注意提防統(tǒng)一通信帶來的安全威脅

申請免費試用、咨詢電話：400-8352-114

統(tǒng)一通信(UC)將為你的VoIP網(wǎng)絡(luò)打開了通往協(xié)作的大門，包括即時通訊，視頻，商業(yè)應(yīng)用和電子郵件之間的協(xié)作互補(bǔ)，并且也開啟了新一輪的安全風(fēng)險。

而對于VoIP網(wǎng)絡(luò)來說，最大的風(fēng)險仍然是基于IP網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。由于創(chuàng)建VoIP網(wǎng)絡(luò)和企業(yè)數(shù)據(jù)網(wǎng)絡(luò)之間的連接，統(tǒng)一通信會面臨著新的安全攻擊。

一般情況下，會有很多企業(yè)極力隔離VoIP網(wǎng)絡(luò)，它們通過創(chuàng)建保護(hù)語音網(wǎng)絡(luò)的離島來最大化地限制不必要電話的接入，以保護(hù)自身的網(wǎng)絡(luò)和數(shù)據(jù)安全。

而現(xiàn)在，統(tǒng)一通信可以改變這一切。通過定義你所開啟的基礎(chǔ)網(wǎng)絡(luò)構(gòu)架，統(tǒng)一通信可以幫助你解決企業(yè)內(nèi)外環(huán)境不同客戶和商業(yè)伙伴的協(xié)作問題。

以前可能會出現(xiàn)的偷聽，篡改，截獲，欺詐等網(wǎng)絡(luò)攻擊，現(xiàn)在也將會由于UC的采用而變得更加司空見慣。

切勿忽略IP網(wǎng)絡(luò)攻擊

雖然在現(xiàn)實中理論上的VoIP特定攻擊很少，但是我們并不能放松警惕。我們需要采取最基本的措施充分保障IP網(wǎng)絡(luò)的安全。

通常情況下，人們比較留意色情類的攻擊，以防偷聽，假冒或者欺騙等的破壞。這些，也是面臨的網(wǎng)絡(luò)攻擊威脅中最具普遍性的。

此外，企業(yè)用戶在配置VoIP時應(yīng)該留意統(tǒng)一通信開放出來的安全漏洞。安全總是關(guān)于黑客和肉雞之間盡可能多的障礙問題，一旦選擇引入統(tǒng)一通信，那么勢必就會減少一些這樣的障礙。比如，統(tǒng)一通信可能會引入客戶端電腦上的軟件使用。為了測試商業(yè)VoIP網(wǎng)絡(luò)，有人還專門模擬了針對VoIP的網(wǎng)絡(luò)攻擊。事后他們指出，微軟的Office Communications Server客戶端和思科的通信客戶端的呼叫中心應(yīng)用程序，很容易成為潛在的攻擊目標(biāo)，尤其是受到來自內(nèi)部的攻擊。通過語音服務(wù)連接VoIP的客戶端，它們可以侵入數(shù)據(jù)虛擬局域網(wǎng)，從而造成更大的破壞。

同樣，統(tǒng)一通信應(yīng)用程序依賴于綁定在LDAP和動態(tài)目錄服務(wù)器上的語音VLAN，也很容易產(chǎn)生數(shù)據(jù)網(wǎng)絡(luò)的安全漏洞。通過語音的VLAN，用戶密碼和企業(yè)數(shù)據(jù)都有可能被竊取。

為了保護(hù)依賴于統(tǒng)一通信的VoIP，必須在做出決策之前進(jìn)行風(fēng)險評估。統(tǒng)一通信代表了一系列先進(jìn)的集成和應(yīng)用，這些集成和應(yīng)用客觀上會導(dǎo)致一些安全風(fēng)險，但是并不是所有的風(fēng)險都是很緊急的。比如，通過控制統(tǒng)一通信軟件可以觸發(fā)電話呼叫。更為重要的，則是出現(xiàn)未知的偷聽或者應(yīng)用程序被擾亂的情況，從而隱私被泄露或者呼叫了錯誤的號碼。

保護(hù)這些網(wǎng)絡(luò)是完全可以做到的，但是這需要較為復(fù)雜的手段，并且還需要更多的企業(yè)付出更多的代價。

切勿忽略規(guī)則要求

規(guī)則是個涉及各行各業(yè)的大問題，比如金融，保健和支付卡行業(yè)都具有一些會影響到VoIP的規(guī)則。無論是語音信箱、即時信息泄露數(shù)據(jù)還是視頻會議透露細(xì)節(jié)，統(tǒng)一通信都必須保障數(shù)據(jù)的完整和機(jī)密。

