随着持续的压力来减少商业中的固定成本,企业和SMB正在寻找VoIP作为节省成本的机会。越来越多的数据验证,使用IP作为数据和语音的公共传输将为语音流量等现有服务提供基础,并成为未来的新应用的车辆,例如存在和视频。
软客户端,功能强大的多功能手持设备,启用IP企业内的无线网络,启用SIP的手机和IP PBX在企业网络中正变得更加普遍。被要求网络管理员旨在实现这些新网络以提供高质量的服务,而不会影响网络完整性。但随着将任何新的IP设备引入本地网络,有安全漏洞,组织不仅要意识到,而且为其准备好。
VoIP安全趋势......老人,新的东西
2009年的安全挑战大多是众所周知的漏洞,但有一些新的曲折。这些漏洞的大多数是由运营商发现的,因为他们在2002年部署了VoIP,寻找节省成本,以便在远程距离等服务中。今天,有解决方案,技术和程序,可以减轻这些潜在的利用。这些解决方案可以由大型企业直接部署,潜在地维护数千个远程位置,或者可以作为托管VoIP /安全服务提供给较小的企业。以下是企业如何实现强大,可靠和安全的网络,以解决最强调的威胁:
威胁#1:DOS / DDOS攻击黑客社区的古老最爱,这些攻击来自各种协议级别。IP层,SIP层等;并且用于消耗带宽和资源,尤其是位于网络边缘的元素中。这些类型的攻击也可能影响尝试拨打电话的其他客户。
解决方案:为了确保在大型企业网络中的正确缓解,组织需要一个专门设计的企业级解决方案,以便管理网络边缘处活动的涌入。这种可伸缩性至关重要,因为它确保了安全边缘元素本身不会在治疗攻击时不堪重负,否则它成为一个DOS代理本身。对于SMB,有可比产品可以在现场部署或作为托管服务的一部分,保护SIP主干保护其前提的IP PBX。
威胁#2:“我知道去年夏天的说法”窥探工具的个人可以在核心网络上挑选或窃听语音呼叫。流行的窃听位置是使用SIP中继线到SMB LAN的VoIP提供商MPLS骨干网的无抵押网络连接。
解决方案:为了减轻本地网络内的这种风险并维护呼叫隐私,虚拟LAN(VLAN)可用于分离流量和/或将媒体流解除到企业边缘。许多基于SIP的端点,如集成接入设备(IAD)或IP PBX支持“内置的信令(TLS - 传输层安全或IPsec)和媒体(安全RTP)也可以解决这种可能的漏洞。
威胁#3:供应商缺少硬化VoIP元素的企业VoIP网络中的许多元素(IP PBX,功能服务器,交互式语音响应(IVR),语音邮件系统,配置系统,SIP代理,智能手机等)使用商品操作系统Windows,Solaris和Linux,因此受到O / S特定漏洞,如病毒和恶意软件。
解决方案:企业VoIP网络中的所有元素必须妥善硬化,客户应在购买前要求供应商验证硬化。这是数据世界中的“最佳实践”很好地理解,并且在将基于IP的语音元素添加到混合时同样适用。这对客户一侧有点工作,但在长远来看,值得努力的努力和努力。
威胁#4:遵循系统操作“最佳实践”最近的一个IP PBX供应商直接连接到Internet的IP PBX供应商显示了许多可以登录的系统,因为默认密码没有更改。这可能对IP网络具有不必要的后果。
解决方案:这是一种简单的威胁,可以通过在安装新系统时,在安装新系统时,通过提前更改出厂默认密码,可以轻松避免。如前所述,基于商品操作系统的任何VoIP元素都必须硬化,不必要的服务禁用和未使用的端口关闭。此外,必须执行安全相关的事件记录,以便审计目的和可追溯性以确保正在进行的网络完整性。再一次,常识应该占上风,这个过程不会破坏银行执行。
