您的位置:云骑士 > 科技 > 新闻 >
确保VoIP通信安全的注意事项
时间:2020-06-06 10:00:12

随着工作场所因大流行而转向更为分散的模式,需要更好地保护IP语音通信。IP语音   (VoIP)是小型企业可以购买的最具成本效益的网络解决方案之一,但是如果您不睁大眼睛就可以迅速节省下来的钱,了解语音在数据网络上运行的各个方面是成功部署该技术的关键,VoIP是最重要的方面之一,在部署项目和计划会议中经常使人一见钟情的是安全性。如今,由于大流行,许多企业都转向更加分散的网络模型。

无论是确保安全的用户身份验证和网络配置,还是在所有VoIP通信和数据存储中启用端到端加密,组织都必须勤于监督IT管理并与其业务VoIP  提供商紧密合作,以确保满足安全要求。

RingCentral的首席安全官(CSO)Michael Machado负责管理RingCentral的所有云和VoIP服务的安全性。在过去的18年中,Machado一直在IT和云安全领域中度过,最初是在WebEx 担任安全架构师和运营经理,然后在该公司收购了视频会议  服务之后又在Cisco任职。

公司的VoIP通信中的安全性考虑始于研究和购买阶段,甚至还没有选择VoIP提供商,并且在实施和管理过程中一直存在。Machado从安全角度讲解了整个过程,并一路停下来为各种规模的企业解释很多要做的事情。

选择您的VoIP提供商

请勿:忽略共享安全模型。无论您是小型企业还是大型企业,您需要了解的第一件事,与VoIP和统一通信即服务  (UCaaS)无关,都是云服务通常需要共享的安全模型。Machado表示,作为客户,您的企业始终在安全实施所采用的所有云服务方面共同承担一些责任。

Machado说:“这是客户理解的关键,尤其是在公司规模较小且资源较少的情况下,人们认为VoIP是连接到铜线的机械设备。事实并非如此。VoIP电话,无论是物理手机,运行软件的计算机,移动应用程序还是软电话应用程序,与机械电话插入PSTN(公共交换电话网络)。它不像普通电话,您将承担确保安全性在客户和供应商之间闭环的责任。”

供应商要尽职调查,一旦您了解共同的责任并希望采用云VoIP服务,则在选择供应商时进行尽职调查是很有意义的。根据您的规模和您在员工方面的专业知识,Machado解释了企业和中小型企业(SMB)如何以不同的方式实现这一目标。

如果您是一家大公司,可以花时间进行尽职调查,则可以提出一系列问题,询问每个供应商,审查他们的审计报告,并举行几次会议讨论安全性, 如果您是一家小型企业,则可能没有专业知识来分析[服务组织控制]  SOC 2  审计报告或花时间进行繁重的讨论。

相反,您可以查看Gartner的“魔力象限”报告之类的内容,并查看它们是否具有SOC 1或SOC 2报告,即使您没有时间或专业知识来阅读和理解它,审计报告很好地表明了公司对安全性进行了大力投资,而对未投资的公司进行了投资。 除SOC 2之外,您还可以查找SOC 3报告。它是相同标准的轻量级,类似认证的版本。这些都是您希望作为小型企业开始朝着正确的安全方向发展的东西。

在现在合同中协商安全性条款,您已经选择了VoIP供应商,正在考虑做出购买决定的可能性。Machado建议,在与云供应商谈判合同时,企业应尽可能尝试以书面形式获得明确的安全协议和条款。

马查多说:“小公司,大公司都没关系。公司越小,谈判这些特定条款所需要的权力就越少,查看有关卖方的安全义务,您可以从卖方协议中获得什么。”

实施VoIP安全

使用加密的VoIP服务,在部署方面,Machado表示,现代VoIP服务没有不提供端到端加密的任何借口。Machado建议组织寻找支持  传输层安全性(TLS)或安全实时传输协议 (SRTP)加密的服务,并且最好在不增加核心安全措施的情况下做到这一点。

Machado说:“并非总是选择最便宜的服务;为获得更安全的VoIP而支付额外费用可能是值得的。更好的是,当您不必为云服务的安全性支付额外费用时,作为客户,您应该只能够启用加密的VoIP,然后就可以使用。您的提供商不仅要使用加密的信号,还要对静态媒体进行加密,这一点也很重要。人们希望对话是私密的,而不是遍历互联网使用纯文本语音。请确保您的供应商将支持该级别的加密,并且不会让您付出更多。”

不要混合使用LAN,在部署的网络端,大多数组织都使用手机和基于云的界面。许多员工可能只是在使用VoIP移动应用程序或软件电话,但通常还会有台式电话和会议电话连接到VoIP网络。对于所有这些外形尺寸,Machado表示,至关重要的是,不要在同一网络设计中混用外形尺寸和连接的设备。

