當(dāng)前,諸如VOIP這樣的統(tǒng)一通信(unified communications,簡(jiǎn)稱UC)技術(shù)正在慢慢地成為主流, 其安全性問(wèn)題也越來(lái)越成為業(yè)界關(guān)注的重點(diǎn)。即便如此,部署一個(gè)統(tǒng)一通信系統(tǒng)所引入的安全性問(wèn)題有可能是系統(tǒng)管理員從前所沒(méi)有遇到過(guò)的,因此需要額外加強(qiáng)防范和維護(hù)。
事實(shí)上,最近的相關(guān)研究工作表明,SIP協(xié)議本身就具有比較明顯的安全性弱點(diǎn),黑客們可以利用其在Windows XP SP2系統(tǒng)上制造緩存溢出。從前,這種類型的緩存溢出僅僅是用來(lái)攻擊軟電話終端的,但事實(shí)上,類似的弱點(diǎn)可以被攻擊者利用來(lái)建立一個(gè)其與被攻擊電腦的常連接,從而可以給攻擊者完全接入的權(quán)利,例如建立、復(fù)制和刪除文件。
這僅僅是統(tǒng)一通信系統(tǒng)所面臨的若干安全性問(wèn)題的一個(gè),提到它是為了說(shuō)明統(tǒng)一通信系統(tǒng)確實(shí)需要強(qiáng)大的安全性保障。
目前,即使是對(duì)于那些認(rèn)為自己的安全性體系沒(méi)有問(wèn)題的公司,也應(yīng)該考慮重新評(píng)估他們的安全性機(jī)制,通常情況下,安全性機(jī)制都是為傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)設(shè)計(jì)的,并不能防御統(tǒng)一通信系統(tǒng)特點(diǎn)的攻擊。這是因?yàn)椋@些攻擊通常都利用統(tǒng)一通信系統(tǒng)相關(guān)的漏洞,例如對(duì)于基于SIP協(xié)議系統(tǒng)的攻擊,而傳統(tǒng)的安全性機(jī)制通常都不進(jìn)行相應(yīng)數(shù)據(jù)包的識(shí)別和檢查。
因此,統(tǒng)一通信系統(tǒng)所潛在的安全性隱患不能被忽視。在比較好的情況下,對(duì)于統(tǒng)一通信系統(tǒng)的攻擊可能會(huì)導(dǎo)致公司軟電話系統(tǒng)的癱瘓,而比較惡劣的情況下,甚至可能竊取或修改公司的數(shù)據(jù)、竊聽(tīng)音頻和視頻電話。
筆者這里并不能覆蓋統(tǒng)一通信系統(tǒng)安全性所有的相關(guān)知識(shí),但是可以指出各種類型的攻擊應(yīng)如何進(jìn)行應(yīng)對(duì),以及在哪里可以找到相應(yīng)的參考。
如果公司所部屬的統(tǒng)一通信系統(tǒng)沒(méi)有自動(dòng)升級(jí)的功能,筆者建議要經(jīng)常地手動(dòng)訪問(wèn)設(shè)備商網(wǎng)站(至少每周一次),從而了解是否有新的補(bǔ)丁需要下載和升級(jí),以及獲得最新的安全性相關(guān)建議。需要注意的是,雖然對(duì)于基于標(biāo)準(zhǔn)SIP協(xié)議的廠商所面臨的安全性問(wèn)題大體類似,但是有些廠商對(duì)于出現(xiàn)的問(wèn)題解決相當(dāng)及時(shí),很快便會(huì)有補(bǔ)丁和相應(yīng)的公告,而另外一些廠商可能會(huì)反映遲鈍一些。
筆者在撰寫(xiě)本文的時(shí)候,發(fā)現(xiàn)SIPERA公布了全球首個(gè)VOIP公司Vonage的系統(tǒng)有嚴(yán)重的安全性漏洞,而且至今為止,這個(gè)安全性問(wèn)題并沒(méi)有被認(rèn)可和解決。
至今為止,筆者發(fā)現(xiàn)關(guān)于統(tǒng)一通信系統(tǒng)安全性問(wèn)題在Sipera (http://www.sipera.com/)有比較詳細(xì)的討論和信息,而其下的VIPERE實(shí)驗(yàn)室正是專注于發(fā)現(xiàn)和公布統(tǒng)一通信系統(tǒng)相關(guān)的安全性問(wèn)題。有些安全性弱點(diǎn)是和廠商實(shí)現(xiàn)相關(guān)的,而另一些則是和協(xié)議相關(guān)的,存在于每個(gè)廠商的系統(tǒng)。
綜上所述,對(duì)于統(tǒng)一通信系統(tǒng)而言,并沒(méi)有簡(jiǎn)單的方法來(lái)實(shí)現(xiàn)安全性的防護(hù)。有些安全性問(wèn)題是和廠商相關(guān)的,而另一些則是存在于所有系統(tǒng)中的。在傳統(tǒng)的防火墻和IDS系統(tǒng)被升級(jí)到能夠防護(hù)統(tǒng)一通信系統(tǒng)相關(guān)的攻擊數(shù)據(jù)包之前,系統(tǒng)管理員需要不停地關(guān)注各大站點(diǎn),從而保證能夠得到最新的安全性信息。
京公網(wǎng)安備 11010502049343號(hào)