9月5日,VoIP、统一通信及其他基于互联网的语音或视频通信,相信大家并不陌生。它们不仅可以节约成本,而且在可用性和功能上也更完善,在企业合作和沟通方面极其吸引人们的眼球。
然而,随着VoIP的迅速发展,许多协议、服务和应用程序方面的安全,还没有被纳入到企业的安全规划中。在这篇文章中,我们将研究VoIP在工作场所沟通时可能遇到的特定威胁,以及公司如何利用相关的VoIP技术和实际战略,把VoIP安全做到最佳。
VoIP的安全漏洞
一般,VoIP漏洞可以被分解成三个等级(这和许多其它技术类似):协议、应用和执行漏洞。
--VoIP协议漏洞-- 例如,用户在设备上打开VoIP电话的等待消息时,由于检查语音邮件时不正确的身份验证,遭受到拒绝服务攻击,使系统中的信任用户减少。
--应用程序漏洞-- 由于Skype聊天客户端没有输入验证,Skype中最近具有跨站点脚本漏洞的Mac地址,可能会对计算机 进行远程控制访问。
--执行级漏洞-- 这个更为严重,一些攻击者能够偷听到谈话内容。例如,攻击者通过跳转到VoIP VLAN,利用不安全VoIP基础设施,攻击正在使用连接的“中间人”,对网络安全没有做到位的电话进行窃听。还有其他类型的攻击,要视VoIP系统的具体情况而定。但语音或视频呼叫数据,是VoIP攻击者最可能的数据来源。由于许多用户视VoIP为安全的 PSTN,当听到电话可能会被窃取时,他们会感到惊讶。
企业战略,确保VoIP安全通讯
像概述VoIP漏洞那样,下面从安全和隐私威胁分类,VoIP安全联盟提供了一些关于如何保护协议的建议,NIST也提供了VoIP系统安全注意事项文档。在VoIP系统的安全规划中,企业首先要牢记的一点是,有些VoIP端点未必是他们所期望的网络,有时会在不安全的地点使用。例如,如果企业允许软件电话被装在笔记本电脑上,当这些笔记本电脑漫游于企业网络之外时,未加密的VoIP通信可能会被窃取。
VLAN跳转攻击和ARP中毒攻击比较顽固,因此,为阻止它们的攻击,最好通过VPN隧道运行远程VoIP系统,而不是直接连在互联网上。同时还要确保把网络安全做到位,以阻止VLAN跳变、ARP欺骗和其它网络级的攻击。此安全措施包括通过防火墙限制访问或使用独立的网络来传输VoIP流量。
需要牢记的另一个问题是,现有PSTN、蜂窝网络的安全水平及如何比较VoIP,决定了企业VoIP是否足够安全。PSTN和VoIP同样都提供安全功能,且都在一定程度上依赖物理布线,如果攻击者访问到本地网络,则会被检测到。不过VoIP的优势是,加密和认证连接比PSTN更便宜、更容易。
结论:VoIP安全的最佳做法
鉴于目前VoIP在企业通信的重要性,信息安全团队应该确保VoIP用户和管理人员,对使用VoIP所涉及的风险有一个明确清晰的认识。PSTN和蜂窝网络在安全上还存在不足,即使VoIP系统在通信技术上有显着改善,但也没有做到十分完美。此外,网络电话还做了安全方面的改进,比如可靠认证和通信流量加密等,有助于最大限度地减少协议的风险。因此,尽管VoIP安全风险仍然存在,如果企业实施合理的VoIP安全性措施,语音通信的安全性会达到更高的水平。