一个批评VoIP安全,加上10个棘手的问题,问你的VoIP供应商,从一个全球化学品公司的首席信息安全官和杰里科论坛董事会成员。
西蒙兹是该公司管理委员会的成员耶利哥城论坛他也是一家大型全球化学品公司的首席信息安全官。在这里,Simmonds谈到为什么杰里科论坛认为今天的VoIP系统没有达到必要的安全水平是“有罪的”。对于任何与你的供应商讨论这一问题的人,Simmonds也在本专栏的最后列出了“向你的VoIP供应商提出的十个‘讨厌的’问题”。
我们IT安全行业的所有人都有罪,因为我们允许一个根本不安全的系统,比如网络电话投放市场。
我们多年来就知道,只有“安全开箱即用”才是默认设置。然而,网络电话不仅在默认情况下是不安全的,而且几乎不可能使其本身安全。更糟糕的是,VoIP终端设备(电话)是一台完整的计算机——通常有自己的Web浏览器,和(不安全的)文件传输协议来管理固件更新。因此,就在企业开始着手管理个人电脑上的漏洞时,我们刚刚将管理噩梦。
转而使用VoIP的投资回报声明很少经得起适当的审查。这种手机比标准的“商务”手机更贵,而且更换周期更短。高德纳在其2006年11月的报告中说:“在很多情况下,IP电话技术可能比同等的基于时分复用的PBX系统更贵。”
能够受益于通行费旁路(路由您的语音流量通过您的私人湾在广域网上,语音流量的高峰时间也是数据流量的高峰时间。我所知道的大多数网络管理人员都在寻找从拥挤、昂贵的企业广域网链路上卸载峰值流量的方法——而不是增加巨大的流量。
集成电脑和手机的能力是销售人员清单上的另一个“好处”,具有“点击呼叫”、“查找我/跟随我”和统一消息等功能,但实际上,公司很少利用这种CTI(计算机电话集成)选项。
然后把你需要添加的所有额外的VoIP解决方案都扔进去防火墙专业的网络电话安全评估(只需运行一个谷歌搜索“VoIP安全解决方案”),使它甚至部分安全,和额外的管理固件升级,漏洞评估和缓解,当然,广域网升级,突然之间,那些难以置信的节省销售人员承诺神奇消失。
网络电话在本质上是一颗定时炸弹,随时可能被大规模利用。随着网络电话在企业界越来越受欢迎,从董事会到全球金融交易大厅,网络电话已成为一种公共安全漏洞,其潜在后果巨大。但不幸的是,这可能是在业界同意认真对待VoIP安全之前所需要的。
历史上,如果人们认为对话是安全的(或者人们认为对话的复杂性是安全的),那么能够窃听这些对话的问题是众所周知的:在20世纪80年代,世界开始意识到模拟手机的安全问题小报记者报道了细节查尔斯王子(还没有嫁给戴安娜王妃)和卡米拉·帕克·鲍尔斯之间的一段亲密电话对话。我们现在所处的阶段与VoIP类似的事情很可能会发生,但对英国皇室来说,后果远比尴尬严重。
在2006年的黑帽大会大卫,无尽的滥用和马克科利尔花了非常有趣的小时的VoIP电话,无法在没有叫设立了一个电话,听电话响了一个完整的企业拒绝服务攻击,使所有的手机反复环每10秒(当没有人回答)。
“如果没有坏,就不要修理它”这句话在这里不适用
在2007黑帽会议,有不少于5个关于网络电话的不安全和一般问题.
VoIP在某些业务情况下确实有优势,例如运行一个国际跟风帮助台或海外呼叫中心运营,但这些业务情况是有限的,VoIP的安全风险应该远远超过大多数ROI情况。
确保安全,根据耶利哥论坛原则,最终将给一个真正的商业案例与真正的ROI:能够安全地整合不同来源的VoIP电话(VoIP客户在移动设备上,黑莓,wi - fi网络电话手机和电脑软电话,以及传统的桌面电话)连接局域网的连接可能不会在一个局域网由组织自己管理。
奇怪的是,当我用VoIP讨论这个问题时有个足球雷竞技app在美国的一位同事的专栏中,通话中断了五次。雷竞技比分我放弃了,换回了手机。
我喜欢网络电话吗?它有巨大的潜力,但目前的答案是否定的。
问你的VoIP供应商的10个棘手问题:
1.所有的电话和中心基础设施都使用100%安全协议吗?
2.您是否保证该系统在原始的Internet上运行,而不需要进一步的附加设备?
3.你能管理所有的VoIP设备自动,简单,与一个可扩展的,易于管理的解决方案,将支持所有的VoIP终端客户端,包括软电话和终端设备连接在互联网上?
4.解释一下默认情况下,手机是如何安全配置的。包括在配置过程中不具有物理所有权的设备。
5.解释你如何能够证明使用你的系统的手机是由你提供的。
6.解释一下你如何能最终证明,当我打电话时(比如在我的酒店房间里),我可以100%保证我的手机连接到公司交换机(不使用额外的安全设备,如IPSec)。
7.解释用户在连接他们的设备时如何进行强身份验证。理想情况下,设备和用户都应该进行身份验证。
8.您的系统是否允许身份联合,以便我们不需要维护(另一个)自治身份验证系统?
9.是否有职责隔离?例如:管理员是否可以在用户不知情的情况下访问语音邮件并设置密码。
10.语音邮件系统是否加密,所有备份是否加密(语音邮件、用户名、配置、密码)?