Mutt
Professional
- Messages
- 1,458
- Reaction score
- 1,281
- Points
- 113
В условиях продолжающегося давления по сокращению постоянных затрат в рамках бизнеса предприятия и малые и средние предприятия (SMB) рассматривают передачу голоса по IP (VoIP) как возможность для экономии средств. Увеличивается объем данных, подтверждающих, что использование IP в качестве общего транспорта для данных и голоса обеспечит основу для существующих услуг, таких как голосовой трафик, и станет средством для новых приложений в будущем, таких как присутствие и видео.
Программные клиенты, мощные многофункциональные портативные устройства, беспроводные IP- сети внутри предприятия, телефоны с поддержкой SIP и IP-АТС становятся все более распространенными в корпоративных сетях. Сетевым администраторам предлагается внедрить эти новые сети для предоставления высококачественных услуг без нарушения целостности сети. Но с появлением любого нового IP-устройства в локальной сети появляются уязвимости безопасности, о которых организации должны не только знать, но и хорошо подготовиться.
Тенденции безопасности VoIP ... что-то старое, что-то новое
Проблемы безопасности в 2021 году в основном представляют собой известные уязвимости, но есть некоторые новые моменты. Большинство этих уязвимостей были впервые обнаружены операторами связи, когда они развернули VoIP в 2002 году в поисках экономии на предоставлении таких услуг, как междугородная связь. Сегодня существуют решения, как технические, так и процедурные, которые могут смягчить эти потенциальные эксплойты. Эти решения могут быть развернуты непосредственно крупными предприятиями, потенциально обслуживая тысячи удаленных точек, или могут быть предоставлены в качестве управляемой услуги VoIP / безопасности для малых предприятий. Вот пример того, как предприятия могут реализовать устойчивую, надежную и безопасную сеть для устранения наиболее серьезных угроз:
Угроза №1: DoS / DDoS-атаки
Давний фаворит хакерского сообщества, эти атаки происходят на различных уровнях протоколов, например на уровне IP, уровне SIP и т. д .; и используются для потребления полосы пропускания и ресурсов, особенно в элементах, расположенных на границе сети. Эти типы атак могут также повлиять на других клиентов, пытающихся позвонить.
Решение:
Чтобы обеспечить надлежащее смягчение последствий в большой корпоративной сети, организациям необходимо решение корпоративного класса, специально разработанное для масштабирования, чтобы управлять притоком активности на границе сети. Эта масштабируемость имеет решающее значение, поскольку она гарантирует, что сам защищенный пограничный элемент не будет перегружен при обработке атаки, иначе он сам станет агентом DoS. Для малых и средних предприятий существуют сопоставимые продукты, которые можно развернуть на месте или как часть размещенной службы, защищая магистраль SIP до их локальной IP-АТС.
Угроза №2: «Я знаю, что вы сказали прошлым летом».
Лица, обладающие средствами отслеживания, могут перехватывать или подслушивать голосовые вызовы в базовых сетях. Популярным местом прослушивания является незащищенное сетевое соединение от магистрали MPLS провайдера VoIP с использованием транкинга SIP в LAN SMB.
Решение:
Чтобы снизить этот риск в локальной сети и сохранить конфиденциальность вызовов, можно использовать виртуальные локальные сети (VLAN) для разделения трафика и / или шифрования медиапотоков на периферию предприятия. Многие конечные точки на основе SIP, такие как интегрированное устройство доступа (IAD) или IP PBX, поддерживают «встроенное» шифрование сигнализации (TLS - Transport Layer Security или IPSec), а мультимедиа (Secure RTP) также могут устранить эту возможную уязвимость.
Угроза №3: Отсутствие защиты элементов VOIP поставщиками.
Многие элементы корпоративной VOIP-сети (IP-АТС, серверы функций, интерактивный голосовой ответ (IVR), системы голосовой почты, системы обеспечения, прокси-серверы SIP, смартфоны и т. д.) Используют стандартные операционные системы, такие как Windows, Solaris, Linux и , как таковые, подвержены специфическим уязвимостям операционной системы, таким как вирусы и вредоносное ПО.
