VoIP在运营商和服务提供商中是众所周知的,它是新服务的强大推动者,也是一种降低成本的机制。使用IP对等来通过VoIP流量的技术最初部署在运营商之间是为了扩大全球市场,增加潜在客户和提供新服务。然而,随着时间的推移,IP连接发展到它们可以不仅仅是接入服务提供商,还可以通过DSL和电缆与消费者联系。因此,运营商能够提供高需求、基于ip的三重奏服务(电视、电话、互联网接入)。
今天,网络运营商正转向直接IP-trunk连接,以提供电信级的业务服务,跨越一系列的业务环境,从大型企业到中小型企业。
随着VoIP的好处不仅被运营商,而且被企业所认识,VoIP已经迅速取代了一些世界上最大的组织的传统电话系统。而且,正如许多流行技术一样,随着VoIP的普及,它已经成为安全漏洞、攻击和系统漏洞的主要目标。
威胁网络电话是什么?
网络电话的安全风险是巨大的。为了确保对该技术的当前和新出现的威胁提供最好的保护,企业必须了解风险存在的地方,并审计其当前的安全实践,以解决任何可能导致这些风险被利用的系统漏洞。以下是对当前VoIP部署的主要威胁的概述。
人数欺诈。精明的黑客可以利用企业的VoIP网络进行一些邪恶的活动,包括侵入运营商的系统拨打免费电话;用病毒感染网络并窃取公司机密信息,如账单明细。
缺乏身份验证利用。在基于ip的网络上,可以在特定的电话线上分配所有权和访问特权。然而,如果没有适当的终端用户身份验证,个人很容易劫持同事的线路并以此人身份进行呼叫,或访问具有更高权限或系统权限的线路。与这些场景相关的潜在风险可能导致声誉损害、法律后果或信息被盗。
占用公司的带宽。通过利用VoIP网络,攻击者可以以多种方式影响公司带宽,其中许多方式会对整体运营造成严重影响。攻击者可以发起对网络带宽有不同影响的内部拒绝服务(DoS)攻击。例如,针对IP网络的DoS攻击可以只针对语音网络,使系统充满呼叫,或者也可以针对影响合法用户服务质量的流量。
有限的加密。在网络电话(VoIP)系统中,标准呼叫是开放文本,因此不法分子更容易截获呼叫设置和内容信息,并获得给定会话的重要细节。重要的是,组织要通过强大的加密来降低这种风险,特别是对于某些将交换机密信息的电话线路,例如,CEO和CFO之间。
确保VoIP网络安全的最佳实践
下面是一些关于为VoIP网络设计安全计划的最常被问到的问题。
从哪里开始呢?
大多数组织已经开发了安全最佳实践和策略,但是这些策略通常没有扩展到IP网络的保护。由于要确保VoIP得到充分保护,必须解决一些具体问题,因此企业还必须进行风险审计,以向它们提供保护VoIP网络所需的信息。
如今,标准组织(ANSI、3GPP、ETSI、ISO)、行业协会(VoIP安全联盟)和政府机构(NIST)为CSOs和CISOs提供了关于如何定义和增强现有安全实践以支持企业中的VoIP和其他会话式通信(IM、视频)的优秀指导。在许多情况下,建议的最佳实践可能已经存在,额外的投资可能就像扩展现有的公司安全策略一样简单。另一种可能性是基于对所有核心网络元素(包括交换机、路由器和防火墙)的voip感知漏洞评估,对基础设施进行变更。一旦创建或更新了策略并识别了相关的风险,信息安全经理就可以采取多种途径来实现他们的目标。
有什么选择呢?
在纯数据的世界中,VoIP安全可以通过内部来源或管理外包来实现。运营商开始为企业级客户和中小型企业提供外包VoIP设备供应、部署和持续监控的选择。VoIP元素,如第5类功能服务器、登记员、IP PBXs和网络边界交换机(或防火墙),可以在客户的前提下或作为托管服务进行管理,这些元素驻留在运营商的管理域中。这通常归结为最终用户方面的范围、成本和资源限制问题。
对于那些计划在内部管理安全的企业来说,他们可以扩展现有的基础设施,同时保持分层的、深入防御的方法。第一个部署的组件通常是一个安全的IP-edge元素,例如网络边界交换机。网络边界交换机通过安全、呼叫控制、媒体支持、可伸缩性和性能的集成,代表了传统会话边界控制器(SBC)设备的发展。
在这种作用下,网络边界交换机为企业在网络分界点的周边提供了第一道防线。这些点在企业和运营商对等伙伴之间中继。这些元素不仅捍卫核心企业网络的VoIP相关的入侵,但他们也提供基于策略的控制IP语音会话,基本信号协议(SIP、H323 SIP-I)互相配合,QoS(服务质量)、媒体流的带宽管理和先进的媒体服务,如音频编解码器代码转换和传真支持。
网络边界交换机的作用变得更加重要,因为拥有多个位置的企业通过公共互联网进行互连,以承载外部和公司内部的VoIP流量,而不是专用连接,从而更容易受到DoS攻击。在这个场景中,企业可以通过为前面以SBC结尾的VoIP元素实现一个分割dmz样式的拓扑来降低风险。这种部署可以用来保护VoIP网络,类似于用于保护Web服务器群和数据库系统免受DoS攻击的解决方案。
当您寻求从内到外保护网络时,必须认识到,尽管建立在IP、VoIP网络元素(如供应系统、计费系统、SIP服务器和IP PBXs)与非VoIP对等物共享共同的弱点。这是因为这些系统基于商业的、现成的(COTS)项目,例如在通用计算机上运行的商用操作系统(Solaris、Linux、Windows)。其他COTS组件可能是来自oem的协议栈(TCP/IP),它们被嵌入到专有平台中。因此,可能存在漏洞,但是通过适当的强化可以减轻对入侵和利用的保护,就像今天提供的非voip对等物一样。
除了这些传统弱点之外,还可能存在特定于voip的弱点,如SIP协议栈损坏。这些威胁可以通过许多用于底层保护的通用技术来减轻。鉴于SIP的会话状态特性,组织需要一类感知会话的设备,如前面描述的SBC,以提供防火墙、acl和VoIP利用IDS/IPS匹配的签名所没有提供的边缘保护。
企业应该考虑的另一种技术是将VoIP电话放在单独的、安全的vlan上,以防止未经授权的设备窃听内部通信并导致盗窃或欺诈。此外,为了进一步防止这些破坏,VoIP设备也应该被隔离,这样入站和出站的流量就会受到限制,并且可以很容易地被呼叫经理控制。企业还应该采用加密技术来保护通过公共网络传输的电话,以防止VoIP的欺诈使用,包括利用认证和盗窃。
与其他技术一样,在实现企业VoIP安全产品时,保护整个网络(而不仅仅是提供安全边缘)的能力至关重要。这再次意味着需要文档化的VoIP安全策略、体系结构和技术选择,以构建深入防御的分层方法。总的来说,这些特性构成了整体VoIP安全解决方案的基础,该解决方案将确保所有企业都得到充分保护,免受现有和未来网络威胁。
鲍勃·布拉德利是Sonus Networks安全解决方案的产品线经理,Sonus Networks是电信级IP-Voice基础设施解决方案的领先供应商。
了解有关此主题的更多信息
这个故事,“减轻VoIP安全风险的实用技巧”最初是由方案 。