統(tǒng)一通信也會引發(fā)新的涉及數(shù)據(jù)存儲的法律政策。比如，發(fā)送至電子郵件的語音郵件信息，將可以被視為取證的參考數(shù)據(jù)。如果這樣的語音信息被存儲在某個微型驅(qū)動器上有長達(dá)三年的時間，該電子方式存儲的數(shù)據(jù)在法律上仍然有效。當(dāng)然，語音信箱還會面臨更多法律法規(guī)方面的問題。

使用統(tǒng)一通信獲得成功的企業(yè)，一般都在準(zhǔn)備階段初期有安全團(tuán)隊的不懈努力。不幸的是，還有很多企業(yè)并不是從一開始就對安全給予足夠重視。

我們建議，在引入統(tǒng)一通信和VoIP初期，就應(yīng)該設(shè)立保障安全和制定規(guī)則的團(tuán)隊協(xié)作，這樣有助于責(zé)任明確，劃分電話專家和基礎(chǔ)架構(gòu)專家的任務(wù)執(zhí)行，如果有必要的話，甚至還可以加入訴訟團(tuán)隊完善協(xié)調(diào)機(jī)制。

VoIP將會帶來一些新技術(shù)的興起。據(jù)國外媒體報道，有意以服務(wù)為導(dǎo)向的基礎(chǔ)架構(gòu)方面投入的IT主管中，有近46%的受訪者表示他們將打算使統(tǒng)一通信和CRM、ERP等SOA應(yīng)用結(jié)合起來。但是，這樣會變得更加復(fù)雜，因為它把統(tǒng)一通信和VoIP延伸到了應(yīng)用領(lǐng)域。

另外，企業(yè)行政主管可能會以為安全就是對任何事情都說不，即使意味著要斷絕商業(yè)活動也要避免網(wǎng)絡(luò)和數(shù)據(jù)的泄露。我們并不清楚他們是否把安全同業(yè)務(wù)預(yù)防等同起來，在組織面臨的風(fēng)險方面，安全團(tuán)隊在計劃早期所做的工作也并不是十分充足。

當(dāng)然，VoIP面臨的最大威脅恐怕還是來自用戶對安全認(rèn)識的不夠全面。很多配置VoIP的情形中，都沒有采取適當(dāng)?shù)陌踩胧热鐝?qiáng)制加密，身份認(rèn)證和訪問控制等。此外，一些企業(yè)并未意識到他們所使用的協(xié)議可能隨時被篡改。最易犯的錯誤就是，為分配VLAN而使用的一些不安全協(xié)議。

我們建議，他們應(yīng)該使用鏈路層來監(jiān)聽協(xié)議和802.1x身份驗證，以確保VLAN分配和訪問的安全可靠。未經(jīng)安全認(rèn)證的話，電腦可以偽裝成一部電話，進(jìn)而訪問VoIP虛擬局域網(wǎng)并開始惡意肆虐。

另一個問題，不是關(guān)于技術(shù)方面而是涉及到團(tuán)隊之間溝通的考慮。比如，很多客戶會發(fā)送購買后并未開啟的RFPs，它們擁有加密功能但是卻很少會被開啟。雖然你可以號召安全機(jī)構(gòu)處理這個事情，但是更多的還是需要團(tuán)隊間保持溝通，并確保開啟了加密功能。

企業(yè)還需要提防內(nèi)部員工。一些公司在依賴VoIP方面擁有一些錯誤思想：由于VoIP用戶處在內(nèi)部網(wǎng)絡(luò)，公司對這些用戶給與足夠的信任，并確信沒有 VoIP安全問題。其實這種思想相當(dāng)危險，因為攻擊者可以輕易訪問網(wǎng)絡(luò)并大肆攻擊。只要用戶訪問網(wǎng)絡(luò)并接入連接IP電話上的HUB，就可以獲得IP電話上的802.1x認(rèn)證。電話只會驗證連接孔(switch port)，之后就不會對數(shù)據(jù)包進(jìn)行驗證了。如果攻擊者使用HUB上的驗證，而這HUB正好又是電話連接網(wǎng)絡(luò)的節(jié)點，那么攻擊者就可以大舉進(jìn)入VoIP網(wǎng)絡(luò)，并在網(wǎng)絡(luò)中實現(xiàn)中間人攻擊(man-in-the-middle attack)，從而實現(xiàn)竊聽或者改變電話內(nèi)容的目的。

就VoIP來說，大部分企業(yè)關(guān)注的仍然是以保護(hù)基本數(shù)據(jù)網(wǎng)絡(luò)免受諸如拒絕服務(wù)攻擊為重點。整體上來看，圍繞VoIP的方方面面，安全問題也并沒有獲得應(yīng)有的重視。

為了更好的使用VoIP，我們需要給與更多關(guān)注的同時，還特別需要采取一些加密等安全措施。（IT168）