Решение:
Все элементы в корпоративной сети VOIP должны быть должным образом защищены, и клиенты должны требовать проверки у поставщика перед покупкой. Это «наилучшая практика», хорошо известная в мире данных, и она в равной степени применима при добавлении голосовых элементов на основе IP в микс. Это немного больше работы со стороны клиента, но в конечном итоге стоит приложенных усилий и душевного спокойствия.
Угроза №4: следуйте рекомендациям по эксплуатации системы
Недавний поиск в Интернете одного поставщика IP-АТС, который был напрямую подключен к Интернету, выявил ряд систем, в которые можно было войти, поскольку пароли по умолчанию не были изменены. Это может иметь ненужные последствия для IP-сети.
Решение:
Это простая угроза, которой можно легко избежать, если заранее изменить заводские пароли по умолчанию при установке новых систем. И, как упоминалось ранее, любой элемент VoIP, основанный на обычных операционных системах, должен быть усилен, ненужные службы отключены, а неиспользуемые порты закрыты. Кроме того, крайне важно вести журнал событий, связанных с безопасностью, для целей аудита и отслеживания, чтобы гарантировать непрерывную целостность сети. Еще раз, здравый смысл должен преобладать, и этот процесс не приведет к потере денег.
Угроза №5: Вишинг и плевки и нежелательные звонки, о боже !!
Так же, как нежелательная электронная почта по отношению к СПАМу, хакеру легко настроить несколько систем или «ботов», чтобы с легкостью отправлять звонки на телефон VoIP. Это явление известно как распространение спама через интернет-телефонию. Кроме того, хакеры могут также использовать тактику вишинга в качестве попытки «обмануть» конечных пользователей, чтобы те передавали личную информацию, такую как номера кредитных карт, банковские счета, номера социального страхования и т. Д., Под видом необходимости в этой информации по законной причине. .
Решение:
При телефонных звонках следует соблюдать те же меры предосторожности, что и при заполнении форм для онлайн-покупок, и стараться не выдавать такую информацию без надлежащей идентификации. Существуют развивающиеся методы блокировки нежелательных вызовов и устранения этой угрозы. Аутентификация устройства и пользователя - это одна из мер, которая позволяет сетевым менеджерам определять, что вызов исходит от законной фирмы и авторизованного агента, сводя к минимуму риск.
Угроза № 6: Бесплатные поездки
Возможность совершать бесплатные VoIP-звонки через сеть оператора связи (мошенничество с телефонной связью) может быть достигнута несколькими способами, включая спуфинг законного пользователя, перехват его вызова или захват одного конца разговора. Оттуда хакер может заставить устройство VoIP начать отправку мультимедиа в сеть с правильной настройкой вызова (Rogue media). Другой пример «бесплатного проезда» - это когда конечная точка SIP просто начинает отправлять мультимедиа в пункт назначения вообще без какой-либо аутентификации вызова. Несанкционированные вызовы не только означают потерю дохода для оператора связи, но также нет гарантии, что эти вызовы совершаются просто для того, чтобы избежать оплаты; они могут быть сделаны по секретным причинам, и вызывающий абонент не хочет оставлять никаких средств отслеживания или записей звонка, что ставит организацию в уязвимое положение.
Решение:
Существует ряд методов для смягчения этих попыток бесплатных вызовов, таких как защита от несанкционированного доступа RTP в защищенном пограничном элементе, а также аутентификация вызывающего абонента с использованием цифровых сертификатов, которые могут быть выполнены на границе сети, чтобы остановить эту практику.
VoIP: защита изнутри
В дополнение к решениям, рассмотренным выше, существует множество доступных решений, помогающих управлять широким спектром потенциальных угроз для IP-телефонов. Традиционные методы, используемые для защиты и усиления безопасности веб-серверов, систем баз данных и систем электронной почты, безусловно, помогут, но есть также набор решений для пограничного контроля операторского класса, которые помогут организациям управлять угрозами безопасности от ядра их сетей до самого центра. точки доступа, где возникают многие из вышеперечисленных угроз. При оценке решений для пограничного контроля предприятиям следует использовать новое поколение этой технологии, обеспечивающее повышенную масштабируемость и надежность.
