统一通信为您的VoIP网络开辟了新的协作途径,包括即时消息、视频、商业应用程序和电子邮件。并为您的网络开辟了新的攻击途径。
统一通信打开你的网络电话网络到新的协作途径,包括即时消息,视频,业务应用程序和电子邮件。并为您的网络开辟了新的攻击途径。
请阅读网络有个足球雷竞技app世界对Avaya UC平台的测试。
而VoIP网络最大的实际威胁仍然是对底层IP网络基础设施的攻击,UC通过创建VoIP网络和企业数据网络之间的连接,打开了新的攻击角度。
Nemertes Research的分析师特德•里特尔(Ted Ritter)说,通常情况下,如今大多数公司的部署都试图尽可能地隔离VoIP,通过广泛限制支持通话的不必要设备的接入,建立起保护语音网络的“孤岛”。
统一通信更改所有这些。“通过UC,根据定义,您正在开辟您的基础架构并专注于协作,在企业外到达贸易伙伴和客户,”Ritter说。
他说,窃听、改变谈话内容、窃取电话权限以进行长途诈骗和向有针对性的分机发送大量电话——所有这些以前都是可能的——变得越来越容易。
不要忽略基本的IP网络攻击
不过,IP语音安全联盟主席、Tipping Point安全研究高级主管戴维•恩德勒(David Endler)表示,实际上,这些理论上的针对voip的攻击很少发生在野外。恩德勒与人合著了一本关于此类攻击的书,名为《黑客攻击VoIP》,但他也承认,保护支撑VoIP的IP网络的基本步骤仍然是最好的保护。
Endler说:“人们可能倾向于关注一些更性感的攻击类型来防止它们——比如窃听、假冒或来电显示欺骗——事实是,目前最普遍的威胁是非常基本的网络级别的攻击。”
然而,IT培训公司Global Knowledge教授VoIP的课程主管斯图尔特•麦克劳德(Stuart McLeod)表示,部署VoIP的企业应该意识到UC可能带来的安全隐患安全课程。“安全就是在黑客和他的目标之间设置尽可能多的障碍。一旦你转向统一通信,我们就失去了一些。”
例如,加州大学可能会在个人电脑上引入软电话客户端,这可能会引起麻烦,Viper实验室的主任杰森·奥斯特罗姆说Sipera.这是一家专门研究VoIP安全的供应商。为了测试商业VoIP网络,Ostrom在他的实验室中开发了特定于VoIP的攻击,使现有的攻击自动化,使它们更加复杂。
他说这件事说微软Office Communications Server客户端和思科用于呼叫中心应用程序的通信器软电话客户端可能成为攻击的潜在站点,特别是来自内部人员的攻击。他说,他们可以通过客户侵入数据虚拟局域网,客户有监听语音服务,可以接入VoIP VLAN。
另外,UC应用程序它位于语音VLAN中,与LDAP和Active Directory服务器绑定在一起,为数据网络创建了另一个公开。“用户密码和公司数据可以通过语音VLAN被盗,”奥斯特罗姆说。
风险评估是至关重要的,以作出决定,保卫VoIP与加州大学说,保罗科赫,总裁和首席科学家加密研究,数据安全咨询。他说,UC代表了一系列具有可以创造其他风险的应用程序的复杂集成点,但并非所有这些都是紧急的。
例如,在UC软件中,程序可以配置为触发电话呼叫,但这不是主要问题。“有潜在的窃听场景或应用程序可能被破坏,以拨打错误的电话号码,”Kocher说。“但这不是你晚上躺在床上担心的事情。”
Ritter说,可以捍卫这些网络,但增加的复杂性意味着更多的企业业务单位需要涉及比独立VoIP所需的更高水平。
不要忽视合规性因素
遵守这在金融、医疗和支付卡行业是一个大问题,这些行业的法规可能会影响VoIP。UC必须防止数据泄露,无论是通过电子邮件发送的语音邮件,发送到公司外部的即时消息,还是保存在磁盘上的包含患者信息的视频会议存档。
