切勿大意 提防統一通信安全威脅
2008/10/15
統一通信(UC)將為你的VoIP網(wǎng)絡(luò )打開(kāi)了通往協(xié)作的大門(mén),包括即時(shí)通訊,視頻,商業(yè)應用和電子郵件之間的協(xié)作互補,并且也開(kāi)啟了新一輪的安全風(fēng)險。
而對于VoIP網(wǎng)絡(luò )來(lái)說(shuō),最大的風(fēng)險仍然是基于IP網(wǎng)絡(luò )基礎設施的攻擊。由于創(chuàng )建VoIP網(wǎng)絡(luò )和企業(yè)數據網(wǎng)絡(luò )之間的連接,統一通信會(huì )面臨著(zhù)新的安全攻擊。
一般情況下,會(huì )有很多企業(yè)極力隔離VoIP網(wǎng)絡(luò ),它們通過(guò)創(chuàng )建保護語(yǔ)音網(wǎng)絡(luò )的離島來(lái)最大化地限制不必要電話(huà)的接入,以保護自身的網(wǎng)絡(luò )和數據安全。
而現在,統一通信可以改變這一切。通過(guò)定義你所開(kāi)啟的基礎網(wǎng)絡(luò )構架,統一通信可以幫助你解決企業(yè)內外環(huán)境不同客戶(hù)和商業(yè)伙伴的協(xié)作問(wèn)題。
以前可能會(huì )出現的偷聽(tīng),篡改,截獲,欺詐等網(wǎng)絡(luò )攻擊,現在也將會(huì )由于UC的采用而變得更加司空見(jiàn)慣。
切勿忽略IP網(wǎng)絡(luò )攻擊
雖然在現實(shí)中理論上的VoIP特定攻擊很少,但是我們并不能放松警惕。我們需要采取最基本的措施充分保障IP網(wǎng)絡(luò )的安全。
通常情況下,人們比較留意色情類(lèi)的攻擊,以防偷聽(tīng),假冒或者欺騙等的破壞。這些,也是面臨的網(wǎng)絡(luò )攻擊威脅中最具普遍性的。
此外,企業(yè)用戶(hù)在配置VoIP時(shí)應該留意統一通信開(kāi)放出來(lái)的安全漏洞。安全總是關(guān)于黑客和肉雞之間盡可能多的障礙問(wèn)題,一旦選擇引入統一通信,那么勢必就會(huì )減少一些這樣的障礙。比如,統一通信可能會(huì )引入客戶(hù)端電腦上的軟件使用。為了測試商業(yè)VoIP網(wǎng)絡(luò ),有人還專(zhuān)門(mén)模擬了針對VoIP的網(wǎng)絡(luò )攻擊。事后他們指出,微軟的Office Communications Server客戶(hù)端和思科的通信客戶(hù)端的呼叫中心應用程序,很容易成為潛在的攻擊目標,尤其是受到來(lái)自?xún)炔康墓簟Mㄟ^(guò)語(yǔ)音服務(wù)連接VoIP的客戶(hù)端,它們可以侵入數據虛擬局域網(wǎng),從而造成更大的破壞。
同樣,統一通信應用程序依賴(lài)于綁定在LDAP和動(dòng)態(tài)目錄服務(wù)器上的語(yǔ)音VLAN,也很容易產(chǎn)生數據網(wǎng)絡(luò )的安全漏洞。通過(guò)語(yǔ)音的VLAN,用戶(hù)密碼和企業(yè)數據都有可能被竊取。
為了保護依賴(lài)于統一通信的VoIP,必須在做出決策之前進(jìn)行風(fēng)險評估。統一通信代表了一系列先進(jìn)的集成和應用,這些集成和應用客觀(guān)上會(huì )導致一些安全風(fēng)險,但是并不是所有的風(fēng)險都是很緊急的。比如,通過(guò)控制統一通信軟件可以觸發(fā)電話(huà)呼叫。更為重要的,則是出現未知的偷聽(tīng)或者應用程序被擾亂的情況,從而隱私被泄露或者呼叫了錯誤的號碼。
保護這些網(wǎng)絡(luò )是完全可以做到的,但是這需要較為復雜的手段,并且還需要更多的企業(yè)付出更多的代價(jià)。
切勿忽略規則要求
規則是個(gè)涉及各行各業(yè)的大問(wèn)題,比如金融,保健和支付卡行業(yè)都具有一些會(huì )影響到VoIP的規則。無(wú)論是語(yǔ)音信箱、即時(shí)信息泄露數據還是視頻會(huì )議透露細節,統一通信都必須保障數據的完整和機密。
統一通信也會(huì )引發(fā)新的涉及數據存儲的法律政策。比如,發(fā)送至電子郵件的語(yǔ)音郵件信息,將可以被視為取證的參考數據。如果這樣的語(yǔ)音信息被存儲在某個(gè)微型驅動(dòng)器上有長(cháng)達三年的時(shí)間,該電子方式存儲的數據在法律上仍然有效。當然,語(yǔ)音信箱還會(huì )面臨更多法律法規方面的問(wèn)題。
使用統一通信獲得成功的企業(yè),一般都在準備階段初期有安全團隊的不懈努力。不幸的是,還有很多企業(yè)并不是從一開(kāi)始就對安全給予足夠重視。