马查多说:“您想建立一个单独的语音  局域网。您不希望您的硬语音电话与您的工作站和打印机在同一网络中混合在一起。这不是一个好的网络设计,如果走那条路,将对安全性产生潜在的问题。您的工作空间彼此之间没有任何理由。我的笔记本电脑不需要与您的计算机进行通信;这与带有应用程序的服务器场不同与数据库对话。”

建立专用VLAN、专用  VLAN(虚拟LAN)使IT经理可以更好地控制其网络,因为它可以将特定类型的流量(在这种情况下为VoIP)有效地分段到其自己的网络中。尽管还有其他方法可以保护VoIP流量,使其免受网络上运行的其他应用流量的拥塞,但将VoIP流量分开是目标,没有什么可以使流量分开将其放在自己的网络上。专用VLAN充当将设备连接到路由器,服务器或网络的单个访问和上行链路点。

从端点安全  体系结构的角度来看,专用VLAN是一种很好的网络设计,因为专用VLAN使您能够在交换机上启用此功能,即'该工作站无法与其他工作站进行通信'。如果您的VoIP电话或具有语音功能的设备与其他所有设备都位于同一网络上,那将不起作用,重要的是,将您的专用语音局域网设置为特权更高的安全设计的一部分。

请勿将VoIP留在防火墙之外,VoIP电话是插入以太网或Wi-Fi网络的计算设备。作为连接的端点,Machado说,让客户记住与其他任何计算设备一样,它也必须位于公司防火墙之后,这一点很重要。

Machado说:“ VoIP电话具有一个用户界面[UI],供用户登录并让管理员在电话上进行系统管理。不是每个VoIP电话都具有可防止暴力攻击的固件,您的电子邮件帐户将在几次尝试后被锁定,但是并非所有VoIP电话都以相同的方式工作。如果您不对防火墙进行设置,这就像向希望编写脚本的Internet上的任何人打开该Web应用程序一样暴力攻击并登录。”

VoIP服务管理

请执行更改默认密码,不管您从哪个制造商那里接收VoIP手机,这些设备都将使用默认凭据来提供,就像Web UI随附的任何其他硬件一样。为了避免导致Mirai僵尸网络DDoS攻击的简单漏洞,最简单的方法就是更改这些默认值。

Machado说:“客户需要采取积极措施来保护手机安全,立即更改默认密码,或者,如果您的供应商为您管理电话端点,请确保它们代表您更改了这些默认密码。”

要跟踪您的使用情况,无论是云电话系统,本地语音系统还是  专用小交换机  (PBX),Machado都说所有VoIP服务都具有攻击面,最终可能会遭到黑客入侵。发生这种情况时,最典型的攻击之一是帐户接管(ATO),也称为电信欺诈或流量激增。这意味着,当VoIP系统被黑客入侵时,攻击者将尝试拨打耗费所有者金钱的呼叫。最好的防御方法是跟踪使用情况。

假设您是威胁者。您可以使用语音服务,并且尝试拨打电话。如果您的组织正在监视其使用情况,则可以发现是否有异常高昂的账单,或者看到就像是用户拨打电话长达45分钟。

如果您要对此进行“云化”,即不使用传统的PBX或本地VoIP,请与您的服务提供商进行对话,询问您在采取什么措施保护我。是否有旋钮和转盘可以让我打开和关闭服务?您是在进行后端欺诈监视或用户行为分析,以代表我使用异常吗?这些是要问的重要问题。

请勿拥有广泛的安全性权限,在使用方面,为防止潜在的ATO损害,一种方法是关闭您不知道的业务所需的权限和功能,以防万一。

如果您的业务不需要呼叫世界各地,那么就不要打开呼叫世界各地的电话,如果您仅在美国,加拿大和墨西哥开展业务,您是否想让其他所有国家都可以拨打电话,或者就ATO而言将其关闭是有意义的吗?您的用户使用任何技术服务,以及您的业务使用中不需要的任何东西,都被视为过分广泛。

请勿忘记修补,程序对于任何一种软件,修补程序并保持最新都是至关重要的。无论您使用的是软件电话,VoIP移动应用程序,还是任何具有固件更新的硬件,Machado都说这很容易。

您是在管理自己的VoIP电话吗?如果供应商发布了固件,请对其进行快速测试和部署-它们通常会处理所有类型的补丁。有时,安全补丁来自于代表您管理电话的供应商,因此,请务必询问谁控制修补程序以及周期是什么。

要启用强身份验证,强二元身份验证和加大身份管理的投入   是另一种明智的安全实践。Machado表示,除VoIP外,身份验证始终是重要的因素。

Machado说:“始终启用强身份验证。如果您登录云PBX或电子邮件或CRM,这没有什么不同  。寻找并使用这些功能,我们不仅在谈论桌上的电话;我们在谈论Web应用程序以及服务的所有不同部分。了解各个部分如何组合在一起并依次保护每个部分。”

相关下载
相关视频
相关教程
最新教程