小心統(tǒng)一通信安全威脅—統(tǒng)一通信(UC)帶來必須提防的潛在安全漏洞
2008/12/23
統(tǒng)一通信為VoIP網(wǎng)絡(luò)打開通向協(xié)作的大門��,這些協(xié)作方式包括即時消息、視頻����、業(yè)務(wù)應(yīng)用和電子郵件。但它也使網(wǎng)絡(luò)面臨新的攻擊�。
盡管VoIP網(wǎng)絡(luò)最大的實際威脅仍是對基礎(chǔ)IP網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊���,但UC通過建立VoIP網(wǎng)絡(luò)與企業(yè)數(shù)據(jù)網(wǎng)絡(luò)之間的連接更換了新的攻擊角度���。
Nemertes Research公司分析師Ted Ritter說,當(dāng)前多數(shù)企業(yè)部署通常試圖盡可能地隔離VoIP�����,通過廣泛限制不需要支持呼叫的設(shè)備訪問權(quán)來建立保護(hù)語音網(wǎng)絡(luò)的孤島��。
統(tǒng)一通信改變了這一切����。Ritter說:“在使用UC時�����,按照定義�,用戶開放基礎(chǔ)設(shè)施并關(guān)注協(xié)作,擴(kuò)展到企業(yè)之外連接貿(mào)易合作伙伴和客戶�����!
竊聽�、篡改會話���、偷打電話、進(jìn)行話費欺詐�����、以及利用呼叫淹沒目標(biāo)分機(jī)(這些活動以前都是可能的)變得更容易����。
不要忽視基本網(wǎng)絡(luò)攻擊
然而,VoIP安全聯(lián)盟主席���、Tipping Point高級安全研究主管David Endler說,在現(xiàn)實中��,這些理論上的VoIP特有的攻擊很少真正發(fā)生���。他承認(rèn),作為VoIP基礎(chǔ)的IP網(wǎng)絡(luò)的基本措施仍是最好的保護(hù)���。
Endler說:“人們可能往往會研究一些更感性的攻擊類型以防止它們—如竊聽或假冒����、或呼叫者ID哄騙���。但真實情況是,當(dāng)前最普遍的威脅是非�����;镜木W(wǎng)絡(luò)級類型的攻擊��������!
Global Knowledge公司Stuart McLeod說�,部署VoIP的企業(yè)仍應(yīng)當(dāng)意識到UC可能打開的安全裂縫�。他說:“安全性的關(guān)鍵始終是在黑客與他的目標(biāo)之間建立盡可能多的障礙層。一旦采用統(tǒng)一通信���,我們會失去幾個障礙層���!
例如�,Viper Labs主管Jason Ostrom說�����,UC可能引入在PC上使用軟電話客戶程序�,這可能造成麻煩�����。Viper Labs是專業(yè)從事VoIP安全的廠商—Sipera公司的安全研究機(jī)構(gòu)�。著眼于測試企業(yè)VoIP網(wǎng)絡(luò)的Ostrom在試驗室中開發(fā)針對VoIP的攻擊����,自動化已有的攻擊讓它們變得更復(fù)雜。
用于呼叫中心應(yīng)用的Microsoft Office Communications Server客戶端程序和Cisco Communicator軟電話客戶端程序可能成為發(fā)動攻擊的潛在站點��,尤其是來自內(nèi)部人員的攻擊�。他說����,他們可以通過這些客戶程序入侵?jǐn)?shù)據(jù)虛擬LAN。因為這些客戶程序提供連接VoIP VLAN的語音收聽服務(wù)����。
此外,UC應(yīng)用生存連接到LDAP和Active Directory服務(wù)器的語音VLAN上��,從而打開暴露數(shù)據(jù)網(wǎng)絡(luò)的另一個通道�����。Ostrom說:“用戶口令和企業(yè)數(shù)據(jù)可以通過語音VLAN來偷竊������!
數(shù)據(jù)安全咨詢機(jī)構(gòu)Cryptography Research總裁兼首席科學(xué)家Paul Kocher說��,風(fēng)險評估是做出保護(hù)與UC連接的VoIP決定所不可缺少的���。他說,UC代表著連接可能造成其他風(fēng)險��,但并不全是緊急風(fēng)險應(yīng)用的一系列復(fù)雜的集成點��。
例如�,在UC軟件中�����,程序可以被配置為觸發(fā)電話呼叫�,但這不是個大問題。Kocher說:“存在著潛在的竊聽場景或者應(yīng)用可能被破壞來撥打錯誤的電話號碼���。但是這些并不是讓你為之擔(dān)心的問題����!
