相关专题:
随着经济危机带来的持续的资金压力,大型企业和中小企业都开始转向VoIP以进一步节省开支。现在越来越多的数据使用IP作为数据和声音主要传输工具,这将为现有服务(如声音流量等)提供基础,并且将会在未来成为新应用程序(如视频等)带来契机。
在企业网络中,软件客户端、强大的多功能处理设备、IP启用的企业无线网络、SIP启用的手机和IP PBX变得越来越普遍了。网络管理员被要求部署这些新网络来提供最高品质的府服务,同时又不能破坏网络整体性。不过向本地网络引入任何新的IP设备,都会带来新的安全威胁,企业不仅需要了解这些威胁,而且需要为这些威胁做好准备。
VoIP安全趋势
2009年的安全威胁大部分都是已知的漏洞,不过还有一些新的威胁。这些漏洞大部分最早是在2002年被发现的,人们在部署VoIP研究如何节省服务(如长距离)传输的费用时发现的。现在,存在很多技术的和程序的解决方案可以缓解这些潜在的威胁。这些解决方案可以直接由大型企业部署,大约可以为上千个远程未知提供服务,或者作为管理性的VoIP/安全服务传送给较小型企业。以下是关于几个主要威胁的大概介绍以及解决方案,企业可以通过下面提供的解决方案部署一个强大的、可靠的安全网络。
威胁1: DoS/DdoS攻击
这是黑客社区一直喜欢使用的攻击方式,这些攻击可能来自不同的协议水平,如IP层、SIP层等,并且黑客经常使用这种攻击来消耗带宽和资源,特别是位于网络边缘的元素。这种类型的攻击统一可能影响试图打电话的客户。
解决方案:
要想确保大型企业网络免受这种类型的威胁,企业需要部署一个专门用来衡量管理网络边缘各种活动的企业级别解决方案。这种衡量是很重要的,因为它能够确保(当面临威胁时)安全的边缘元素本身没有被攻击,否则,它也会成为DoS代理。对于中小企业而言,可以部署本地产品或者将其作为托管服务的一部分,保护SIP端口汇聚以及IP PBX。
威胁2:窃听风云
只要使用窥探工具就可以窃听核心网络的语音童话,最常被窃听的地址是使用SIP端口汇聚从VoIP供应商MPLS向中小企业局域网发送的不受保护的网络连接。
解决方案:
要想减小本地网络内的这种风险以及维护电话保密性,虚拟局域网络(VLAN)可以用来分离流量或者/和加密媒体流到企业边缘。很多基于SIP的端点(如IAD整合接入设备或者IP PBX)都支持“内置”的签名加密(TLS—传输层安全或者IPSec)和媒介(Secure RTP)同样也可以解决这个问题。
威胁3: 供应商缺乏强硬的VOIP组件
在企业VOIP网络中(IP PBX、功能服务器、交互式语音回应IVR、语音系统、供应系统、SIP代理、智能电话等)很多组件使用商品操作系统,如Windows、Solaris和 Linux等,然而这些都很容易受到O/S攻击,如病毒和恶意软件等。
解决方案:
企业VOIP网络的所有组件都必须进行适当的加强,客户必须要求他们的供应商在购买前确认是否强化他们的产品。这是数据世界的最佳做法,当添加IP语音功能到混合整体时也是很适用的。这主要需要顾客自身去争取,但是从长远价值来看是很值得的。
威胁4: 遵从系统操作的“最佳做法”
最近的一次互联网调查发现,某IP PBX供应商直接连接到互联网,造成几个系统都被登陆且被泄漏,只是因为默认密码没有更改。这是IP网络发生的不必要的后果。
解决方案:
这只是一个简单的威胁,只要花点时间在安装新系统的时候更改出场默认设置密码就可以避免。并且,正如上文提到的,任何基于商品操作系统的VoIP组件都必须被强化,禁用不必要的服务和不使用的端口。另外,为了审计目的和可追踪性而执行安全相关的事件日志记录也是很重要的,以确保网络完整性。
威胁5: 语音钓鱼和SPIT和不必要的电话
就像不必要的电子邮件(垃圾邮件)一样,黑客可以很轻松的设置多个系统或者僵尸网络来阻拦VoIP电话,这种现象也被称为互联网电话垃圾邮件。另外,黑客统一可以利用语音钓鱼攻击来欺骗终端用户,以某个合法原因诱使他们来输入个人信息,如信用卡号码、银行帐号、社会安全号码等待。
解决方案:
当用户在填写表格以购买在线网络服务时就应该注意这个问题,并且在没有适当的身份证明之前,不要把自己的身份信息泄漏给他人。现在有很多先进的技术可以阻止不必要的电话来解决这个问题。设备和用户验证是使网络管理员确定电话是来自合法对象或者授权代理的方法,并以此来降低风险。
威胁6: 免费电话
通过网络拨打免费VoIP电话可以通过几种方式来实现,包括欺骗合法用户、拦截他们的电话或者在挂电话后进行拦截等。攻击者可以通过适当的电话安装(Rogue媒介)使用一个VoIP设备开始发送媒体到网络中。另外一种方法就是,在没有进行任何身份验证呼叫安装的情况下使用SIP端点简单地向目的未知发送媒体。这种电话拦截不仅仅造成呼叫方的资金损失,而且不能保证这些电话是不是为了躲避付款而进行的,这都会让企业处于尴尬的境地。
解决方案:
存储很多技术可以减少这些免费电话,例如在安全的边缘组件的Rogue RTP保护以及呼叫者身份验证(使用电子证书),这些都可以避免问题的发生。
VoIP从内至外的保护
除了以上提及到的解决方案外,还有很多托管解决方案可以帮助企业处理各种各样的基于IP电话的威胁。用于保护和强化网络服务器、数据库系统和电子邮件系统的传统技术确实也可以帮上忙,同时也存在一套载体级别的边缘控制解决方案,可以帮助企业管理网络的核心部分到接入点(上述很多威胁都发生在此处)免受安全威胁。当在评估边缘控制解决方案时,企业需要一个更新版本的技术来提供更好的可扩展性和强大的功能。
企业可以采用载体级别的网络边缘解决方案,来提供企业级别的可靠性和扩展性以确保持续的可靠的安全性。部署这些下一代解决方案(很多在载体环境经常使用)还可以提供增值服务,如媒体管理以及边界会话控制器(SBC)找不到的telco级别的可靠性。部署这些解决方案后,企业和中小企业可以更加自信地迎接下一代网络,为员工提供统一通信服务。
为了评估这些威胁和解决方案,企业还应该注意的是,标准社区(如SIPconnect和SIP论坛)的不断变化的规格和部署框架标准。这些标准明确规定了企业/供应商SIP端点汇集应该如何相互操作以及安全性,如使用TLS进行加密等。在2009年,VoIP供应商社区将会加入这些框架标准,使企业VoIP链接更加便于管理以及更加安全。企业需要查询一下他们的VoIP供应商是否支持关键框架(如SIPconnect等)。
结语
随着VoIP的普及,安全威胁也逐渐成为当今企业的主要课题。但是,如果企业能够明确威胁所在,并且部署适当的解决方案,那么企业就能够阻止这些威胁发展为更严重的问题。另外,企业在考虑购买新解决方案时应该紧密联系企业的业务目标。有了这些,大型企业、中小企业以及网络管理员就能够更加自信的面对IP下一代网络,为员工提供统一通信服务。
作者:邹铮编译 来源:IT专家网
