2009年企業(yè)網(wǎng)絡(luò)面臨的威脅和解決方案

隨著經(jīng)濟危機帶來的持續(xù)的資金壓力，大型企業(yè)和中小企業(yè)都開始轉(zhuǎn)向VoIP以進一步節(jié)省開支�，F(xiàn)在越來越多的數(shù)據(jù)使用IP作為數(shù)據(jù)和聲音主要傳輸工具，這將為現(xiàn)有服務(wù)(如聲音流量等)提供基礎(chǔ)，并且將會在未來成為新應(yīng)用程序(如視頻等)帶來契機。

在企業(yè)網(wǎng)絡(luò)中，軟件客戶端、強大的多功能處理設(shè)備、IP啟用的企業(yè)無線網(wǎng)絡(luò)、SIP啟用的手機和IP PBX變得越來越普遍了。網(wǎng)絡(luò)管理員被要求部署這些新網(wǎng)絡(luò)來提供最高品質(zhì)的府服務(wù)，同時又不能破壞網(wǎng)絡(luò)整體性。不過向本地網(wǎng)絡(luò)引入任何新的IP設(shè)備，都會帶來新的安全威脅，企業(yè)不僅需要了解這些威脅，而且需要為這些威脅做好準(zhǔn)備。

VoIP安全趨勢

2009年的安全威脅大部分都是已知的漏洞，不過還有一些新的威脅。這些漏洞大部分最早是在2002年被發(fā)現(xiàn)的，人們在部署VoIP研究如何節(jié)省服務(wù)(如長距離)傳輸?shù)馁M用時發(fā)現(xiàn)的�，F(xiàn)在，存在很多技術(shù)的和程序的解決方案可以緩解這些潛在的威脅。這些解決方案可以直接由大型企業(yè)部署，大約可以為上千個遠程未知提供服務(wù)，或者作為管理性的VoIP/安全服務(wù)傳送給較小型企業(yè)。以下是關(guān)于幾個主要威脅的大概介紹以及解決方案，企業(yè)可以通過下面提供的解決方案部署一個強大的、可靠的安全網(wǎng)絡(luò)。

威脅1: DoS/DdoS攻擊

這是黑客社區(qū)一直喜歡使用的攻擊方式，這些攻擊可能來自不同的協(xié)議水平，如IP層、SIP層等，并且黑客經(jīng)常使用這種攻擊來消耗帶寬和資源，特別是位于網(wǎng)絡(luò)邊緣的元素。這種類型的攻擊統(tǒng)一可能影響試圖打電話的客戶。

解決方案：

要想確保大型企業(yè)網(wǎng)絡(luò)免受這種類型的威脅，企業(yè)需要部署一個專門用來衡量管理網(wǎng)絡(luò)邊緣各種活動的企業(yè)級別解決方案。這種衡量是很重要的，因為它能夠確保(當(dāng)面臨威脅時)安全的邊緣元素本身沒有被攻擊，否則，它也會成為DoS代理。對于中小企業(yè)而言，可以部署本地產(chǎn)品或者將其作為托管服務(wù)的一部分，保護SIP端口匯聚以及IP PBX。

威脅2:竊聽風(fēng)云

只要使用窺探工具就可以竊聽核心網(wǎng)絡(luò)的語音童話，最常被竊聽的地址是使用SIP端口匯聚從VoIP供應(yīng)商MPLS向中小企業(yè)局域網(wǎng)發(fā)送的不受保護的網(wǎng)絡(luò)連接。

解決方案：

要想減小本地網(wǎng)絡(luò)內(nèi)的這種風(fēng)險以及維護電話保密性，虛擬局域網(wǎng)絡(luò)(VLAN)可以用來分離流量或者/和加密媒體流到企業(yè)邊緣。很多基于SIP的端點(如IAD整合接入設(shè)備或者IP PBX)都支持“內(nèi)置”的簽名加密(TLS—傳輸層安全或者IPSec)和媒介(Secure RTP)同樣也可以解決這個問題。

威脅3: 供應(yīng)商缺乏強硬的VOIP組件

在企業(yè)VOIP網(wǎng)絡(luò)中(IP PBX、功能服務(wù)器、交互式語音回應(yīng)IVR、語音系統(tǒng)、供應(yīng)系統(tǒng)、SIP代理、智能電話等)很多組件使用商品操作系統(tǒng)，如Windows、Solaris和 Linux等，然而這些都很容易受到O/S攻擊，如病毒和惡意軟件等。

解決方案：

企業(yè)VOIP網(wǎng)絡(luò)的所有組件都必須進行適當(dāng)?shù)募訌�，客戶必須要求他們的供�?yīng)商在購買前確認(rèn)是否強化他們的產(chǎn)品。這是數(shù)據(jù)世界的最佳做法，當(dāng)添加IP語音功能到混合整體時也是很適用的。這主要需要顧客自身去爭取，但是從長遠價值來看是很值得的。

威脅4: 遵從系統(tǒng)操作的“最佳做法”

最近的一次互聯(lián)網(wǎng)調(diào)查發(fā)現(xiàn)，某IP PBX供應(yīng)商直接連接到互聯(lián)網(wǎng)，造成幾個系統(tǒng)都被登陸且被泄漏，只是因為默認(rèn)密碼沒有更改。這是IP網(wǎng)絡(luò)發(fā)生的不必要的后果。

