小心統一通信安全威脅—統一通信(UC)帶來(lái)必須提防的潛在安全漏洞
2008/12/23
統一通信為VoIP網(wǎng)絡(luò )打開(kāi)通向協(xié)作的大門(mén),這些協(xié)作方式包括即時(shí)消息、視頻、業(yè)務(wù)應用和電子郵件。但它也使網(wǎng)絡(luò )面臨新的攻擊。
盡管VoIP網(wǎng)絡(luò )最大的實(shí)際威脅仍是對基礎IP網(wǎng)絡(luò )基礎設施的攻擊,但UC通過(guò)建立VoIP網(wǎng)絡(luò )與企業(yè)數據網(wǎng)絡(luò )之間的連接更換了新的攻擊角度。
Nemertes Research公司分析師Ted Ritter說(shuō),當前多數企業(yè)部署通常試圖盡可能地隔離VoIP,通過(guò)廣泛限制不需要支持呼叫的設備訪(fǎng)問(wèn)權來(lái)建立保護語(yǔ)音網(wǎng)絡(luò )的孤島。
統一通信改變了這一切。Ritter說(shuō):“在使用UC時(shí),按照定義,用戶(hù)開(kāi)放基礎設施并關(guān)注協(xié)作,擴展到企業(yè)之外連接貿易合作伙伴和客戶(hù)。”
竊聽(tīng)、篡改會(huì )話(huà)、偷打電話(huà)、進(jìn)行話(huà)費欺詐、以及利用呼叫淹沒(méi)目標分機(這些活動(dòng)以前都是可能的)變得更容易。
不要忽視基本網(wǎng)絡(luò )攻擊
然而,VoIP安全聯(lián)盟主席、Tipping Point高級安全研究主管David Endler說(shuō),在現實(shí)中,這些理論上的VoIP特有的攻擊很少真正發(fā)生。他承認,作為VoIP基礎的IP網(wǎng)絡(luò )的基本措施仍是最好的保護。
Endler說(shuō):“人們可能往往會(huì )研究一些更感性的攻擊類(lèi)型以防止它們—如竊聽(tīng)或假冒、或呼叫者ID哄騙。但真實(shí)情況是,當前最普遍的威脅是非常基本的網(wǎng)絡(luò )級類(lèi)型的攻擊。”
Global Knowledge公司Stuart McLeod說(shuō),部署VoIP的企業(yè)仍應當意識到UC可能打開(kāi)的安全裂縫。他說(shuō):“安全性的關(guān)鍵始終是在黑客與他的目標之間建立盡可能多的障礙層。一旦采用統一通信,我們會(huì )失去幾個(gè)障礙層。”
例如,Viper Labs主管Jason Ostrom說(shuō),UC可能引入在PC上使用軟電話(huà)客戶(hù)程序,這可能造成麻煩。Viper Labs是專(zhuān)業(yè)從事VoIP安全的廠(chǎng)商—Sipera公司的安全研究機構。著(zhù)眼于測試企業(yè)VoIP網(wǎng)絡(luò )的Ostrom在試驗室中開(kāi)發(fā)針對VoIP的攻擊,自動(dòng)化已有的攻擊讓它們變得更復雜。
用于呼叫中心應用的Microsoft Office Communications Server客戶(hù)端程序和Cisco Communicator軟電話(huà)客戶(hù)端程序可能成為發(fā)動(dòng)攻擊的潛在站點(diǎn),尤其是來(lái)自?xún)炔咳藛T的攻擊。他說(shuō),他們可以通過(guò)這些客戶(hù)程序入侵數據虛擬LAN。因為這些客戶(hù)程序提供連接VoIP VLAN的語(yǔ)音收聽(tīng)服務(wù)。
此外,UC應用生存連接到LDAP和Active Directory服務(wù)器的語(yǔ)音VLAN上,從而打開(kāi)暴露數據網(wǎng)絡(luò )的另一個(gè)通道。Ostrom說(shuō):“用戶(hù)口令和企業(yè)數據可以通過(guò)語(yǔ)音VLAN來(lái)偷竊。”
數據安全咨詢(xún)機構Cryptography Research總裁兼首席科學(xué)家Paul Kocher說(shuō),風(fēng)險評估是做出保護與UC連接的VoIP決定所不可缺少的。他說(shuō),UC代表著(zhù)連接可能造成其他風(fēng)險,但并不全是緊急風(fēng)險應用的一系列復雜的集成點(diǎn)。
例如,在UC軟件中,程序可以被配置為觸發(fā)電話(huà)呼叫,但這不是個(gè)大問(wèn)題。Kocher說(shuō):“存在著(zhù)潛在的竊聽(tīng)場(chǎng)景或者應用可能被破壞來(lái)?yè)艽蝈e誤的電話(huà)號碼。但是這些并不是讓你為之擔心的問(wèn)題。”
Ritter說(shuō),保護這類(lèi)網(wǎng)絡(luò )是可能的,但越來(lái)越大的復雜性意味著(zhù)更多的企業(yè)單位必須在比獨立VoIP所需要的更高級別上的參與。
不要忽視遵從性因素
遵從性是金融、醫療保健和支付卡等行業(yè)中的大問(wèn)題,這些行業(yè)擁有可能影響到VoIP的管理規定。必須保護UC,防止數據泄露。不管數據是利用電子郵件發(fā)送的語(yǔ)音郵件、發(fā)送到公司之外的IM,還是保存在硬盤(pán)上、包含患者信息的存檔視頻會(huì )議。