Ritter說,保護(hù)這類網(wǎng)絡(luò)是可能的���,但越來越大的復(fù)雜性意味著更多的企業(yè)單位必須在比獨立VoIP所需要的更高級別上的參與。
不要忽視遵從性因素
遵從性是金融���、醫(yī)療保健和支付卡等行業(yè)中的大問題���,這些行業(yè)擁有可能影響到VoIP的管理規(guī)定�����。必須保護(hù)UC�����,防止數(shù)據(jù)泄露����。不管數(shù)據(jù)是利用電子郵件發(fā)送的語音郵件、發(fā)送到公司之外的IM�,還是保存在硬盤上、包含患者信息的存檔視頻會議���。
Ritter說��,在UC部署上最成功的企業(yè)是讓安全團(tuán)隊在規(guī)劃過程的早期就參與進(jìn)來,但這不是通常的情況�。他說:“不幸的是,我們?nèi)园l(fā)現(xiàn)安全團(tuán)隊通常屬于最后參與規(guī)劃的團(tuán)隊之一����。”
Ritter建議在規(guī)劃UC和VoIP時�����,及早讓安全團(tuán)隊和遵從性團(tuán)隊一起工作�����。這樣做可以解除更可能是電話專家或一般基礎(chǔ)設(shè)施專家的大部分安全責(zé)任�����。法律團(tuán)隊也應(yīng)當(dāng)及早參與規(guī)劃工作。
隨著新技術(shù)的采用���,VoIP的暴露面將繼續(xù)增長�����。Nemertes發(fā)現(xiàn),接受調(diào)查的規(guī)劃�,面向服務(wù)架構(gòu)的IT經(jīng)理中有46%的人認(rèn)為,他們還計劃將UC與像CRM或ERP這樣的SOA應(yīng)用相集成����。
Ritter說:“由于這將把UC和VoIP擴(kuò)展到應(yīng)用域中,因此增加了另一層復(fù)雜性�。”盡管存在這種風(fēng)險��,但Nemertes發(fā)現(xiàn)�����,安全團(tuán)隊對SOA部署的貢獻(xiàn)最少。
專家們說����,也許VoIP安全面臨的最大威脅是許多用戶沒有通盤考慮安全性。
Ostrom說:“我看到的多數(shù)VoIP部署沒有建議實行像強(qiáng)加密��、認(rèn)證和接入控制等最佳實踐來保護(hù)VoIP網(wǎng)絡(luò)不受其余網(wǎng)絡(luò)的影響��������!
除此之外,一些企業(yè)沒有意識到它們使用會很容易被篡改的協(xié)議�����。Avaya公司安全規(guī)劃與戰(zhàn)略高級經(jīng)理Andy Zmolek說:“我看到的最常見的錯誤是在VLAN分配這類事情上采用不安全的協(xié)議�����!
Zmolek說:“他們應(yīng)當(dāng)使用鏈路層發(fā)現(xiàn)協(xié)議和802.1X認(rèn)證來確保VLAN分配和訪問控制是安全的���!比鄙侔踩J(rèn)證����,PC可以偽裝成一部電話����,接入VoIP VLAN���,然后造成一場災(zāi)難。
他認(rèn)為��,另一個問題與技術(shù)無關(guān)���,而與支持部署技術(shù)的團(tuán)隊內(nèi)的溝通有聯(lián)系���。例如,許多客戶發(fā)出包含他們在購買后從來不啟用的特性的RFP(需求方案說明書)����。他說:“他們具有加密信令和媒體的能力���,但他們很少啟用這種能力。他們可能會說這應(yīng)當(dāng)由安全部門來處理���,但安全團(tuán)隊才開始了解如何確保實施所需要的安全性���。”
Ostrom說���,企業(yè)應(yīng)當(dāng)小心�,不要理所當(dāng)然地信任自己的雇員����。他發(fā)現(xiàn)���,依靠VoIP的企業(yè)中存在錯誤的想法:由于VoIP用戶在內(nèi)部網(wǎng)絡(luò)上���,而這些用戶是可信任的,因此不存在VoIP安全問題���。他說����,這是危險的假設(shè)�。因為如果他們錯了的話,一個擁有網(wǎng)絡(luò)訪問權(quán)的攻擊者會造成巨大的破壞���。
他還說,具有網(wǎng)絡(luò)訪問權(quán)的用戶可以通過把一臺欺詐便攜機(jī)連接在一臺被電話共享的集線器上��,搭載在成功的IP電話802.1X認(rèn)證上進(jìn)入數(shù)據(jù)網(wǎng)絡(luò)��。
這部電話認(rèn)證登錄交換機(jī)端口,但此后沒有對每個數(shù)據(jù)包的認(rèn)證����。如果攻擊者與電話用來連接網(wǎng)絡(luò)的集線器共享的認(rèn)證,他就獲得了對VoIP網(wǎng)絡(luò)的訪問�����,并可以發(fā)動竊聽或修改電話呼叫內(nèi)容的中間人攻擊�����。
“我們開發(fā)了一種證明這種攻擊的概念證明工具����。利用這種工具,他們可以以其他電話或VLAN跳轉(zhuǎn)為目標(biāo)攻擊數(shù)據(jù)網(wǎng)絡(luò)����!監(jiān)strom表示��。
Nemertes分析師Irwin Lazar說���,企業(yè)對VoIP的主要擔(dān)心仍是如何保護(hù)基礎(chǔ)數(shù)據(jù)網(wǎng)絡(luò)免受像拒絕服務(wù)攻擊這樣的影響。
網(wǎng)界網(wǎng)
相關(guān)鏈接: