美国国家安全局 (NSA) 发布了保护统一通信/IP 语音和视频系统 (VVoIP) 的指南。

[出自:jiwo.org]

NSA 上周发布了保护其通信系统安全的指南，特别是统一通信 (UC) 和 IP 语音和视频 (VVoIP)。

统一通信 (UC) 和 IP 语音和视频 (VVoIP) 呼叫处理系统为企业提供通信和协作工具，它们在独特的工作场所中结合了语音、视频会议和即时消息。这些平台广泛用于政府机构和多个政府机构供应链中的组织，因此，该机构希望支持他们确保基础设施的安全。

然而，这些工具扩大了使用它们的组织的攻击面，威胁参与者可以利用漏洞和错误配置来接管目标基础设施的网络。

攻击者可以将这些系统作为目标来传播恶意软件、冒充用户、窃听对话、进行欺诈等等。

“然而，支持 UC/VVoIP 系统的相同 IP 基础设施也会将攻击面扩展到企业网络，从而引入漏洞和未经授权访问通信的可能性。这些漏洞在早期的电话系统中更难触及，但现在语音服务和基础设施可以被渗透到 IP 网络的恶意行为者访问，以窃听对话、冒充用户、实施长途电话欺诈或实施拒绝服务效应。”阅读 NSA 发布的指南。“妥协可能导致使用 IP 基础设施作为传输机制秘密收集和传输高清房间音频和/或视频。

该指南分为四个部分，并为每个部分提供了缓解措施和使用实施的最佳实践。这四个部分是：

• 准备网络

• 建立边界

• 使用企业会话控制器 (ESC)

• 添加 UC/VVoIP 端点以部署 UC/VVoIP 系统

该指南敦促为这些工具、详细的规划和部署活动设计安全性，并建议持续测试和维护。

NSA 建议使用 VLAN 来限制 UC/VVoIP 系统和数据网络之间的横向移动，并对流量类型进行访问控制。该机构还建议实施第 2 层保护，为所有 UC/VVoIP 连接实施身份验证机制，并实施有效的补丁管理流程。

该指南建议对信令和媒体流量采用身份验证和加密，部署欺诈检测解决方案，对构成平台的系统实施物理安全，并使用解决方案来检测和防止 DoS 攻击。

该机构还建议每次必须在运营网络中添加新设备时对基础设施进行测试。

“使用此处解释的缓解措施和最佳实践，组织可以享受 UC/VVoIP 的好处，同时最大限度地降低泄露敏感信息或丢失服务的风险。”指南总结。

NSA 机构还发布了一份信息表，总结了该指南及其包括的建议：

• 对网络进行分段；

• 实施第 2 层保护；

• 保护 PSTN 和 Internet 边界；

• 及时了解补丁；

• 验证和加密信令和媒体流量；

• 防止欺诈；

• 确保可用性；

• 管理拒绝服务攻击；控制物理访问；

• 在测试台中验证功能和配置。