如何避免VoIP安全風險

　　Forrester公司在最近的研究中，推薦下述六個步驟來幫助IT組織避免VoIP安全風險並最終確保他們的UC系統安全。

　　在許多公司中，數據網絡和電信世界融合，且語音和視頻流量同企業的其它數據一起跑在同一個網絡上。眾所周知的行業術語如IP語音(Voice over IP ，VoIP)，IP電話(IPT)和統一通信(unified communications 、UC)，也漸漸成為黑客們攻擊的新途徑。更令人擔憂的是，大多數的企業沒有考慮保護他們的UC部署設施，因為他們沒有意識到通信、視頻會議以及其它UC 技術的固有風險。這樣一來，反而使得這些設施的部署大大地增大了他們網絡的攻擊面。

　　明白VoIP網絡大多數的威脅不是針對UC設備(例如呼叫管理服務器、語音信箱服務器或交互語音應答系統(IVR)十分關鍵。相反，攻擊者們使用 VoIP網絡作為進入數據網絡的入口，以便他們獲得對真正能賺錢的數據(例如帳戶編號、信用卡信息和其它私人數據)的特權訪問。UC攻擊者們從經驗中了解到這些網絡沒有傳統的邊界入口如公共因特網那麼安全，後者擁有狀態防火牆和入侵防御系統(IPS)等控制措施保護。

　　對於安全來說，部署統一通信設施(UC)需要新的思路和方法。通過在前期就考慮UC安全，安全專家們能幫助他們的公司更為順利、經濟的過渡到統一通信技術。Forrester公司在最近的研究中，推薦下述六個步驟來幫助IT組織避免VoIP安全風險並最終確保他們的UC系統安全。

　　步驟1：制定UC安全實施指導

　　該指導應包括的具體行動，就如何安全地部署系統中的組件，以及用於配置當前網絡和其現有安全控制的准則。它應該闡明：

　　你應該如何將網絡數據和VoIP流量隔離

　　你應該如何使用防火牆和IPS來提升安全

　　保護UC網絡免於竊聽攻擊的計劃

　　在安全和基礎設施團隊之間IT規劃如何劃分各種職責

　　步驟2：制定UC安全策略

　　公司必須從安全的角度對UC系統的操作和維護制定可行性策略。一般來說，你可以將你的呃UC安全實施指導演化為策略。UC安全正處於起步階段，還需數年來形成一般的、可用於第三方的最佳實踐或策略文檔。

　　步驟3：創建UC安全架構

　　當今大部分網絡設計沒有充分定義UC系統相關的安全控制。因此，和你的IT基礎設施同行們一起，由內而外地擴展和設計網絡架構十分重要。創建一個新的架構，定義針對已知攻擊的預防措施。例如，在關鍵的UC子系統如呼叫管理系統、IVR和語音郵件服務器的前面放置一個IPS設備，這些都有可能阻止最常見的UC攻擊。或是通過正確地配置用於防護UC的服務器來預防基礎設施攻擊，確保你的服務器被配置為不給未知的MAC地址分配地址，並且分析來自非權威性服務器的信息。此外，通過開啟SRTP協議的媒體傳輸加密，以及給像SIP這樣的信道協議添加傳輸層的安全(TLS)，可以更好地減輕竊聽攻擊。記住，如果內部網絡上的流量沒有加密的話，在聚合網絡上的所有聲音和視頻流量很容易被攔截和竊聽。

　　步驟4：利用現有的安全控制

　　許多公司有現成的安全控制可以用來提升UC網絡的安全。然而由於UC安全對於許多組織來說還是新的准則，很少有人意識到他們已經存在的控制可以用於保護極其重要的UC組件。

　　步驟5：在VoIP實施後進行滲透測試

　　考慮聘請專業的服務公司來對實施完成的UC系統進行滲透測試。這會有助於判斷在實施過程中的安全和策略決策是否有效。這些類型的測試從攻擊者的角度觀察UC網絡，使用最新的工具來嘗試繞過控制以及獲得對網絡的特權訪問。

　　步驟6：增加對滲透測試發現的風險的控制措施

　　一旦完成UC系統的滲透測試，你會有客觀的、可操作的數據來判斷你部署的UC解決方案是否足夠的安全。如果結果得出，現有部署設施存在不可接受的風險，你能選擇基於當前風險的偏好來增加額外的控制。