امنیت در سیستم های تلفنی تحت شبکه

امنیت در سیستم های تلفنی تحت شبکه

امنیت (Security) شامل زنجیره ای از اقدامات و فرآیندها می باشد؛ که ضعف یکی از این حلقه ها ، باعث از هم گسیختن آن زنجیره میشود.

مبحث امنیت تضمینی نبوده و ما هیچگاه به امنیت ۱۰۰ درصد دست نخواهیم یافت اما با پیروی از توابع و قوانین خاصی میتوان امنیت را به حدود 60 الی 65 درصد رساند و برای درصدهای بیشتر باید هزینه و تجهیزات خاصی خریداری کرد که بسته به میزان امنیت مدنظر ، هزینه نیز متغییر خواهد بود.

امنیت در این حوزه دارای لایه های مختلفی می باشد؛ لایه هایی شامل فایروال (Firewall)، احراز هویت (Identification) و مانیتورینگ(Monitoring) از جمله آن لایه ها است.

با پیاده سازی درست این لایه ها و تکنیک های مناسب و مرتبط با آن ها، امنیت سیستم را میتوان ارتقا داد.

یکی از مسائل مهم که کمتر به آن توجه می شود، منشا تهدیدات امنیتی است.

در حالی که از داخل شبکه ، دسترسی به منابع سیستم راحت تر بوده و بسیاری از فیلترهای امنیتی وجود ندارد تمرکز اکثر مدیران شبکه روی حملات خارجی است و این نگرش نیاز به بازنگری و اصلاح دارد.

• اهداف حملات و نفوذهای صورت گرفته معمولأ دو چیز است:

1- آسیب رساندن به سیستم تلفنی و ایجاد توقف در سرویس دهی.

2-سرقت خطوط تلفنی شهری و یا ترانک ها.

در مورد اول، هدف اصلی به خطر انداختن یک کسب و کار و ایجاد خلل در ارتباطات تلفنی آن هاست:

حملاتی همچون SIP Scan، Port Scan، SSH Brute Force، DoS و DDoS

در حملات نوع دوم نفوذگر از خطوط ارتباطی سیستم تلفنی برای برقراری تماس های تلفنی خارجی که پرهزینه هستند، استفاده می کند.

از طریق سیستم تلفنی هدف، با دو نقطه مختلف تماس برقرار گشته و سپس این دو تماس را به هم متصل می شود .

SIP Registration Scan attack ،Dictionary attack Brute Force.

اهداف دیگر شامل:

دستیابی به اطلاعات تماس ، دستیابی به اطلاعات کاربران ، دست یابی به زیرساخت شبکه می باشند.

• آسیب پذیری های امنیتی سیستم های تلفنی مبتنی بر VoIP

*رمز عبور

رمزهای عبور باید ساختار مناسبی از لحاظ تعداد و نوع کاراکترها داشته باشند.

*غیر فعال کردن قابلیت ها و یا ماژول های بدون استفاده

اقدام بعدی غیرفعال کردن امکانات و یا ماژول هایی است که از آن ها استفاده نمی شود.

زیرا بسیاری از این قابلیت ها نوعی درگاه ورود به سیستم بوده و فرد نفوذگر از طریق آن ها، می تواند از آنها بهره ببرد .

*غیر فعال کردن و یا تغییر در تنظیمات پیش فرض

*حذف برخی اطلاعات پیشفرض از بدنه پیام های ارسالی

*تعاریف و تنظیمات و محدودیت های مشخص برای ترافیک ورودی و مسیر ترافیک های خروجی

*رد درخواست های SIP دریافتی از منبع ناشناس

*محدود کردن آدرس های IP مجاز برای داخلی ها

*به‌روز بودن Patch های سیستم عامل و نرم افزارهای VoIP

*اعمال احراز هویت قوی برای دسترسی حساب‌های مدیریتی و کاربری

*اجرای برنامه‌های کاربردی موردنیاز برای ارائه و نگهداری سرویس VoIP

*نصب و نگهداری فایروال، ضدویروس و بدافزار برای جلوگیری از حملات DoS

*ایمن‌سازی برنامه‌های کاربردی VoIP برای جلوگیری از سوءاستفاده (برای مثال، ایجاد یک لیست مجاز از کد تلفن کشورهای قابل تماس گرفتن، می‌تواند تماس‌های غیرمجاز را خنثی کند.)

*تغییر پورت های پیش فرض

*فیلتر کردن ترافیک های ورودی

*محدود کردن دسترسی ها بر روی سرور میزبان

*پروتکل های امن

بکارگیری پروتکل های امن همچون پروتکل TLS به منظور امن سازی سیگنالینگ و پروتکل SRTP به منظور محافظت از کانال های صوتی می باشد.

SBC این امکان را فراهم می کند تا با استفاده از سخت افزار مستقل، پردازش های مربوط به رمزنگاری ترافیک صورت پذیرد و از این طریق، بدون هیچ گونه خللی در توان پردازشی سیستم، به صورت کامل از ظرفیت آن بهره برد.

*استفاده از SBC:
Session Border Controller

به عنوان دیوار آتشی (Firewall)، با قرارگیری در لبه‌ی شبکه های VoIP هرجا که دو طرف ارتباط پیغام SIP درمیان باشد.

وظیفه محافظت و افزایش امنیت سیستم های تلفنی ویپ (VoIP) را در برابر حملات مختلف بر عهده دارد.

وظایف:

پنهان نمودن Topology

شناسایی و جلوگیری از حملات DOS/DDOS

رمزنگاری پیام های سیگنالینگ و مدیا

بررسی تغییر آدرس IP درخواست ها یا NAT Traversal

مسیریابی و مدیریت ترافیک

تبدیل فرمت های مختلف مدیا به یکدیگر

شناسایی و جلوگیری از مغایرت در مسیج های SIP

ضبط تماس ها و اندازه گیری کیفیت تماس ها

مانیتورینگ

شنود های قانونی و حفاظت شده