觀點

是誰來電?

2009 / 08 / 03
NEIL ROITER 翻譯 ■ 夏客
是誰來電?
雖然採用IP電信網路能省錢,也可節約企業資源,但千萬別漠視安全問題的存在。

  IP電信網路目前蔚為一股風潮。原因在於,此多樣性媒體網路除了有佈署,擴充以及維護等成本節約的考量之外,集聲音、資料、影像一體的資訊架構也讓人難以忽視它的存在。再者,數字會吐露出真正的事實:Forst & Sullivan的報告指出,北美企業IP電信網路端點用戶市場的淨值於2006年,已達10.2億美元,一般預料,到了2011年間,會上看27.9億美元。

  跟任一新興技術相較,也許我們會對於此項技術的安全需求感到困惑!怎麼說呢?因為傳統電信系統的業者,在高危險的環境下,除了電話錄音盒這玩意兒使人擔心外, 他們根本未曾思考過電信相關方面的安全問題。

  「從歷史的角度觀之,這也是傳統電信在整體通信環境中,最成功,亦是最可靠的地方。」,Gartner產業研究分析師Lawrence Orans接著說,「然而,現在同樣地,它跨足到了資料傳輸網路,IP PBX會因此變成另一個易遭攻擊的弱點。」

  不過,無論如何,該主機目前所扮演的卻是最重要的企業營運角色!畢竟,服務品質是不可或缺的。對於IP PBX或者是企業網路而言,阻斷式攻擊都可輕易地讓企業營運陷入一個停擺狀態;只不過,截至目前為止,這件事似乎還未發生過?

  「就以往資料流攻擊的經驗來看,現在我們還未明顯地見到針對語音方面的攻擊行為。」,Orans接著說,「無論發生與否,這並不代表我們就毋須採取適當的預防措施。」在他認為,當IP電信系統普遍存在之際,鎖定特定對象的目標式攻擊行動(targeted attack)就會跟著節節上升。

  不過,我們可以肯定的是,IP電信網路是緊緊地由內而外被包裹住,因為IP PBX需要連結到傳統電信網路架構,而該載具被替換的機率是微乎其微。

  「威脅仍舊是相對地低了許多。而當更多不同類型的攻擊出現時,IP電信網路更會是歹徒藉機海撈一票的目標。」電信安全公司SecureLogix技術長MarkCollier說,「從電信網路外面往裡看,實在是看不出個所以然,假若我本身就是攻擊者的話,那麼,我會先佔據電信網路內最有利的位置,再發動攻擊。」

  Gartner分析師則建議,保護IP PBX的工作要如同防禦其他重點伺服器的安全一樣:築起防火牆!不過,首先要確認的是,它得支援VoIP等協定,包含常見的SIP、H.323及非標準的協定,當然,這些是取決於IP PBX廠商的支援度。另外,採VLAN區段分離的作法和施行頻寬管控,也有助於確保服務的品質。

  「我們的職責所在,就是作好基礎的網路安全工作。」Collier說,「當然,稽核工作是不可缺少的一部份,因為多數的威脅事件,是能夠藉由正確的組態設定,將這些『不定時炸彈』予以消弭。事實上,我們目前仍舊需要傳統的防火牆來保護網路的安全,現在談及採用VoIP的防火牆,似乎還嫌早了點。」

  不過,這件事是有可能隨著時間而改變的。現下有許多VoIP相關的攻擊工具,通常以SIP協定居多。雖然IP電信網路的供應商,像是Cisco、Avaya和Nortel都採用不公開的協定,事實上,絕大部份都還是遊走在H.323當中,他們只想消費者購買自家的產品罷了!畢竟,廠商們所面臨到的市場壓力,最末還是會將其推向
SIP的懷抱!

  不過,依舊會有安全方面的弱點存在,像Sipera System的Viper實驗室,就會定期地發佈有關SIP-Based系統的漏洞。其實,Sipera就如同Natural Convergence和BorderWare這些企業一樣,該公司也供應特製的VoIP安全產品。

  「眾多企業,主要與金融和健康有關的,他們都了解這些攻擊行為是可能發生的,並且也正採取相應的安全措施,絕不坐以待斃。」Sipera的技術長Krishna Kurapati說。

  再者,金融投資者在投資貿易上,均大大地仰賴即時通訊,包含我們現在所看到的SIP軟體,比方像是MS Office Communicator和Lotus Sametime。所以,SIP相關的安全性產品,亦可能會為這些企業在營運上以及SIP-Based的語音運用上,帶來更清晰的輪廓。

  「IP電信網路的安全是可以更為鞏固加強的!」市調公司Garner的分析師Orans說,「我們建議如果用戶們有好理由想採行此道,以及想好好保護它的話,現在就可以開始動手進行了。」

Skype,要或不要?

  Skype旋風席捲全球!它不僅容易使用,此外,費率也同樣地低廉許多。再者,一般消費群眾根本抵擋不住Skype的魅力;就連公司行號,也發現它真的是棒透了,並且只附帶一丁點兒的威脅性。不過,正當大夥用熱情擁抱IP電信網路的時候,這種以點對點設計,本身便帶有Internet性質的網路,同樣也讓相關安全問題浮上檯面。

  儘管目前Skype所提供的新企業版本,除採行企業級的建議安裝方式外,並具有自訂控管政策的能力,但是,就Gartner的立場,它仍然建議用戶停止安裝。

  原因顯而易見:網路防火牆根本管不住Skype,原因在於它最初就是被設計成搜尋可利用之port號,以維持其高效能的通訊能力。所以,Skype跟IM類的軟體存在著同樣的安全性議題,再加上它本身的封包還是先經過加密處理的,以致於連帶地IPS也無法偵測其行為。最後,導致的結果是,企業只有等到封包送到手上,才會發現該夾檔是否懷有惡意程式?!

  更進一步的消息指出,目前該軟體也已經曝露出幾項弱點,但我們絲毫沒有預見Skype有能力或積極地的處理這些問題。

  無論如何,要確保安全還是有希望的。因為所知限制,於是Skype便發展了自家的API,並公諸於系統安全供應商使用。而Web安全供應商FaceTime便是Skype的第一個合作夥伴,並據此寫出了API程式,專門提供予用戶,作為Skype政策管控的機制。

  「不少企業用戶都已經將Skype納管禁止,所以,這就是為什麼現在Skype要公佈API的原因!」FaceTime的資深產品管理師Nishant Jadhav說。話雖如此,但是用戶依舊渴求擁有Skype的各項功能,至於在IT人員方面,則希望把它當成是一套企業營運軟體,因為它不僅能降低支出成本,此外,透過它溝通還相當地有效率呢!