首頁>>>技術(shù)>>>VoIP

企業(yè)如何防范VOIP系統(tǒng)的安全威脅和漏洞?

2006/08/14

VoIP的安全策略

  你是否聽說過最新的VoIP釣魚伎倆—Vishing的惡名?

  它的運行流程如下:易受騙的用戶會收到一封電子郵件(或者一個電話),被告知他的信用卡信息正在被人盜看,然后讓他趕緊撥打某個電話號碼。這個電話中會有電腦制作的語音提示,讓他輸入信用卡號碼和其他認(rèn)證信息等等。

  這個釣魚欺詐中與VoIP有關(guān)的部分就是這個電話號碼。和傳統(tǒng)的電話不同,它可以讓欺詐者同時用大約800個本地電話號碼進(jìn)行呼叫,只要設(shè)置好系統(tǒng)后便可開始自動收集信用卡信息了。而用傳統(tǒng)電話,電話公司一般需要確認(rèn)一項業(yè)務(wù)是否合法,然后只給在某個特定區(qū)域有實際工作場地的公司分配一個本地號碼。

  Vishing正是最新的VoIP安全恐怖威脅。《Network World》最近就曾報道過,各類VoIP系統(tǒng),包括很有名氣的開放源碼系統(tǒng)Asterisk都存在這樣的易于被分布式DoS攻擊的弱點,這種攻擊可以徹底摧毀企業(yè)的電話系統(tǒng)。

  眼下就有一個相當(dāng)有名的關(guān)于IP犯罪(FoIP)的案子,其中的兩名嫌犯侵入了多家企業(yè)和服務(wù)提供商的網(wǎng)絡(luò),“卷走”了大約1000萬分鐘的呼叫時長,而受害企業(yè)為此付出了人均30萬美元的連接費用。此類案例正呈上升勢頭。

  那么,企業(yè)該如何防范此類由于VoIP系統(tǒng)而引發(fā)的新的安全威脅或者漏洞呢?對于企業(yè)來說,需要有專人負(fù)責(zé)VoIP的安全。這聽上去似乎明確而又簡單,但你不知道企業(yè)里會有多少人認(rèn)為VoIP的安全理應(yīng)由安全團(tuán)隊負(fù)責(zé),可各個安全團(tuán)隊之間實際上會相互扯皮。假如連該誰負(fù)責(zé)這樣的小事情都明確不了,那么安全又從何談起?

  再下一步,評估系統(tǒng)的漏洞風(fēng)險。企業(yè)級VoIP威脅一般會有4個主要來源:可用性、隱私、服務(wù)竊取以及獲得對敏感信息的訪問權(quán)。可用性涉及是否易受分布式DoS或其他攻擊,從而導(dǎo)致VoIP系統(tǒng)掉線。隱私涉及VoIP呼叫的泄密。服務(wù)竊取自然是指系統(tǒng)是否易受他人濫用,比如上面所說的FoIP案例。而最后一項則需要考慮Vishing對企業(yè)的入侵特性:比如黑客可能會截獲某個VoIP呼叫,將其ID修改成“IT部門”,再撥到比如總裁秘書處,精心制造一些場景要求總裁秘書提供總裁的系統(tǒng)口令或其他機(jī)密信息。秘書則會認(rèn)為她是在與IT部門通話,從而輕易地將機(jī)密信息泄露給了黑客。

  最后,對每一種威脅都需要專門的解決辦法。比如要確保可用性,就要確保一般的分布式DoS防范必須準(zhǔn)確到位。要確保隱私,可以利用適當(dāng)?shù)募用芗夹g(shù)。要防范服務(wù)竊取風(fēng)險或敏感信息外泄,則需要進(jìn)行人員培訓(xùn),具備精準(zhǔn)的呼叫監(jiān)控功能等。

網(wǎng)界網(wǎng) 


相關(guān)鏈接:
VoIP巡展:波特科技市場部經(jīng)理陳苑苑演講 2006-08-14
VoIP巡展:Cantata大陸區(qū)副總裁楊波演講 2006-08-14
國際商報:天下互聯(lián)讓“電話也瘋狂” 2006-08-14
明天的VoIP改變的遠(yuǎn)不止是使用習(xí)慣 2006-08-14
顛覆傳統(tǒng) Lobos三款網(wǎng)絡(luò)電話試用 2006-08-11

相關(guān)頻道:  企業(yè)_與_voip  企業(yè)_與_企業(yè)通信  voip_與_企業(yè)通信
 舟曲县| 天全县| 赣州市| 儋州市| 赞皇县| 商水县| 土默特右旗| 平阳县| 庐江县| 汤阴县| 南雄市| 历史| 贵州省| 淳安县| 邯郸县| 隆子县| 安顺市| 黑山县| 大石桥市| 永泰县| 文成县| 富顺县| 清徐县| 句容市| 阿拉善左旗| 孟村| 如东县| 包头市| 吉木萨尔县| 得荣县| 烟台市| 准格尔旗| 横山县| 湛江市| 化隆| 临沧市| 台山市| 旌德县| 湄潭县| 定襄县| 大庆市|