企業(yè)網(wǎng)D1Net(全球IP通信聯(lián)盟旗下媒體)7月29日訊(上海)互聯(lián)網(wǎng)顯然不是一個(gè)專用網(wǎng)絡(luò),非法攔截、身份欺詐和收費(fèi)詐騙時(shí)常威脅著我們,遑論從外部對(duì)企業(yè)網(wǎng)絡(luò)的攻擊了。防止統(tǒng)一通信會(huì)話在穿越公有網(wǎng)絡(luò)時(shí)被劫持的技術(shù)標(biāo)準(zhǔn)其實(shí)已經(jīng)非常成熟了,但卻并沒(méi)有得到廣泛應(yīng)用。電話服務(wù)供應(yīng)商提供的許多SIP中繼服務(wù)要求SIP消息和語(yǔ)音消息不加密地發(fā)送,這樣的安全情況非常糟糕。SIPconnect1.1技術(shù)文件強(qiáng)烈建議使用TLS和SRTP對(duì)信號(hào)和傳播媒介進(jìn)行加密。
為了建立加密的域間會(huì)話嗎,域必須先進(jìn)行相互驗(yàn)證,以確保不與謊稱合法域身份的攻擊者建立會(huì)話。再次聲明,這種技術(shù)是完善的,卻并沒(méi)有在統(tǒng)一通信中廣泛部署。授信機(jī)構(gòu)頒發(fā)的數(shù)字證書(shū)每天都在網(wǎng)上銀行這樣的應(yīng)用當(dāng)中使用,而這正與在TLS服務(wù)器身份驗(yàn)證模式中使用的技術(shù)相同。
毫無(wú)疑問(wèn),加密和認(rèn)證是非常必要的,但這樣還遠(yuǎn)遠(yuǎn)不夠。統(tǒng)一通信系統(tǒng)還有可能遇到其他網(wǎng)絡(luò)攻擊,比如拒絕服務(wù)攻擊(DoS)。一個(gè)強(qiáng)大的網(wǎng)絡(luò)邊際安全戰(zhàn)略必須保證面向互聯(lián)網(wǎng)的元素能夠毫無(wú)傷害地抵御網(wǎng)絡(luò)攻擊,既不能癱瘓,也不能泄漏消息。對(duì)于網(wǎng)絡(luò)攻擊者來(lái)說(shuō),導(dǎo)致癱瘓只是攻擊本身的最終結(jié)果,而控制通信網(wǎng)絡(luò)的某一部分甚至偷取認(rèn)證或直接侵入內(nèi)部網(wǎng)絡(luò)才是其最終目的。面向互聯(lián)網(wǎng)的元素必須是被“鎖定”的,這樣才能減少被攻擊的范圍并駁回不被認(rèn)證的非法接入請(qǐng)求。這些都是會(huì)話邊界控制器(SBC)的標(biāo)準(zhǔn)功能。(by Russell Bennett,Score編譯)
京公網(wǎng)安備 11010502049343號(hào)