切勿大意 提防統(tǒng)一通信安全威脅
2008/10/15
統(tǒng)一通信(UC)將為你的VoIP網(wǎng)絡(luò)打開了通往協(xié)作的大門,包括即時(shí)通訊���,視頻,商業(yè)應(yīng)用和電子郵件之間的協(xié)作互補(bǔ)���,并且也開啟了新一輪的安全風(fēng)險(xiǎn)�。
而對(duì)于VoIP網(wǎng)絡(luò)來說,最大的風(fēng)險(xiǎn)仍然是基于IP網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊��。由于創(chuàng)建VoIP網(wǎng)絡(luò)和企業(yè)數(shù)據(jù)網(wǎng)絡(luò)之間的連接�����,統(tǒng)一通信會(huì)面臨著新的安全攻擊�����。
一般情況下�,會(huì)有很多企業(yè)極力隔離VoIP網(wǎng)絡(luò)�,它們通過創(chuàng)建保護(hù)語音網(wǎng)絡(luò)的離島來最大化地限制不必要電話的接入,以保護(hù)自身的網(wǎng)絡(luò)和數(shù)據(jù)安全。
而現(xiàn)在��,統(tǒng)一通信可以改變這一切���。通過定義你所開啟的基礎(chǔ)網(wǎng)絡(luò)構(gòu)架�,統(tǒng)一通信可以幫助你解決企業(yè)內(nèi)外環(huán)境不同客戶和商業(yè)伙伴的協(xié)作問題��。
以前可能會(huì)出現(xiàn)的偷聽����,篡改,截獲��,欺詐等網(wǎng)絡(luò)攻擊����,現(xiàn)在也將會(huì)由于UC的采用而變得更加司空見慣。
切勿忽略IP網(wǎng)絡(luò)攻擊
雖然在現(xiàn)實(shí)中理論上的VoIP特定攻擊很少�����,但是我們并不能放松警惕。我們需要采取最基本的措施充分保障IP網(wǎng)絡(luò)的安全���。
通常情況下���,人們比較留意色情類的攻擊,以防偷聽��,假冒或者欺騙等的破壞���。這些�����,也是面臨的網(wǎng)絡(luò)攻擊威脅中最具普遍性的���。
此外,企業(yè)用戶在配置VoIP時(shí)應(yīng)該留意統(tǒng)一通信開放出來的安全漏洞�����。安全總是關(guān)于黑客和肉雞之間盡可能多的障礙問題��,一旦選擇引入統(tǒng)一通信,那么勢(shì)必就會(huì)減少一些這樣的障礙��。比如����,統(tǒng)一通信可能會(huì)引入客戶端電腦上的軟件使用�。為了測(cè)試商業(yè)VoIP網(wǎng)絡(luò),有人還專門模擬了針對(duì)VoIP的網(wǎng)絡(luò)攻擊����。事后他們指出,微軟的Office Communications Server客戶端和思科的通信客戶端的呼叫中心應(yīng)用程序�����,很容易成為潛在的攻擊目標(biāo)��,尤其是受到來自內(nèi)部的攻擊��。通過語音服務(wù)連接VoIP的客戶端�,它們可以侵入數(shù)據(jù)虛擬局域網(wǎng),從而造成更大的破壞��。
同樣�����,統(tǒng)一通信應(yīng)用程序依賴于綁定在LDAP和動(dòng)態(tài)目錄服務(wù)器上的語音VLAN,也很容易產(chǎn)生數(shù)據(jù)網(wǎng)絡(luò)的安全漏洞���。通過語音的VLAN���,用戶密碼和企業(yè)數(shù)據(jù)都有可能被竊取。
為了保護(hù)依賴于統(tǒng)一通信的VoIP�,必須在做出決策之前進(jìn)行風(fēng)險(xiǎn)評(píng)估。統(tǒng)一通信代表了一系列先進(jìn)的集成和應(yīng)用���,這些集成和應(yīng)用客觀上會(huì)導(dǎo)致一些安全風(fēng)險(xiǎn)��,但是并不是所有的風(fēng)險(xiǎn)都是很緊急的���。比如,通過控制統(tǒng)一通信軟件可以觸發(fā)電話呼叫�����。更為重要的�,則是出現(xiàn)未知的偷聽或者應(yīng)用程序被擾亂的情況�,從而隱私被泄露或者呼叫了錯(cuò)誤的號(hào)碼����。
保護(hù)這些網(wǎng)絡(luò)是完全可以做到的����,但是這需要較為復(fù)雜的手段���,并且還需要更多的企業(yè)付出更多的代價(jià)���。
切勿忽略規(guī)則要求
規(guī)則是個(gè)涉及各行各業(yè)的大問題,比如金融�,保健和支付卡行業(yè)都具有一些會(huì)影響到VoIP的規(guī)則�。無論是語音信箱、即時(shí)信息泄露數(shù)據(jù)還是視頻會(huì)議透露細(xì)節(jié)�,統(tǒng)一通信都必須保障數(shù)據(jù)的完整和機(jī)密�����。