Организации могут получить сетевое пограничное решение операторского уровня, которое может легко обеспечить корпоративную надежность и масштабируемость для обеспечения постоянной и надежной защиты как от существующих, так и от возникающих угроз. Развертывание этих решений следующего поколения, многие из которых уже зарекомендовали себя во всем мире в операторских средах, также может обеспечить дополнительные услуги, такие как управление мультимедиа и надежность телекоммуникационного уровня «пять девяток», которых нет в устаревших пограничных контроллерах сеансов (SBC). С этими решениями предприятия и малые и средние предприятия могут с большей уверенностью переходить к сетям следующего поколения, обеспечивающим унифицированные коммуникации (UC) для сотрудников как на месте, так и за его пределами.
При оценке всех этих угроз и решений предприятиям также важно понимать, что существуют развивающиеся спецификации и структуры развертывания, исходящие от таких сообществ стандартов, как SIPconnect и SIP Forum. Эти стандарты определяют параметры взаимодействия и безопасности транкинга SIP предприятия / провайдера, например использование TLS для шифрования. В 2009 году мы увидим, что сообщество поставщиков VoIP будет продолжать придерживаться таких рамок, что упростит администрирование и безопасность корпоративных VoIP-соединений. Предприятиям следует запрашивать у своих поставщиков VoIP информацию о поддержке ими ключевых структур, таких как SIPconnect.
В заключении
По мере того как развертывание VoIP становится все более распространенным, угрозы безопасности будут продолжать вызывать проблемы для современного предприятия. Но если эти организации и дальше будут осведомлены о конкретных угрозах и решениях, имеющих отношение к их бизнесу, они будут в более сильной позиции, чтобы помешать им проникнуть в более крупные проблемы. Кроме того, предприятия должны тщательно оценивать свои бизнес-цели при рассмотрении новых решений и согласовывать все свои выборы в соответствии с достижением этих целей. Принимая во внимание эти соображения, предприятия, малые и средние предприятия и их сетевые менеджеры могут с большей уверенностью переходить к сетям следующего поколения с поддержкой IP, обеспечивая унифицированные коммуникации (UC) для сотрудников как на месте, так и за его пределами.
Программные клиенты, мощные многофункциональные портативные устройства, беспроводные IP- сети внутри предприятия, телефоны с поддержкой SIP и IP-АТС становятся все более распространенными в корпоративных сетях. Сетевым администраторам предлагается внедрить эти новые сети для предоставления высококачественных услуг без нарушения целостности сети. Но с появлением любого нового IP-устройства в локальной сети появляются уязвимости безопасности, о которых организации должны не только знать, но и хорошо подготовиться.
Тенденции безопасности VoIP ... что-то старое, что-то новое
Проблемы безопасности в 2021 году в основном представляют собой известные уязвимости, но есть некоторые новые моменты. Большинство этих уязвимостей были впервые обнаружены операторами связи, когда они развернули VoIP в 2002 году в поисках экономии на предоставлении таких услуг, как междугородная связь. Сегодня существуют решения, как технические, так и процедурные, которые могут смягчить эти потенциальные эксплойты. Эти решения могут быть развернуты непосредственно крупными предприятиями, потенциально обслуживая тысячи удаленных точек, или могут быть предоставлены в качестве управляемой услуги VoIP / безопасности для малых предприятий. Вот пример того, как предприятия могут реализовать устойчивую, надежную и безопасную сеть для устранения наиболее серьезных угроз:
Угроза №1: DoS / DDoS-атаки
Давний фаворит хакерского сообщества, эти атаки происходят на различных уровнях протоколов, например на уровне IP, уровне SIP и т. д .; и используются для потребления полосы пропускания и ресурсов, особенно в элементах, расположенных на границе сети. Эти типы атак могут также повлиять на других клиентов, пытающихся позвонить.
