在許多公司中����,數(shù)據(jù)網(wǎng)絡和電信世界融合,且語音和視頻流量同企業(yè)的其它數(shù)據(jù)一起跑在同一個網(wǎng)絡上�。眾所周知的行業(yè)術語如IP語音(Voice over IP ,VoIP)���,IP電話(IPT)和統(tǒng)一通信(unified communications ��、UC)����,也漸漸成為黑客們攻擊的新途徑�。更令人擔憂的是,大多數(shù)的企業(yè)沒有考慮保護他們的UC部署設施���,因為他們沒有意識到通信�、視頻會議以及其它UC 技術的固有風險��。這樣一來����,反而使得這些設施的部署大大地增大了他們網(wǎng)絡的攻擊面�。
明白VoIP網(wǎng)絡大多數(shù)的威脅不是針對UC設備(例如呼叫管理服務器�����、語音信箱服務器或交互語音應答系統(tǒng)(IVR)十分關鍵���。相反����,攻擊者們使用 VoIP網(wǎng)絡作為進入數(shù)據(jù)網(wǎng)絡的入口����,以便他們獲得對真正能賺錢的數(shù)據(jù)(例如帳戶編號、信用卡信息和其它私人數(shù)據(jù))的特權訪問�。UC攻擊者們從經(jīng)驗中了解到這些網(wǎng)絡沒有傳統(tǒng)的邊界入口如公共因特網(wǎng)那么安全���,后者擁有狀態(tài)防火墻和入侵防御系統(tǒng)(IPS)等控制措施保護��。
對于安全來說����,部署統(tǒng)一通信設施(UC)需要新的思路和方法。通過在前期就考慮UC安全�,安全專家們能幫助他們的公司更為順利、經(jīng)濟的過渡到統(tǒng)一通信技術����。Forrester公司在最近的研究中,推薦下述六個步驟來幫助IT組織避免VoIP安全風險并最終確保他們的UC系統(tǒng)安全����。
步驟1:制定UC安全實施指導
該指導應包括的具體行動,就如何安全地部署系統(tǒng)中的組件�����,以及用于配置當前網(wǎng)絡和其現(xiàn)有安全控制的準則�。它應該闡明:
你應該如何將網(wǎng)絡數(shù)據(jù)和VoIP流量隔離
你應該如何使用防火墻和IPS來提升安全
保護UC網(wǎng)絡免于竊聽攻擊的計劃
在安全和基礎設施團隊之間IT規(guī)劃如何劃分各種職責
步驟2:制定UC安全策略
公司必須從安全的角度對UC系統(tǒng)的操作和維護制定可行性策略。一般來說���,你可以將你的呃UC安全實施指導演化為策略��。UC安全正處于起步階段��,還需數(shù)年來形成一般的�����、可用于第三方的最佳實踐或策略文檔�。
步驟3:創(chuàng)建UC安全架構(gòu)
當今大部分網(wǎng)絡設計沒有充分定義UC系統(tǒng)相關的安全控制。因此�,和你的IT基礎設施同行們一起,由內(nèi)而外地擴展和設計網(wǎng)絡架構(gòu)十分重要��。創(chuàng)建一個新的架構(gòu)��,定義針對已知攻擊的預防措施���。例如�����,在關鍵的UC子系統(tǒng)如呼叫管理系統(tǒng)�、IVR和語音郵件服務器的前面放置一個IPS設備�,這些都有可能阻止最常見的UC攻擊?���;蚴峭ㄟ^正確地配置用于防護UC的服務器來預防基礎設施攻擊�����,確保你的服務器被配置為不給未知的MAC地址分配地址,并且分析來自非權威性服務器的信息���。此外�����,通過開啟SRTP協(xié)議的媒體傳輸加密����,以及給像SIP這樣的信道協(xié)議添加傳輸層的安全(TLS)�,可以更好地減輕竊聽攻擊。記住����,如果內(nèi)部網(wǎng)絡上的流量沒有加密的話,在聚合網(wǎng)絡上的所有聲音和視頻流量很容易被攔截和竊聽����。
步驟4:利用現(xiàn)有的安全控制
許多公司有現(xiàn)成的安全控制可以用來提升UC網(wǎng)絡的安全。然而由于UC安全對于許多組織來說還是新的準則���,很少有人意識到他們已經(jīng)存在的控制可以用于保護極其重要的UC組件��。
步驟5:在VoIP實施后進行滲透測試
考慮聘請專業(yè)的服務公司來對實施完成的UC系統(tǒng)進行滲透測試�。這會有助于判斷在實施過程中的安全和策略決策是否有效。這些類型的測試從攻擊者的角度觀察UC網(wǎng)絡����,使用最新的工具來嘗試繞過控制以及獲得對網(wǎng)絡的特權訪問。
步驟6:增加對滲透測試發(fā)現(xiàn)的風險的控制措施
一旦完成UC系統(tǒng)的滲透測試�,你會有客觀的、可操作的數(shù)據(jù)來判斷你部署的UC解決方案是否足夠的安全�。如果結(jié)果得出,現(xiàn)有部署設施存在不可接受的風險�,你能選擇基于當前風險的偏好來增加額外的控制。