統(tǒng)一通信也會(huì)引發(fā)新的涉及數(shù)據(jù)存儲(chǔ)的法律政策�。比如��,發(fā)送至電子郵件的語音郵件信息�,將可以被視為取證的參考數(shù)據(jù)。如果這樣的語音信息被存儲(chǔ)在某個(gè)微型驅(qū)動(dòng)器上有長(zhǎng)達(dá)三年的時(shí)間�����,該電子方式存儲(chǔ)的數(shù)據(jù)在法律上仍然有效�。當(dāng)然,語音信箱還會(huì)面臨更多法律法規(guī)方面的問題��。
使用統(tǒng)一通信獲得成功的企業(yè)����,一般都在準(zhǔn)備階段初期有安全團(tuán)隊(duì)的不懈努力�。不幸的是�����,還有很多企業(yè)并不是從一開始就對(duì)安全給予足夠重視�����。
我們建議���,在引入統(tǒng)一通信和VoIP初期,就應(yīng)該設(shè)立保障安全和制定規(guī)則的團(tuán)隊(duì)協(xié)作���,這樣有助于責(zé)任明確,劃分電話專家和基礎(chǔ)架構(gòu)專家的任務(wù)執(zhí)行�,如果有必要的話,甚至還可以加入訴訟團(tuán)隊(duì)完善協(xié)調(diào)機(jī)制�����。
VoIP將會(huì)帶來一些新技術(shù)的興起����。據(jù)國(guó)外媒體報(bào)道���,有意以服務(wù)為導(dǎo)向的基礎(chǔ)架構(gòu)方面投入的IT主管中��,有近46%的受訪者表示他們將打算使統(tǒng)一通信和CRM���、ERP等SOA應(yīng)用結(jié)合起來�。但是,這樣會(huì)變得更加復(fù)雜�����,因?yàn)樗呀y(tǒng)一通信和VoIP延伸到了應(yīng)用領(lǐng)域���。
另外,企業(yè)行政主管可能會(huì)以為安全就是對(duì)任何事情都說不�,即使意味著要斷絕商業(yè)活動(dòng)也要避免網(wǎng)絡(luò)和數(shù)據(jù)的泄露�。我們并不清楚他們是否把安全同業(yè)務(wù)預(yù)防等同起來,在組織面臨的風(fēng)險(xiǎn)方面�,安全團(tuán)隊(duì)在計(jì)劃早期所做的工作也并不是十分充足���。
當(dāng)然,VoIP面臨的最大威脅恐怕還是來自用戶對(duì)安全認(rèn)識(shí)的不夠全面��。很多配置VoIP的情形中�,都沒有采取適當(dāng)?shù)陌踩胧�,比如?qiáng)制加密�����,身份認(rèn)證和訪問控制等。此外�����,一些企業(yè)并未意識(shí)到他們所使用的協(xié)議可能隨時(shí)被篡改�。最易犯的錯(cuò)誤就是,為分配VLAN而使用的一些不安全協(xié)議�。
我們建議���,他們應(yīng)該使用鏈路層來監(jiān)聽協(xié)議和802.1x身份驗(yàn)證�,以確保VLAN分配和訪問的安全可靠���。未經(jīng)安全認(rèn)證的話�,電腦可以偽裝成一部電話,進(jìn)而訪問VoIP虛擬局域網(wǎng)并開始惡意肆虐��。
另一個(gè)問題�����,不是關(guān)于技術(shù)方面而是涉及到團(tuán)隊(duì)之間溝通的考慮��。比如���,很多客戶會(huì)發(fā)送購買后并未開啟的RFPs���,它們擁有加密功能但是卻很少會(huì)被開啟。雖然你可以號(hào)召安全機(jī)構(gòu)處理這個(gè)事情��,但是更多的還是需要團(tuán)隊(duì)間保持溝通���,并確保開啟了加密功能�。
企業(yè)還需要提防內(nèi)部員工。一些公司在依賴VoIP方面擁有一些錯(cuò)誤思想:由于VoIP用戶處在內(nèi)部網(wǎng)絡(luò),公司對(duì)這些用戶給與足夠的信任����,并確信沒有VoIP安全問題��。其實(shí)這種思想相當(dāng)危險(xiǎn)��,因?yàn)楣粽呖梢暂p易訪問網(wǎng)絡(luò)并大肆攻擊�。只要用戶訪問網(wǎng)絡(luò)并接入連接IP電話上的HUB��,就可以獲得IP電話上的802.1x認(rèn)證��。電話只會(huì)驗(yàn)證連接孔(switch port)�,之后就不會(huì)對(duì)數(shù)據(jù)包進(jìn)行驗(yàn)證了����。如果攻擊者使用HUB上的驗(yàn)證,而這HUB正好又是電話連接網(wǎng)絡(luò)的節(jié)點(diǎn)���,那么攻擊者就可以大舉進(jìn)入VoIP網(wǎng)絡(luò)�,并在網(wǎng)絡(luò)中實(shí)現(xiàn)中間人攻擊(man-in-the-middle attack)�,從而實(shí)現(xiàn)竊聽或者改變電話內(nèi)容的目的。
就VoIP來說��,大部分企業(yè)關(guān)注的仍然是以保護(hù)基本數(shù)據(jù)網(wǎng)絡(luò)免受諸如拒絕服務(wù)攻擊為重點(diǎn)。整體上來看����,圍繞VoIP的方方面面,安全問題也并沒有獲得應(yīng)有的重視�。
為了更好的使用VoIP,我們需要給與更多關(guān)注的同時(shí)�����,還特別需要采取一些加密等安全措施�。
eNet硅谷動(dòng)力(cio.enet.com.cn)
相關(guān)鏈接: