چگونه از امنیت سیستم تلفن تحت شبکه خود محافظت کنیم ؟

اینترنت مکان خطرناکی می باشد وامکان دستبرد به اطلاعات رمز گزاری نشده توسط هکر ها بسیار شایع می باشد. در بعضی از راه کارها از تونل های   Virtual Private Network برای اتصال تلفن ها از نقطه ای دور به سیستم تلفن دفتر مرکزی استفاده می شود. این راهکاری خوب ولی با دو محدودیت می باشد.

راه اندازی VPN زمان بر می باشد، در نتیجه قبل از برقراری اتصال و دریافت و ارسال تماس تلفنی، اتصال VPN باید آماده و متصل باشد. موضوع دوم اینکه VPN یک سرویس وابسته به سخت افزار می باشد. اگر فشار مضاعف بر اثر رمز نگاری و رمزگشایی ترافیک بر روی دستگاه تلفن مشترک اعمال شود، نتیجه آن تاخیر در ارسال و دریافت بسته های VoIP می باشد.

در ادامه با هزارسو همراه باشید.

فایروال ها

ایمن سازی ترافیک VoIP بر روی فایروال ها چالش هایی را ایجاد می کند. اول آنکه همه فایروال ها بهینه سازی شده برای کارکرد بهینه VoIP نیستند. بعضی از فایروال های قدیمی ممکن است که قابلیت شناسایی پروتکل های VoIP را نداشته باشند و به صورت نادرست ترافیک VoIP را مسدود کنند.

بروز رسانی

بروز رسانی  دستگاه های VoIP چالش های خود را  به همراه دارد. فرایند بروز رسانی و یا رفع اشکال بسیاری از دستگاه های VoIPبیش از حد آسان، نا امن و در مواردی حتی خطرناک می باشد. بسیاری از دستگاه های VoIP از پروتکل TFTP به منظور به روز رسانی فریم ور استفاده می کنند که در بسیاری از موارد این عملیات بدون احراز هویت اعمال می شود. اضافه براین معیار بروز رسانی در اکثر موارد فقط  نیازمند وجود فایلی جدید می باشد. به همین دلیل یک سرور TFTP در معرض خطر به راحتی به هکرها اجازه جایگزین کردن هر فایل دلخواه را به منظور نصب شدن برروی دستگاه می دهد، که نهایتا منجر به از کار افتادن کلی سیستم VoIP می شود.

مسائل امنیتی چندان ارتباطی به سیستم تلفنی ندارند. اگر شبکه موجود دارای حفره های امنیتی باشد بعد از نصب سیستم VoIP به راحتی می تواند مورد سوء استفاده قرار بگیرد. بسیاری از کارشناسان پیش ازپیاده سازیVoIP ، ارزیابی امنیتی مستقل را توصیه می کنند. موارد مورد نگرانی شامل امنیت Gateway ها، تنظیمات Firewall، عملیات Patching، بررسی متداول syslog و امنیت شبکه بی سیم می باشد.

  آسیب پذیری های امنیتی موجود در سیستم عامل های مورد استفاده می تواند منجر به بروز آسیب پذیری در سیستم VoIP نیز گردد.

باز بودن بیهوده پورت های   TCP/UDP

پیاده سازی سیستم VoIP امکان باز شدن بیهوده پورت های   TCP/UDP بدون نظارت لازم را فراهم می کند. این امر و دیگر سرویس های پیش فرض فعال، بستری برای حمله های DoS و یا DDoS را مهیا کرده است. به منظور مقابله با این حملات کارشناسان امنیتی باید از امنیت و بسته بودن پورت ها و سرویس های بیهوده اطمینان حاصل کرده و از امنیت شبکه در برابر حملات و دسترسی های غیر مجاز در آینده مطمئن باشند.

نرم افزاری است که قابلیت استخراج بسته های صوتی TCP/IP را بر روی گوشی های تلفن Cisco دارد. عملکرد این نرم افزار به این صورت است که بسته های صوتی را گرفته و به فایل صوتی Wave برای شنود تبدیل می کند. اخیرا محصولی به نام SipTap توانایی رهگیری ترافیک بدون رمز VoIP تحت SIP را به عرضه گذاشته است. SipTap نه تنها قابلیت استخراج تماس های صوتی را دارد بلکه علاوه بر این می تواند اطلاعات Caller ID علامت گزاری تماس گیرنده، دریافت کننده تماس، زمان و مدت زمان تماس را نیز فراهم کند. تنها روش موجود برای جلوگیری ازاین نوع ازاستراق سمع، ایمن کردن دسترسی به سیستم مدیریت تماس،ورمزگذاری داده های صوتی می باشد.

Spam over IP telephony (SPIT)

Spam over IP telephony (SPIT)، شامل پیام های ناخواسته ضبط شده می باشد که به گوشی VoIP شما فرستاده می شود. وجود SPIT مدیون SIP می باشد. SIP حضور یک گوشی VoIP اعلام می کند و نرم افزارهای شماره گیر، پیغام برنامه ریزی شده ناخواسته را ارسال می کنند. علاوه بر این SPIT، امکان بروز حملات DoS و استفاده غیر مجاز از منابع (پهنای باند) را نیز دارد.

