统一通信(UC)将为你的VoIP网络打开了通往协作的大门,包括即时通讯,视频,商业应用和电子邮件之间的协作互补,并且也开启了新一轮的安全风险。
而对于VoIP网络来说,最大的风险仍然是基于IP网络基础设施的攻击。由于创建VoIP网络和企业数据网络之间的连接,统一通信会面临着新的安全攻击。
一般情况下,会有很多企业极力隔离VoIP网络,它们通过创建保护语音网络的离岛来最大化地限制不必要电话的接入,以保护自身的网络和数据安全。
而现在,统一通信可以改变这一切。通过定义你所开启的基础网络构架,统一通信可以帮助你解决企业内外环境不同客户和商业伙伴的协作问题。
以前可能会出现的偷听,篡改,截获,欺诈等网络攻击,现在也将会由于UC的采用而变得更加司空见惯。
切勿忽略IP网络攻击
虽然在现实中理论上的VoIP特定攻击很少,但是我们并不能放松警惕。我们需要采取最基本的措施充分保障IP网络的安全。
通常情况下,人们比较留意色情类的攻击,以防偷听,假冒或者欺骗等的破坏。这些,也是面临的网络攻击威胁中最具普遍性的。
此外,企业用户在配置VoIP时应该留意统一通信开放出来的安全漏洞。安全总是关于黑客和肉鸡之间尽可能多的障碍问题,一旦选择引入统一通信,那么势必就会减少一些这样的障碍。比如,统一通信可能会引入客户端电脑上的软件使用。为了测试商业VoIP网络,有人还专门模拟了针对VoIP的网络攻击。事后他们指出,微软的Office Communications Server客户端和思科的通信客户端的呼叫中心应用程序,很容易成为潜在的攻击目标,尤其是受到来自内部的攻击。通过语音服务连接VoIP的客户端,它们可以侵入数据虚拟局域网,从而造成更大的破坏。
同样,统一通信应用程序依赖于绑定在LDAP和动态目录服务器上的语音VLAN,也很容易产生数据网络的安全漏洞。通过语音的VLAN,用户密码和企业数据都有可能被窃取。
为了保护依赖于统一通信的VoIP,必须在做出决策之前进行风险评估。统一通信代表了一系列先进的集成和应用,这些集成和应用客观上会导致一些安全风险,但是并不是所有的风险都是很紧急的。比如,通过控制统一通信软件可以触发电话呼叫。更为重要的,则是出现未知的偷听或者应用程序被扰乱的情况,从而隐私被泄露或者呼叫了错误的号码。
保护这些网络是完全可以做到的,但是这需要较为复杂的手段,并且还需要更多的企业付出更多的代价。切勿忽略规则要求
规则是个涉及各行各业的大问题,比如金融,保健和支付卡行业都具有一些会影响到VoIP的规则。无论是语音信箱、即时信息泄露数据还是视频会议透露细节,统一通信都必须保障数据的完整和机密。
统一通信也会引发新的涉及数据存储的法律政策。比如,发送至电子邮件的语音邮件信息,将可以被视为取证的参考数据。如果这样的语音信息被存储在某个微型驱动器上有长达三年的时间,该电子方式存储的数据在法律上仍然有效。当然,语音信箱还会面临更多法律法规方面的问题。
使用统一通信获得成功的企业,一般都在准备阶段初期有安全团队的不懈努力。不幸的是,还有很多企业并不是从一开始就对安全给予足够重视。
我们建议,在引入统一通信和VoIP初期,就应该设立保障安全和制定规则的团队协作,这样有助于责任明确,划分电话专家和基础架构专家的任务执行,如果有必要的话,甚至还可以加入诉讼团队完善协调机制。
VoIP将会带来一些新技术的兴起。据国外媒体报道,有意以服务为导向的基础架构方面投入的IT主管中,有近46%的受访者表示他们将打算使统一通信和CRM、ERP等SOA应用结合起来。但是,这样会变得更加复杂,因为它把统一通信和VoIP延伸到了应用领域。
另外,企业行政主管可能会以为安全就是对任何事情都说不,即使意味着要断绝商业活动也要避免网络和数据的泄露。我们并不清楚他们是否把安全同业务预防等同起来,在组织面临的风险方面,安全团队在计划早期所做的工作也并不是十分充足。
当然,VoIP面临的最大威胁恐怕还是来自用户对安全认识的不够全面。很多配置VoIP的情形中,都没有采取适当的安全措施,比如强制加密,身份认证和访问控制等。此外,一些企业并未意识到他们所使用的协议可能随时被篡改。最易犯的错误就是,为分配VLAN而使用的一些不安全协议。
我们建议,他们应该使用链路层来监听协议和802.1x身份验证,以确保VLAN分配和访问的安全可靠。未经安全认证的话,电脑可以伪装成一部电话,进而访问VoIP虚拟局域网并开始恶意肆虐。
另一个问题,不是关于技术方面而是涉及到团队之间沟通的考虑。比如,很多客户会发送购买后并未开启的RFPs,它们拥有加密功能但是却很少会被开启。虽然你可以号召安全机构处理这个事情,但是更多的还是需要团队间保持沟通,并确保开启了加密功能。
企业还需要提防内部员工。一些公司在依赖VoIP方面拥有一些错误思想:由于VoIP用户处在内部网络,公司对这些用户给与足够的信任,并确信没有VoIP安全问题。其实这种思想相当危险,因为攻击者可以轻易访问网络并大肆攻击。只要用户访问网络并接入连接IP电话上的HUB,就可以获得IP电话上的802.1x认证。电话只会验证连接孔(switch port),之后就不会对数据包进行验证了。如果攻击者使用HUB上的验证,而这HUB正好又是电话连接网络的节点,那么攻击者就可以大举进入VoIP网络,并在网络中实现中间人攻击(man-in-the-middle attack),从而实现窃听或者改变电话内容的目的。
就VoIP来说,大部分企业关注的仍然是以保护基本数据网络免受诸如拒绝服务攻击为重点。整体上来看,围绕VoIP的方方面面,安全问题也并没有获得应有的重视。
为了更好的使用VoIP,我们需要给与更多关注的同时,还特别需要采取一些加密等安全措施。
