统一通信安全系统:其安全性能究竟如何?

日期: 2009-01-03 翻译:王霆 来源:TechTarget中国 英文

从表面上看,统一通信系统适用于各种公司,包括中型企业。人力和财力都有限的中型企业只需将相关数据、语音和视频设备整合到同一个网络上,而不需要配置额外的主干线、单独的专用分组交换机(PBXs)、或是电话设备,这样既节省时间又节省金钱。   统一通信系统的优势是它可以将企业的电子通信设备融合在同一个网络内,由原有的工作人员来负责维护,而不需要额外安排专业的通信人员。但是,与此同时,这样的架构也为企业带来了相应的风险,它导致该网络内的其它设备易受相同安全性风险的影响。

  从定义来看,统一通信系统意味着如今你可以通过TCP/IP协议来运行电话、语音、即时消息(IM)及其它所有的通信程序,因此,探测到你……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

从表面上看,统一通信系统适用于各种公司,包括中型企业。人力和财力都有限的中型企业只需将相关数据、语音和视频设备整合到同一个网络上,而不需要配置额外的主干线、单独的专用分组交换机(PBXs)、或是电话设备,这样既节省时间又节省金钱。

  统一通信系统的优势是它可以将企业的电子通信设备融合在同一个网络内,由原有的工作人员来负责维护,而不需要额外安排专业的通信人员。但是,与此同时,这样的架构也为企业带来了相应的风险,它导致该网络内的其它设备易受相同安全性风险的影响。

  从定义来看,统一通信系统意味着如今你可以通过TCP/IP协议来运行电话、语音、即时消息(IM)及其它所有的通信程序,因此,探测到你网络的黑客也可以顺道侵入你公司的其它业务。

  但是,这并不意味着我们应该避开统一通信系统。事实上,从某些方面来讲,我们可以加强该系统的安全性能,使其超过贵公司一直依赖的传统电话通信网络。

  通过传统网络安全的最佳方法、网络安全架构设计方案及相应网络和硬件工具,我们可以实现统一通信系统的安全性能。事实上,你已经拥有了其中的某些硬件——如路由器和网络交换机,你只需对其进行调整,使其适应网络电话(VoIP)协议和其它一些统一通信协议就可以了。

  VoIP是统一通信系统的核心,它可以将你的电话通信系统在你现有的TCP/IP网络上实现运行,从而替代你的传统电话通信线路和网络。当你设计自己的统一通信系统或为其寻找相应网络硬件时,应该首先考虑VoIP。除了相关数据之外,这可能是你在实现网络通信运行过程中最重要的因素。

  由于统一通信系统基本上只运行在同一网络中,因此传统的网络安全措施很难对其进行保护。所有运行统一通信软件及数据交易的服务器都应该被加固,这意味着只有必要的服务才应该被开启,而不必要的服务应该被关闭;安全补丁应该及时更新;访问权限控制措施应该到位;只有授权用户才能使用。当然,服务器也应该受到防病毒软件和防火墙的保护,同时还要受到入侵监测系统的监控。

  除了这些基本的网络安全措施,统一通信系统和VoIP应该被安全地架构在自己专有的网络中。支持统一通信系统运行的服务器也应该是专用的,如果可能的话,应该将与其它的网络分开,尤其是那些承担数据托管任务的网络。总的来说,语音和数据通信应该被分置于不同的网络和虚拟LAN单元中。

  这样的话,如果黑客侵入了你的呼叫控制服务器,即使该服务器上运行着VoIP系统,他也无法进入你公司的其它网络和数据。尤其要讲的是,不能将台式机和工作站和VoIP安置在同一网络单元中,原因一样——黑客们正是要通过台式机来寻找一个妥协的VoIP连接来进入到整个网络之中。