RITTER说,UC还可以创造可能影响有关存储呼叫数据的政策的新法律复杂性。例如,语音邮件到电子邮件的附件被归类为在诉讼的发现阶段必须提供的电子数据,他说。他说,如果这样的语音邮件存储在桌面抽屉中的拇指驱动器上,则可以作为电子存储数据可被发现。“即使语音邮件系统本身在多年前清除它,语音邮件仍然存在,”Ritter说。
Ritter说,部署UC最成功的企业会在规划过程的早期就引入他们的安全团队,但通常情况并非如此。“不幸的是,我们仍然发现安全部门通常是最后参与规划的团队之一,”他说。
Ritter建议在规划UC和VoIP时尽早召集安全和遵从团队。这将很大一部分安全责任从实现者身上卸下,实现者更可能是电话专家或一般基础设施专家。甚至企业诉讼团队也应该加入。他说,随着新技术的发展,VoIP的曝光量将继续增加。Nemertes发现,在计划面向服务架构的受访IT高管中,46%的人表示,他们也计划将UC与他们的服务架构集成在一起SOA.应用程序,如CRM或ERP。
Ritter说:“这又增加了一层复杂性,因为它将UC和VoIP扩展到了应用领域。”尽管如此,Nemertes发现安全团队对SOA部署的投入最少。
部分问题可能是商业管理人员认为安全性只是对任何将网络和数据暴露给更多风险的任何问题,即使它意味着阻止有效的业务方式。
“我们不知道如果他们认为安全是企业预防,这就是为什么他们不把他们,或组织他们仍然在筒仓,”瑞特说,“我们不认为安全团队带来了足够早的计划处理的复杂性和脆弱性,将组织置于危险境地。”
专家们说,也许对VoIP安全最大的威胁是许多(如果不是大多数)用户没有彻底考虑安全问题。
奥斯特罗姆说:“我见过的大多数VoIP部署都没有推荐最好的做法,比如强加密、身份验证和访问控制,以保护VoIP网络免受其他网络的影响。”
除此之外,一些企业没有意识到他们使用的协议可能很容易被篡改。“我看到的最常见的错误是将不安全的协议用于VLAN分配等事情,”Andy Zmolek说,他是安全规划和战略高级经理Avaya..
“他们应该使用链接层发现协议和802.1x身份验证以确保VLAN分配和访问控制是安全的,”Zmolek说。如果没有安全身份验证,PC可以将PC伪装为手机,可以访问VoIP VLAN,然后避难。“
他说,另一个问题与技术无关,而是携带部署的团队中的沟通。例如,许多客户发出RFP,包括在购买后永不接通的功能。“他们有加密信令和媒体的能力,并且他们很少转向那个。你可以争辩说安全组织应该处理这个问题,但安全团队刚刚开始了解如何确保所需的安全性强制执行,”他说.
Ostrom说,企业应该谨防自动信任自己的员工。他说,他发现依赖VoIP的公司中发现有缺陷的思考:因为VoIP用户在内部网络上,并且那些用户可信赖,因此没有VoIP安全问题。他说,这是一个危险的假设,因为如果他们错了,那么网络接入的攻击者可以造成巨大的伤害。
他说,拥有网络访问的用户可以通过在手机共享的集线器上插入Rogue膝上型计算机的成功802.1x身份验证。
手机对交换机端口进行身份验证,但在此之后没有每个数据包认证。如果攻击者与手机用于连接到网络的集线器的认证,则它可以获得对VoIP网络的访问,并且可以为窃听或更改电话内容的中间攻击。
“我们已经开发了一个概念验证工具来展示这种攻击,”他说。“通过它,他们可以针对其他手机或VLAN跳来攻击数据网络。”
Nemertes的分析师欧文•拉扎尔(Irwin Lazar)说,企业对VoIP的大多数担忧仍然集中在保护底层数据网络免受拒绝服务攻击等攻击上。
拉扎尔说:“总的来说,尽管我认为安全性目前在IT高管对VoIP的担忧中并没有那么重要,但随着企业VoIP网络通过窥视和SIP中继扩展到网络边界之外,担忧将会增加。”
McLeod说,它可能会采取严重后果,以提示更好的VoIP安全实践,如加密。“我认为平均财富500强公司将在花钱之前,在花钱之前举行了一些安全活动,”他说。“然后,在供应商上会有更多的压力,以使安全性如在Wi-Fi - 自动,轻松,每座装备中都包括它。”