Firewall های بهینه سازی شده برای VoIP معمولا قابلیت شناسایی SPIT را دارند و با ایجاد مکانیزم احراز هویت تنها به تماس های مجاز اجازه عبور می دهند.

سیستم تلفن تحت شبکه  با ایجاد پورت های جدید، قوانین و شبکه های مجازی جریان ترافیک شبکه را پیچیده می کند. کارشناسان ارتباطی باید به دقت نقشه ای از قوانین ترافیک و پورت های TCP و UDP را تهیه کنند.پیشنهاد می شود تاآنجائیکه ممکن است کمترین تعداد پورت بر روی فایروال به منظور کارکرد صحیح سرویس ها باز شود.

  تلفن های بی سیم نیازمند امنیت بی سیم پیشرفته می باشند، بهترین راهکارامنیت شبکه بی سیم علاوه بر رمزنگاری ، احراز هویت متمرکز می باشد. اگر شبکه بی سیم شما از احراز هویت با سرور Radius و یا از سرویس های دایرکتوری متمرکز مانند Microsoft Active Directory استفاده می کند، قبل از پیاده سازی VOIP ،این سیستم امنیت شبکه بی سیم را پیاده سازی کنید.

پر کاربرد ترین اقدامات امنیتی سرور که می توان بر روی سرورهای VOIP

1- از به روز بودن Patch های سیستم عامل و نرم افزار های VoIP اطمینان داشته باشید.

2- تنها برنامه های کاربردی مورد نیاز برای ارائه و نگهداری سرویس VoIPرا اجراکنید.

3- اعمال احراز هویت قوی برای دسترسی حساب های مدیریتی و کاربری.

4-نصب ونگهداری فایروال،ضد ویروس و بد افزار برای جلوگیری ازحملات DoS.

5-ایمن سازی برنامه های کاربردیVoIP برای جلوگیری ازسوءاستفاده. برای مثال،یک لیست مجاز ازکد تلفن کشورهای قابل تماس گرفتن، می تواند تماس های غیر مجاز را خنثی کند.

هفت مورد امنیتی مهم در رابطه با وویپ

1- ایزوله کردن سرورهای VoIP و زیر ساخت های مربوطه (برای مثال DNS, LDAP) از دیگر دستگاهای کاربرها (تلفن ها، کامپیوتر های شخصی و لپ تاپ ها) از طریق شبکه های مجزا فیزیکی یا مجازی (VLAN) برای انتقال ترافیک مدیریت، صوت و داده ها.

2-استفاده ازفایروال ها به منظورمحدود کردن انواع ترافیک فقط به پروتکل های لازم که ممکن است از  مرز VLAN ها عبور کرده باشند.

3-روش کنترل دسترسی به شبکه مبتنی برپورت (IEEE 802.1X port-based network access  ) وروشهای کنترل دسترسی به شبکه مشابه،بامسدود کردن دسترسی دستگاهها از طریق شبکه   LAN یا WLANتازمانی که بررسی کامل امنیتی آنها انجام گردد،یک لایه اضافی ازکنترل را ارائه می دهند.

4-مدیران شبکه باید از فایروال هایی که از SIP پشتیبانی می کنند استفاده کنند، تا بتوانند در شناسایی حملات  SIP و همچنین در شناسایی وپردازش جریان های داده ای RTP بدون اضافه شدن زمان تاخیر قابل توجهی ، عمل کنند.   

5-گیت وی های لایه Application (پراکسی ها) نقش مهمی در استقرار VoIP بر عهده دارند. ترکیب تونل های SSL در پراکسی های SIP به روشی محبوب برای بهبود احراز هویت و اضافه شدن حفاظت و امنیت بیشتر در تبادل اطلاعات بین کاربرها و پراکسی های SIP تبدیل شده است.

6-پراکسی های RTP برای سازمان هایی که نیاز به انتشار جریان داده ای ای در میان آدرس ها و پورت های RTP جهانی و محلی دارند، گزینه مناسبی می باشد. دیگر سازمان ها با سرمایه گذاری بر روی IPsec ترافیک VoIP خود بین نقاط مختلف را ایمن می سازند.

7-بعضی از سازمان ها نیازمند فیلتر کردن ترافیک سیگنالینگ و جریان داده RTP توسط SBC (Session Border Controller) می باشند. عملکرد SBC به مانندیکe-mail  پروکسی امن می باشد. SBC موجب برقراری تماس بین کاربران شبکه عمومی و خصوصی می شوند و سیاست های امنیتی را بر روی آنها اعمال می کنند. همچنین قابلیت بازنویسی عنوان پیام (Message Header) به منظور پنهان کردن جزئیات شبکه های خصوصی (مانند آدرس ها)، برداشتن فیلدهای SIP نا مشخص و یا ناخواسته و جلوگیری از تماس شماره های ناخواسته را دارند. به دلیل آنکه ترافیک داده ها از SBC عبور می کند سیاست های RTP می تواند بر روی آنها اعمال شود.