我們并不清楚他們是否把安全同業(yè)務(wù)預(yù)防等同起來,在組織面臨的風(fēng)險(xiǎn)方面,安全團(tuán)隊(duì)在計(jì)劃早期所做的工作也并不是十分充足。

  當(dāng)然,VoIP面臨的最大威脅恐怕還是來自用戶對安全認(rèn)識(shí)的不夠全面。很多配置VoIP的情形中,都沒有采取適當(dāng)?shù)陌踩胧热鐝?qiáng)制加密,身份認(rèn)證和訪問控制等。此外,一些企業(yè)并未意識(shí)到他們所使用的協(xié)議可能隨時(shí)被篡改。最易犯的錯(cuò)誤就是,為分配VLAN而使用的一些不安全協(xié)議。

  我們建議,他們應(yīng)該使用鏈路層來監(jiān)聽協(xié)議和802.1x身份驗(yàn)證,以確保VLAN分配和訪問的安全可靠。未經(jīng)安全認(rèn)證的話,電腦可以偽裝成一部電話,進(jìn)而訪問VoIP虛擬局域網(wǎng)并開始惡意肆虐。

  另一個(gè)問題,不是關(guān)于技術(shù)方面而是涉及到團(tuán)隊(duì)之間溝通的考慮。比如,很多客戶會(huì)發(fā)送購買后并未開啟的RFPs,它們擁有加密功能但是卻很少會(huì)被開啟。雖然你可以號(hào)召安全機(jī)構(gòu)處理這個(gè)事情,但是更多的還是需要團(tuán)隊(duì)間保持溝通,并確保開啟了加密功能。

  企業(yè)還需要提防內(nèi)部員工。一些公司在依賴VoIP方面擁有一些錯(cuò)誤思想:由于VoIP用戶處在內(nèi)部網(wǎng)絡(luò),公司對這些用戶給與足夠的信任,并確信沒有VoIP安全問題。其實(shí)這種思想相當(dāng)危險(xiǎn),因?yàn)楣粽呖梢暂p易訪問網(wǎng)絡(luò)并大肆攻擊。只要用戶訪問網(wǎng)絡(luò)并接入連接IP電話上的HUB,就可以獲得IP電話上的802.1x認(rèn)證。電話只會(huì)驗(yàn)證連接孔(switch port),之后就不會(huì)對數(shù)據(jù)包進(jìn)行驗(yàn)證了。如果攻擊者使用HUB上的驗(yàn)證,而這HUB正好又是電話連接網(wǎng)絡(luò)的節(jié)點(diǎn),那么攻擊者就可以大舉進(jìn)入VoIP網(wǎng)絡(luò),并在網(wǎng)絡(luò)中實(shí)現(xiàn)中間人攻擊(man-in-the-middle attack),從而實(shí)現(xiàn)竊聽或者改變電話內(nèi)容的目的。

  就VoIP來說,大部分企業(yè)關(guān)注的仍然是以保護(hù)基本數(shù)據(jù)網(wǎng)絡(luò)免受諸如拒絕服務(wù)攻擊為重點(diǎn)。整體上來看,圍繞VoIP的方方面面,安全問題也并沒有獲得應(yīng)有的重視。

  為了更好的使用VoIP,我們需要給與更多關(guān)注的同時(shí),還特別需要采取一些加密等安全措施。

eNet硅谷動(dòng)力(cio.enet.com.cn)



相關(guān)鏈接:
解析思科統(tǒng)一通訊系統(tǒng)7.0新功能 2008-10-15
統(tǒng)一通信的統(tǒng)籌創(chuàng)新 整合信息先加后減 2008-10-14
統(tǒng)一通信將在視頻中爆發(fā) 2008-10-13
統(tǒng)一通信從視頻尋求突破 2008-10-08
SOA滲透VoIP助力統(tǒng)一通信 2008-09-27

分類信息:     技術(shù)_統(tǒng)一通信_(tái)文摘