我們建議,在引入統一通信和VoIP初期,就應該設立保障安全和制定規則的團隊協(xié)作,這樣有助于責任明確,劃分電話(huà)專(zhuān)家和基礎架構專(zhuān)家的任務(wù)執行,如果有必要的話(huà),甚至還可以加入訴訟團隊完善協(xié)調機制。
VoIP將會(huì )帶來(lái)一些新技術(shù)的興起。據國外媒體報道,有意以服務(wù)為導向的基礎架構方面投入的IT主管中,有近46%的受訪(fǎng)者表示他們將打算使統一通信和CRM、ERP等SOA應用結合起來(lái)。但是,這樣會(huì )變得更加復雜,因為它把統一通信和VoIP延伸到了應用領(lǐng)域。
另外,企業(yè)行政主管可能會(huì )以為安全就是對任何事情都說(shuō)不,即使意味著(zhù)要斷絕商業(yè)活動(dòng)也要避免網(wǎng)絡(luò )和數據的泄露。我們并不清楚他們是否把安全同業(yè)務(wù)預防等同起來(lái),在組織面臨的風(fēng)險方面,安全團隊在計劃早期所做的工作也并不是十分充足。
當然,VoIP面臨的最大威脅恐怕還是來(lái)自用戶(hù)對安全認識的不夠全面。很多配置VoIP的情形中,都沒(méi)有采取適當的安全措施,比如強制加密,身份認證和訪(fǎng)問(wèn)控制等。此外,一些企業(yè)并未意識到他們所使用的協(xié)議可能隨時(shí)被篡改。最易犯的錯誤就是,為分配VLAN而使用的一些不安全協(xié)議。
我們建議,他們應該使用鏈路層來(lái)監聽(tīng)協(xié)議和802.1x身份驗證,以確保VLAN分配和訪(fǎng)問(wèn)的安全可靠。未經(jīng)安全認證的話(huà),電腦可以偽裝成一部電話(huà),進(jìn)而訪(fǎng)問(wèn)VoIP虛擬局域網(wǎng)并開(kāi)始惡意肆虐。
另一個(gè)問(wèn)題,不是關(guān)于技術(shù)方面而是涉及到團隊之間溝通的考慮。比如,很多客戶(hù)會(huì )發(fā)送購買(mǎi)后并未開(kāi)啟的RFPs,它們擁有加密功能但是卻很少會(huì )被開(kāi)啟。雖然你可以號召安全機構處理這個(gè)事情,但是更多的還是需要團隊間保持溝通,并確保開(kāi)啟了加密功能。
企業(yè)還需要提防內部員工。一些公司在依賴(lài)VoIP方面擁有一些錯誤思想:由于VoIP用戶(hù)處在內部網(wǎng)絡(luò ),公司對這些用戶(hù)給與足夠的信任,并確信沒(méi)有VoIP安全問(wèn)題。其實(shí)這種思想相當危險,因為攻擊者可以輕易訪(fǎng)問(wèn)網(wǎng)絡(luò )并大肆攻擊。只要用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò )并接入連接IP電話(huà)上的HUB,就可以獲得IP電話(huà)上的802.1x認證。電話(huà)只會(huì )驗證連接孔(switch port),之后就不會(huì )對數據包進(jìn)行驗證了。如果攻擊者使用HUB上的驗證,而這HUB正好又是電話(huà)連接網(wǎng)絡(luò )的節點(diǎn),那么攻擊者就可以大舉進(jìn)入VoIP網(wǎng)絡(luò ),并在網(wǎng)絡(luò )中實(shí)現中間人攻擊(man-in-the-middle attack),從而實(shí)現竊聽(tīng)或者改變電話(huà)內容的目的。
就VoIP來(lái)說(shuō),大部分企業(yè)關(guān)注的仍然是以保護基本數據網(wǎng)絡(luò )免受諸如拒絕服務(wù)攻擊為重點(diǎn)。整體上來(lái)看,圍繞VoIP的方方面面,安全問(wèn)題也并沒(méi)有獲得應有的重視。
為了更好的使用VoIP,我們需要給與更多關(guān)注的同時(shí),還特別需要采取一些加密等安全措施。
eNet硅谷動(dòng)力(cio.enet.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
龙江县|
水富县|
合山市|
英德市|
措美县|
和林格尔县|
治县。|
浦江县|
恭城|
桃源县|
塔河县|
岳阳县|
杂多县|
胶南市|
当雄县|
澄江县|
会昌县|
泸西县|
宁陵县|
武城县|
自治县|
肇州县|
南溪县|
龙口市|
阿图什市|
东丽区|
仁化县|
芜湖县|
康保县|
南阳市|
荔波县|
拉萨市|
武冈市|
神木县|
新巴尔虎左旗|
桑日县|
章丘市|
项城市|
定远县|
黄山市|
浦东新区|
http://444
http://444
http://444
http://444
http://444
http://444