《自动应答有风险 视频会议需谨慎(一)》介绍了视频会议的安全现状,本文将继续介绍视频会议安全和最佳实践。 视频会议安全:评估工具 现在有一些特殊的视频会议安全评估工具,比如Rapid 7公司设计的渗透测试应用程序Metasploit。这家位于波士顿的公司最近对视频会议系统执行了一次高调渗透测试。这个应用程序有可用于扫描和发现视频会议系统漏洞的工具。
CEO Mike Tuchen指出,Rapid 7的最新研究发现,自动应答是一个安全漏洞,它可能使入侵者有机会进入连接互联网的系统。 另一方面,Weinstein认为每个组织都应该先考虑在会议室启用自动应答的风险,再决定是否禁……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
《自动应答有风险 视频会议需谨慎(一)》介绍了视频会议的安全现状,本文将继续介绍视频会议安全和最佳实践。
视频会议安全:评估工具
现在有一些特殊的视频会议安全评估工具,比如Rapid 7公司设计的渗透测试应用程序Metasploit。这家位于波士顿的公司最近对视频会议系统执行了一次高调渗透测试。这个应用程序有可用于扫描和发现视频会议系统漏洞的工具。CEO Mike Tuchen指出,Rapid 7的最新研究发现,自动应答是一个安全漏洞,它可能使入侵者有机会进入连接互联网的系统。
另一方面,Weinstein认为每个组织都应该先考虑在会议室启用自动应答的风险,再决定是否禁用这个特性。自动应答是一种选择,就像IT团队需要采取措施保证网络安全和个人计算机一样,他们还需要保证视频会议设备的安全性。Lazar说,如果自动应答成为问题,那么使用企业SBC与SIP的解决方案可以保证呼叫是来自于可靠的呼叫者。
虽然Rapid 7的首席安全官H.D. Moore也认同使用IP连接的系统应该配置SBC与SIP进行访问控制,但是他同样建议公司应该完全禁用自动应答这个特性。Moore使用Metasploit的快速端口扫描工具查找通过IP连接的、视频会议系统的安全漏洞,他发现有5,000个不带保护措施的视频会议系统自动应答了他的呼叫。所以他可以轻易控制视频摄像头、偷偷参加会议。
Lazar认为,如果系统连接带有正确配置会话边界控制器的SIP中继,那么Rapid 7端口扫描试验会大不一样。但是,许多网络管理员可能还未认识到SIP对于视频与语音的作用。SBC可以防止自动应答漏洞,但是控制器昂贵,而且还必须配置才能使用SIP,保证视频会议设备的安全。
视频会议安全最佳实践
1. 使用带SIP的会议边界控制器保护IP视频设备。
2. 对用户进行培训,使他们了解视频会议系统是否受到攻击。Rapid 7的Tuchen说:“如果看到摄像机开始转动,那么肯定有人在操纵。如果控制台或摄像机指示灯闪动,这表示系统在呼叫之前已经在运行。”
3. 在视频会议呼叫建立时,将系统呼叫设置为默认的静音模式。如果有黑客发起呼叫,那么除非会议室有人打开通话音量,否则他或她不会听到会议声音。
4. 注意,视频会议设备的自动应答特性可能会允许访客悄悄进入会议室。
5. 如果关闭自动应答特性,那么必须安排人手(IT管理员或指派用户)手工激活系统。这样虽会有一些麻烦,但是能够保证不会有人无声无息,无影无踪地进入会议。
作者
翻译
TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。
相关推荐
-
自动应答有风险 视频会议需谨慎(一)
自动应答存在严重的安全问题,但将会话边界控制器(SBC)与会话发起协议(SIP) 部署在一起,能够降这种风险。