威胁#5:vhishing and spit和不需要的电话,哦,我!!就像不需要的电子邮件VIS-A-VIS垃圾邮件一样,HACKER很容易设置多个系统或“机器人”,以便于轻松地将呼叫拨打VoIP电话。这种现象称为窥视禁止互联网电话。此外,黑客还可以使用vhishing的策略作为“欺骗”最终用户在需要获得合法原因的幌子下投入“欺骗”诸如信用卡号,银行账户,社会安全号等的个人信息,如幌子。
解决方案:当个人填写基于网上的网络的表格时,应使用手机呼叫采取相同的预防措施,并注意不要在没有适当身份识别的情况下提供此类信息。有不断发展的技术来阻止不需要的呼叫并解决这种威胁。设备和用户身份验证是一种度量,使网络管理员能够确定呼叫来自合法的公司和授权代理,最大限度地减少风险。
威胁#6:自由乘坐在运营商的网络(收费欺诈)上进行免费VoIP呼叫的能力可以实现许多方式,包括欺骗合法的用户,拦截他们的呼叫,或劫持一端对话。从那里,黑客可以使用呼叫设置(Rogue Media)开始将媒体发送到网络中的VoIP设备。“自由骑行”的另一个例子是当SIP端点只开始将媒体发送到目的地而没有任何经过身份验证的呼叫设置。流氓呼叫不仅意味着对运营商的收入损失,而且还没有保证这些呼叫只是为了避免付款;它们可能是为了秘密的原因而制作,呼叫者不希望留下任何可追溯性或唱片的记录,使组织处于敏感的位置。
解决方案:有许多技术可以减轻这些免费呼叫尝试,例如在安全边缘元件中的流氓RTP保护以及使用数字证书可以在网络边缘完成的呼叫者身份验证以停止这种做法。
VoIP:从内部保护
除了上面探索的解决方案之外,还有许多解决方案可用于帮助管理对可启用IP电话的广泛潜在威胁。用于保护和硬化Web服务器,数据库系统和电子邮件系统的传统技术肯定会有所帮助,但还有一组运营商类边境控制解决方案,可以帮助组织从其网络的核心管理安全威胁接入点,其中许多上述威胁发生。当评估边境控制解决方案企业时,企业应该是一种新的这项技术,可提供更高的可扩展性和强大的功能。
组织可以获得一个运营商级网络边界解决方案,可以轻松提供企业可靠性和可扩展性,以确保现有和新兴威胁的恒定,可靠的安全性。部署了这些下一代解决方案,其中许多解决方案已经在传送环境中全局验证,还可以提供价值添加的服务,例如媒体管理和电信等级“五个9S”可靠性,在传统会话边界控制器(SBC)中找不到可靠性。通过这些解决方案到位,企业和SMB可以对下一代网络提供更大的信心,为员工提供统一的通信(UC),适用于员工。
在评估所有这些威胁和解决方案时,企业也很重要,了解有来自SIPConnect和SIP论坛等标准社区的不断发展的规格和部署框架。这些标准指定了企业/提供商SIP中继应如何互操作和安全的选项。使用TLS进行加密。2009年,我们将在VoIP供应商社区中继续接受,以遵守此类框架,使企业VoIP连接更易于管理和安全。企业应查询他们的VoIP供应商,以支持互联网等关键框架的支持。
综上所述
随着VoIP部署变得更加普遍,安全威胁将继续为当今企业提出问题。但是,如果这些组织仍然有关与其业务相关的具体威胁和解决方案,但它们将处于更强大的立场,以阻止他们渗透到更大的问题。此外,在考虑新的解决方案时,企业应密切评估其业务目标,并按照满足这些目标对齐所有选项。通过这些考虑因素,企业,SMB及其网络管理者可以对IP启用下一代网络的更大信心,为员工提供统一通信(UC),适用于ON和异地。
Bob Bradley是Sonus网络安全解决方案的产品线管理器,是运营商类IP语音基础架构解决方案的领先提供商。他可以到达rbradley@sonusnet.com.。
这个故事,“VoIP安全:基础知识”最初发布CSO 。