  除了你的TCP/IP通信协议通常所要求的网络硬件之外,VoIP架构还有其特有的组件。这包括媒体网关(MGs)及媒体网关控制器(MGC),它们担任着MGs群组网关和控制器的职责。这些设备可以模拟数字转换,并将语音信号转变成比特单位的字节型数据,以便于网络路由器和计算机的读取。这些设备也必须得到加固及安全保护,就像你其它的网络和服务器设施一样。

  如今你会面临哪些威胁

  当你安全地将统一通信系统部署到网络上之后,就必须考虑到威胁到你网络安全的因素。其中有些因素与通常网络中的威胁因素是一致的。例如,黑客们会尝试利用VoIP及统一通信系统侵入你网络中的其它设施。他们将其视为进入你系统的另一扇后门,从而进行恶意使用或数据窃取。他们也可能利用它来冲击你的网络,将其作为一种实施拒绝服务攻击(DoS)的手段。

  但是,详细地讲,对于VoIP的袭击与其它网络攻击行为不同,它有可能会成为攻击者们利用你的电话通信服务来打免费电话或窃听机密谈话的目标。在过去,黑客们经常会进行“战争拨号”,即使用自动拨号器来寻找专用交换机(PBX)或生活线路来利用公司的电话通信网络。如今,他们必须要利用对网络中其它设施进行黑客侦察扫描时的相同端口来寻找电话线路的开放端口,而现在他们都只是同一网络中的一部分。

  黑客们还可能会尝试利用SIP协议及SCCP协议这两个VoIP主要协议的特定漏洞,这是Cisco Systems公司统一通信设备的专有协议。与SIP协议和SCCP协议相关的问题包括各种缓冲区溢出问题,某些情况下,还包括SQL注入攻击等问题。

  统一通信系统还要求进行通信加密、访问控制、以及端点安全保障。与常用保护HTTP通信的加密措施一样,安全套接字层技术(SSL)对于其它TCP/IP通信行为同样有效,就像在统一通信系统中使用的一样。访问控制措施被要求来确保只有授权用户才可以使用公司的统一通信系统。端点安全保障措施要确保电话、以及如今的台式机和工作站等通信设备不会成为侵入网络的后门。

  以下是符合这些规格并适合于中型企业的一些产品。在这类市场上,有Cisco、Sipera公司、及FaceTime公司等等一些竞争者:

  Cisco ASA 5500系列产品是一套专门为中型企业设计的安全设备。它既可以提供防火墙的功能,还可以对进入网络的语音和视频数据进行更多的实时保护。它还提供了语音通信加密功能,包括通过SSL及IPSec虚拟专用网络的通信行为。此外,它还为SIP和SCCP协议设计了专门的访问控制功能,这两者要比其它网络协议更难控制,因为他们使用的不是静态端口。

  Sipera公司也为统一通信系统提供了IPCS系列的安全设备。今年6月,他们宣布,为了与SIP中继供应商服务更好地合作,他们已经对产品进行了相应的升级。Sipera产品还提供了一套访问权限控制代理认证系统,此外,为了实现远程电话的部署,他们还实现了其与轻量级目录访问协议(LDAP)的结合。

  作为IM安全产品市场上传统的厂商, FaceTime公司也推出了其统一安全网关设备(USG)。作为一种传统的Web应用程序防火墙,USG可以保护系统免受来自一些Web 2.0软件的威胁,比如说Facebook及其它一些社交网站。但是,除此之外,它还是一种可以对公共IM、Skype、点对点通信、Microsoft的Office Communication Server及IBM 的Lotus Sametime等等一些通信软件进行过滤的轻量级设备,而所有的这些程序都有可能会随着VoIP被一起卷入你的统一通信程序包。

  在购买任何一款这类工具之前,你需要对自己的业务进行评估,看统一通信系统是否适合你的公司。然后看这些工具是否适合你网络、架构、及基础设施的需求。统一通信系统的安全性能是可以实现的,即使是一些中型企业,也必须将其作为整体网络规划的一部分。

翻译

王霆
王霆

相关推荐