眾所周知的行業(yè)術(shù)語(yǔ)如IP語(yǔ)音(Voice over IP ,VoIP)��,IP電話(huà)(IPT)和統(tǒng)一通信(unified communications �����、UC)��,也漸漸成為黑客們攻擊的新途徑��。更令人擔(dān)憂(yōu)的是��,大多數(shù)的企業(yè)沒(méi)有考慮保護(hù)他們的UC部署設(shè)施�����,因?yàn)樗麄儧](méi)有意識(shí)到通信��、視頻會(huì)議以及其它UC 技術(shù)的固有風(fēng)險(xiǎn)�����。這樣一來(lái)�����,反而使得這些設(shè)施的部署大大地增大了他們網(wǎng)絡(luò)的攻擊面�����。
明白VoIP網(wǎng)絡(luò)大多數(shù)的威脅不是針對(duì)UC設(shè)備(例如呼叫管理服務(wù)器�����、語(yǔ)音信箱服務(wù)器或交互語(yǔ)音應(yīng)答系統(tǒng)(IVR)十分關(guān)鍵�。相反,攻擊者們使用 VoIP網(wǎng)絡(luò)作為進(jìn)入數(shù)據(jù)網(wǎng)絡(luò)的入口���,以便他們獲得對(duì)真正能賺錢(qián)的數(shù)據(jù)(例如帳戶(hù)編號(hào)����、信用卡信息和其它私人數(shù)據(jù))的特權(quán)訪(fǎng)問(wèn)��。UC攻擊者們從經(jīng)驗(yàn)中了解到這些網(wǎng)絡(luò)沒(méi)有傳統(tǒng)的邊界入口如公共因特網(wǎng)那么安全���,后者擁有狀態(tài)防火墻和入侵防御系統(tǒng)(IPS)等控制措施保護(hù)����。
對(duì)于安全來(lái)說(shuō)�,部署統(tǒng)一通信設(shè)施(UC)需要新的思路和方法���。通過(guò)在前期就考慮UC安全,安全專(zhuān)家們能幫助他們的公司更為順利���、經(jīng)濟(jì)的過(guò)渡到統(tǒng)一通信技術(shù)。Forrester公司在最近的研究中����,推薦下述六個(gè)步驟來(lái)幫助IT組織避免VoIP安全風(fēng)險(xiǎn)并最終確保他們的UC系統(tǒng)安全。
步驟1:制定UC安全實(shí)施指導(dǎo)
該指導(dǎo)應(yīng)包括的具體行動(dòng)��,就如何安全地部署系統(tǒng)中的組件�����,以及用于配置當(dāng)前網(wǎng)絡(luò)和其現(xiàn)有安全控制的準(zhǔn)則��。它應(yīng)該闡明:
你應(yīng)該如何將網(wǎng)絡(luò)數(shù)據(jù)和VoIP流量隔離
你應(yīng)該如何使用防火墻和IPS來(lái)提升安全
保護(hù)UC網(wǎng)絡(luò)免于竊聽(tīng)攻擊的計(jì)劃
在安全和基礎(chǔ)設(shè)施團(tuán)隊(duì)之間IT規(guī)劃如何劃分各種職責(zé)
步驟2:制定UC安全策略
公司必須從安全的角度對(duì)UC系統(tǒng)的操作和維護(hù)制定可行性策略�����。一般來(lái)說(shuō)��,你可以將你的呃UC安全實(shí)施指導(dǎo)演化為策略�。UC安全正處于起步階段����,還需數(shù)年來(lái)形成一般的����、可用于第三方的最佳實(shí)踐或策略文檔。
步驟3:創(chuàng)建UC安全架構(gòu)
當(dāng)今大部分網(wǎng)絡(luò)設(shè)計(jì)沒(méi)有充分定義UC系統(tǒng)相關(guān)的安全控制�����。因此��,和你的IT基礎(chǔ)設(shè)施同行們一起�����,由內(nèi)而外地?cái)U(kuò)展和設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)十分重要����。創(chuàng)建一個(gè)新的架構(gòu),定義針對(duì)已知攻擊的預(yù)防措施����。例如,在關(guān)鍵的UC子系統(tǒng)如呼叫管理系統(tǒng)����、IVR和語(yǔ)音郵件服務(wù)器的前面放置一個(gè)IPS設(shè)備�,這些都有可能阻止最常見(jiàn)的UC攻擊��?;蚴峭ㄟ^(guò)正確地配置用于防護(hù)UC的服務(wù)器來(lái)預(yù)防基礎(chǔ)設(shè)施攻擊,確保你的服務(wù)器被配置為不給未知的MAC地址分配地址��,并且分析來(lái)自非權(quán)威性服務(wù)器的信息���。此外,通過(guò)開(kāi)啟SRTP協(xié)議的媒體傳輸加密����,以及給像SIP這樣的信道協(xié)議添加傳輸層的安全(TLS),可以更好地減輕竊聽(tīng)攻擊�。記住,如果內(nèi)部網(wǎng)絡(luò)上的流量沒(méi)有加密的話(huà)����,在聚合網(wǎng)絡(luò)上的所有聲音和視頻流量很容易被攔截和竊聽(tīng)。
步驟4:利用現(xiàn)有的安全控制
許多公司有現(xiàn)成的安全控制可以用來(lái)提升UC網(wǎng)絡(luò)的安全����。然而由于UC安全對(duì)于許多組織來(lái)說(shuō)還是新的準(zhǔn)則�,很少有人意識(shí)到他們已經(jīng)存在的控制可以用于保護(hù)極其重要的UC組件��。
步驟5:在VoIP實(shí)施后進(jìn)行滲透測(cè)試
考慮聘請(qǐng)專(zhuān)業(yè)的服務(wù)公司來(lái)對(duì)實(shí)施完成的UC系統(tǒng)進(jìn)行滲透測(cè)試���。這會(huì)有助于判斷在實(shí)施過(guò)程中的安全和策略決策是否有效�����。這些類(lèi)型的測(cè)試從攻擊者的角度觀(guān)察UC網(wǎng)絡(luò)����,使用最新的工具來(lái)嘗試?yán)@過(guò)控制以及獲得對(duì)網(wǎng)絡(luò)的特權(quán)訪(fǎng)問(wèn)���。
步驟6:增加對(duì)滲透測(cè)試發(fā)現(xiàn)的風(fēng)險(xiǎn)的控制措施
一旦完成UC系統(tǒng)的滲透測(cè)試��,你會(huì)有客觀(guān)的�����、可操作的數(shù)據(jù)來(lái)判斷你部署的UC解決方案是否足夠的安全�。如果結(jié)果得出���,現(xiàn)有部署設(shè)施存在不可接受的風(fēng)險(xiǎn)��,你能選擇基于當(dāng)前風(fēng)險(xiǎn)的偏好來(lái)增加額外的控制���。