Решение:
Чтобы обеспечить надлежащее смягчение последствий в большой корпоративной сети, организациям необходимо решение корпоративного класса, специально разработанное для масштабирования, чтобы управлять притоком активности на границе сети. Эта масштабируемость имеет решающее значение, поскольку она гарантирует, что сам защищенный пограничный элемент не будет перегружен при обработке атаки, иначе он сам станет агентом DoS. Для малых и средних предприятий существуют сопоставимые продукты, которые можно развернуть на месте или как часть размещенной службы, защищая магистраль SIP до их локальной IP-АТС.
Угроза №2: «Я знаю, что вы сказали прошлым летом».
Лица, обладающие средствами отслеживания, могут перехватывать или подслушивать голосовые вызовы в базовых сетях. Популярным местом прослушивания является незащищенное сетевое соединение от магистрали MPLS провайдера VoIP с использованием транкинга SIP в LAN SMB.
Решение:
Чтобы снизить этот риск в локальной сети и сохранить конфиденциальность вызовов, можно использовать виртуальные локальные сети (VLAN) для разделения трафика и / или шифрования медиапотоков на периферию предприятия. Многие конечные точки на основе SIP, такие как интегрированное устройство доступа (IAD) или IP PBX, поддерживают «встроенное» шифрование сигнализации (TLS - Transport Layer Security или IPSec), а мультимедиа (Secure RTP) также могут устранить эту возможную уязвимость.
Угроза №3: Отсутствие защиты элементов VOIP поставщиками.
Многие элементы корпоративной VOIP-сети (IP-АТС, серверы функций, интерактивный голосовой ответ (IVR), системы голосовой почты, системы обеспечения, прокси-серверы SIP, смартфоны и т. д.) Используют стандартные операционные системы, такие как Windows, Solaris, Linux и , как таковые, подвержены специфическим уязвимостям операционной системы, таким как вирусы и вредоносное ПО.
Решение:
Все элементы в корпоративной сети VOIP должны быть должным образом защищены, и клиенты должны требовать проверки у поставщика перед покупкой. Это «наилучшая практика», хорошо известная в мире данных, и она в равной степени применима при добавлении голосовых элементов на основе IP в микс. Это немного больше работы со стороны клиента, но в конечном итоге стоит приложенных усилий и душевного спокойствия.
Угроза №4: следуйте рекомендациям по эксплуатации системы
Недавний поиск в Интернете одного поставщика IP-АТС, который был напрямую подключен к Интернету, выявил ряд систем, в которые можно было войти, поскольку пароли по умолчанию не были изменены. Это может иметь ненужные последствия для IP-сети.
Решение:
Это простая угроза, которой можно легко избежать, если заранее изменить заводские пароли по умолчанию при установке новых систем. И, как упоминалось ранее, любой элемент VoIP, основанный на обычных операционных системах, должен быть усилен, ненужные службы отключены, а неиспользуемые порты закрыты. Кроме того, крайне важно вести журнал событий, связанных с безопасностью, для целей аудита и отслеживания, чтобы гарантировать непрерывную целостность сети. Еще раз, здравый смысл должен преобладать, и этот процесс не приведет к потере денег.
Угроза №5: Вишинг и плевки и нежелательные звонки, о боже !!
Так же, как нежелательная электронная почта по отношению к СПАМу, хакеру легко настроить несколько систем или «ботов», чтобы с легкостью отправлять звонки на телефон VoIP. Это явление известно как распространение спама через интернет-телефонию. Кроме того, хакеры могут также использовать тактику вишинга в качестве попытки «обмануть» конечных пользователей, чтобы те передавали личную информацию, такую как номера кредитных карт, банковские счета, номера социального страхования и т. Д., Под видом необходимости в этой информации по законной причине. .
Решение:
При телефонных звонках следует соблюдать те же меры предосторожности, что и при заполнении форм для онлайн-покупок, и стараться не выдавать такую информацию без надлежащей идентификации. Существуют развивающиеся методы блокировки нежелательных вызовов и устранения этой угрозы. Аутентификация устройства и пользователя - это одна из мер, которая позволяет сетевым менеджерам определять, что вызов исходит от законной фирмы и авторизованного агента, сводя к минимуму риск.