解決方案：

這只是一個簡單的威脅，只要花點時間在安裝新系統(tǒng)的時候更改出場默認(rèn)設(shè)置密碼就可以避免。并且，正如上文提到的，任何基于商品操作系統(tǒng)的VoIP組件都必須被強化，禁用不必要的服務(wù)和不使用的端口。另外，為了審計目的和可追蹤性而執(zhí)行安全相關(guān)的事件日志記錄也是很重要的，以確保網(wǎng)絡(luò)完整性。

威脅5: 語音釣魚和SPIT和不必要的電話

就像不必要的電子郵件(垃圾郵件)一樣，黑客可以很輕松的設(shè)置多個系統(tǒng)或者僵尸網(wǎng)絡(luò)來阻攔VoIP電話，這種現(xiàn)象也被稱為互聯(lián)網(wǎng)電話垃圾郵件。另外，黑客統(tǒng)一可以利用語音釣魚攻擊來欺騙終端用戶，以某個合法原因誘使他們來輸入個人信息，如信用卡號碼、銀行帳號、社會安全號碼等待。

解決方案：

當(dāng)用戶在填寫表格以購買在線網(wǎng)絡(luò)服務(wù)時就應(yīng)該注意這個問題，并且在沒有適當(dāng)?shù)纳矸葑C明之前，不要把自己的身份信息泄漏給他人�，F(xiàn)在有很多先進的技術(shù)可以阻止不必要的電話來解決這個問題。設(shè)備和用戶驗證是使網(wǎng)絡(luò)管理員確定電話是來自合法對象或者授權(quán)代理的方法，并以此來降低風(fēng)險。

威脅6: 免費電話

通過網(wǎng)絡(luò)撥打免費VoIP電話可以通過幾種方式來實現(xiàn)，包括欺騙合法用戶、攔截他們的電話或者在掛電話后進行攔截等。攻擊者可以通過適當(dāng)?shù)碾娫挵惭b(Rogue媒介)使用一個VoIP設(shè)備開始發(fā)送媒體到網(wǎng)絡(luò)中。另外一種方法就是，在沒有進行任何身份驗證呼叫安裝的情況下使用SIP端點簡單地向目的未知發(fā)送媒體。這種電話攔截不僅僅造成呼叫方的資金損失，而且不能保證這些電話是不是為了躲避付款而進行的，這都會讓企業(yè)處于尷尬的境地。

解決方案：

存儲很多技術(shù)可以減少這些免費電話，例如在安全的邊緣組件的Rogue RTP保護以及呼叫者身份驗證(使用電子證書)，這些都可以避免問題的發(fā)生。

VoIP從內(nèi)至外的保護

除了以上提及到的解決方案外，還有很多托管解決方案可以幫助企業(yè)處理各種各樣的基于IP電話的威脅。用于保護和強化網(wǎng)絡(luò)服務(wù)器、數(shù)據(jù)庫系統(tǒng)和電子郵件系統(tǒng)的傳統(tǒng)技術(shù)確實也可以幫上忙，同時也存在一套載體級別的邊緣控制解決方案，可以幫助企業(yè)管理網(wǎng)絡(luò)的核心部分到接入點(上述很多威脅都發(fā)生在此處)免受安全威脅。當(dāng)在評估邊緣控制解決方案時，企業(yè)需要一個更新版本的技術(shù)來提供更好的可擴展性和強大的功能。

企業(yè)可以采用載體級別的網(wǎng)絡(luò)邊緣解決方案，來提供企業(yè)級別的可靠性和擴展性以確保持續(xù)的可靠的安全性。部署這些下一代解決方案(很多在載體環(huán)境經(jīng)常使用)還可以提供增值服務(wù)，如媒體管理以及邊界會話控制器(SBC)找不到的telco級別的可靠性。部署這些解決方案后，企業(yè)和中小企業(yè)可以更加自信地迎接下一代網(wǎng)絡(luò)，為員工提供統(tǒng)一通信服務(wù)。

為了評估這些威脅和解決方案，企業(yè)還應(yīng)該注意的是，標(biāo)準(zhǔn)社區(qū)(如SIPconnect和SIP論壇)的不斷變化的規(guī)格和部署框架標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)明確規(guī)定了企業(yè)/供應(yīng)商SIP端點匯集應(yīng)該如何相互操作以及安全性，如使用TLS進行加密等。在2009年，VoIP供應(yīng)商社區(qū)將會加入這些框架標(biāo)準(zhǔn)，使企業(yè)VoIP鏈接更加便于管理以及更加安全。企業(yè)需要查詢一下他們的VoIP供應(yīng)商是否支持關(guān)鍵框架(如SIPconnect等)。

結(jié)語

隨著VoIP的普及，安全威脅也逐漸成為當(dāng)今企業(yè)的主要課題。但是，如果企業(yè)能夠明確威脅所在，并且部署適當(dāng)?shù)慕鉀Q方案，那么企業(yè)就能夠阻止這些威脅發(fā)展為更嚴(yán)重的問題。另外，企業(yè)在考慮購買新解決方案時應(yīng)該緊密聯(lián)系企業(yè)的業(yè)務(wù)目標(biāo)。有了這些，大型企業(yè)、中小企業(yè)以及網(wǎng)絡(luò)管理員就能夠更加自信的面對IP下一代網(wǎng)絡(luò)，為員工提供統(tǒng)一通信服務(wù)。

作者：鄒錚編譯 來源：IT專家網(wǎng)