Ritter說(shuō),在UC部署上最成功的企業(yè)是讓安全團隊在規劃過(guò)程的早期就參與進(jìn)來(lái),但這不是通常的情況。他說(shuō):“不幸的是,我們仍發(fā)現安全團隊通常屬于最后參與規劃的團隊之一。”
Ritter建議在規劃UC和VoIP時(shí),及早讓安全團隊和遵從性團隊一起工作。這樣做可以解除更可能是電話(huà)專(zhuān)家或一般基礎設施專(zhuān)家的大部分安全責任。法律團隊也應當及早參與規劃工作。
隨著(zhù)新技術(shù)的采用,VoIP的暴露面將繼續增長(cháng)。Nemertes發(fā)現,接受調查的規劃,面向服務(wù)架構的IT經(jīng)理中有46%的人認為,他們還計劃將UC與像CRM或ERP這樣的SOA應用相集成。
Ritter說(shuō):“由于這將把UC和VoIP擴展到應用域中,因此增加了另一層復雜性。”盡管存在這種風(fēng)險,但Nemertes發(fā)現,安全團隊對SOA部署的貢獻最少。
專(zhuān)家們說(shuō),也許VoIP安全面臨的最大威脅是許多用戶(hù)沒(méi)有通盤(pán)考慮安全性。
Ostrom說(shuō):“我看到的多數VoIP部署沒(méi)有建議實(shí)行像強加密、認證和接入控制等最佳實(shí)踐來(lái)保護VoIP網(wǎng)絡(luò )不受其余網(wǎng)絡(luò )的影響。”
除此之外,一些企業(yè)沒(méi)有意識到它們使用會(huì )很容易被篡改的協(xié)議。Avaya公司安全規劃與戰略高級經(jīng)理Andy Zmolek說(shuō):“我看到的最常見(jiàn)的錯誤是在VLAN分配這類(lèi)事情上采用不安全的協(xié)議。”
Zmolek說(shuō):“他們應當使用鏈路層發(fā)現協(xié)議和802.1X認證來(lái)確保VLAN分配和訪(fǎng)問(wèn)控制是安全的。”缺少安全認證,PC可以偽裝成一部電話(huà),接入VoIP VLAN,然后造成一場(chǎng)災難。
他認為,另一個(gè)問(wèn)題與技術(shù)無(wú)關(guān),而與支持部署技術(shù)的團隊內的溝通有聯(lián)系。例如,許多客戶(hù)發(fā)出包含他們在購買(mǎi)后從來(lái)不啟用的特性的RFP(需求方案說(shuō)明書(shū))。他說(shuō):“他們具有加密信令和媒體的能力,但他們很少啟用這種能力。他們可能會(huì )說(shuō)這應當由安全部門(mén)來(lái)處理,但安全團隊才開(kāi)始了解如何確保實(shí)施所需要的安全性。”
Ostrom說(shuō),企業(yè)應當小心,不要理所當然地信任自己的雇員。他發(fā)現,依靠VoIP的企業(yè)中存在錯誤的想法:由于VoIP用戶(hù)在內部網(wǎng)絡(luò )上,而這些用戶(hù)是可信任的,因此不存在VoIP安全問(wèn)題。他說(shuō),這是危險的假設。因為如果他們錯了的話(huà),一個(gè)擁有網(wǎng)絡(luò )訪(fǎng)問(wèn)權的攻擊者會(huì )造成巨大的破壞。
他還說(shuō),具有網(wǎng)絡(luò )訪(fǎng)問(wèn)權的用戶(hù)可以通過(guò)把一臺欺詐便攜機連接在一臺被電話(huà)共享的集線(xiàn)器上,搭載在成功的IP電話(huà)802.1X認證上進(jìn)入數據網(wǎng)絡(luò )。
這部電話(huà)認證登錄交換機端口,但此后沒(méi)有對每個(gè)數據包的認證。如果攻擊者與電話(huà)用來(lái)連接網(wǎng)絡(luò )的集線(xiàn)器共享的認證,他就獲得了對VoIP網(wǎng)絡(luò )的訪(fǎng)問(wèn),并可以發(fā)動(dòng)竊聽(tīng)或修改電話(huà)呼叫內容的中間人攻擊。
“我們開(kāi)發(fā)了一種證明這種攻擊的概念證明工具。利用這種工具,他們可以以其他電話(huà)或VLAN跳轉為目標攻擊數據網(wǎng)絡(luò )。”Ostrom表示。
Nemertes分析師Irwin Lazar說(shuō),企業(yè)對VoIP的主要擔心仍是如何保護基礎數據網(wǎng)絡(luò )免受像拒絕服務(wù)攻擊這樣的影響。
網(wǎng)界網(wǎng)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
永兴县|
农安县|
句容市|
襄樊市|
贡觉县|
余干县|
裕民县|
泸西县|
山西省|
威海市|
洛隆县|
扎囊县|
靖州|
和田县|
北海市|
湄潭县|
靖州|
聂拉木县|
乌鲁木齐县|
旬邑县|
灵武市|
华池县|
彰化县|
马龙县|
大冶市|
界首市|
巴楚县|
铜陵市|
台江县|
鄂托克前旗|
肇东市|
株洲市|
阿鲁科尔沁旗|
前郭尔|
瓦房店市|
正阳县|
大竹县|
神池县|
遵义市|
介休市|
沁源县|
http://444
http://444
http://444
http://444
http://444
http://444