Угроза № 6: Бесплатные поездки
Возможность совершать бесплатные VoIP-звонки через сеть оператора связи (мошенничество с телефонной связью) может быть достигнута несколькими способами, включая спуфинг законного пользователя, перехват его вызова или захват одного конца разговора. Оттуда хакер может заставить устройство VoIP начать отправку мультимедиа в сеть с правильной настройкой вызова (Rogue media). Другой пример «бесплатного проезда» - это когда конечная точка SIP просто начинает отправлять мультимедиа в пункт назначения вообще без какой-либо аутентификации вызова. Несанкционированные вызовы не только означают потерю дохода для оператора связи, но также нет гарантии, что эти вызовы совершаются просто для того, чтобы избежать оплаты; они могут быть сделаны по секретным причинам, и вызывающий абонент не хочет оставлять никаких средств отслеживания или записей звонка, что ставит организацию в уязвимое положение.
Решение:
Существует ряд методов для смягчения этих попыток бесплатных вызовов, таких как защита от несанкционированного доступа RTP в защищенном пограничном элементе, а также аутентификация вызывающего абонента с использованием цифровых сертификатов, которые могут быть выполнены на границе сети, чтобы остановить эту практику.
VoIP: защита изнутри
В дополнение к решениям, рассмотренным выше, существует множество доступных решений, помогающих управлять широким спектром потенциальных угроз для IP-телефонов. Традиционные методы, используемые для защиты и усиления безопасности веб-серверов, систем баз данных и систем электронной почты, безусловно, помогут, но есть также набор решений для пограничного контроля операторского класса, которые помогут организациям управлять угрозами безопасности от ядра их сетей до самого центра. точки доступа, где возникают многие из вышеперечисленных угроз. При оценке решений для пограничного контроля предприятиям следует использовать новое поколение этой технологии, обеспечивающее повышенную масштабируемость и надежность.
Организации могут получить сетевое пограничное решение операторского уровня, которое может легко обеспечить корпоративную надежность и масштабируемость для обеспечения постоянной и надежной защиты как от существующих, так и от возникающих угроз. Развертывание этих решений следующего поколения, многие из которых уже зарекомендовали себя во всем мире в операторских средах, также может обеспечить дополнительные услуги, такие как управление мультимедиа и надежность телекоммуникационного уровня «пять девяток», которых нет в устаревших пограничных контроллерах сеансов (SBC). С этими решениями предприятия и малые и средние предприятия могут с большей уверенностью переходить к сетям следующего поколения, обеспечивающим унифицированные коммуникации (UC) для сотрудников как на месте, так и за его пределами.
При оценке всех этих угроз и решений предприятиям также важно понимать, что существуют развивающиеся спецификации и структуры развертывания, исходящие от таких сообществ стандартов, как SIPconnect и SIP Forum. Эти стандарты определяют параметры взаимодействия и безопасности транкинга SIP предприятия / провайдера, например использование TLS для шифрования. В 2009 году мы увидим, что сообщество поставщиков VoIP будет продолжать придерживаться таких рамок, что упростит администрирование и безопасность корпоративных VoIP-соединений. Предприятиям следует запрашивать у своих поставщиков VoIP информацию о поддержке ими ключевых структур, таких как SIPconnect.
В заключении
По мере того как развертывание VoIP становится все более распространенным, угрозы безопасности будут продолжать вызывать проблемы для современного предприятия. Но если эти организации и дальше будут осведомлены о конкретных угрозах и решениях, имеющих отношение к их бизнесу, они будут в более сильной позиции, чтобы помешать им проникнуть в более крупные проблемы. Кроме того, предприятия должны тщательно оценивать свои бизнес-цели при рассмотрении новых решений и согласовывать все свои выборы в соответствии с достижением этих целей. Принимая во внимание эти соображения, предприятия, малые и средние предприятия и их сетевые менеджеры могут с большей уверенностью переходить к сетям следующего поколения с поддержкой IP, обеспечивая унифицированные коммуникации (UC) для сотрудников как на месте, так и за его пределами.
