مقالات, ویپ voip

آیا VoIP امن است؟ راهنمای نهایی امنیت VoIP و رمزگذاری تماس

آیا VoIP امن است؟ راهنمای نهایی امنیت VoIP و رمزگذاری تماس

 یکی از دغدغه های مدیران فناوری اطلاعات در مورد امنیت VoIP است. آیا VoIP امن است؟ در این مقاله، به شما نشان خواهیم داد که چگونه می توانید حریم خصوصی سیستم تلفنی مبتنی بر SIP خود را حفظ کنید.

سیستم های تلفنی VoIP با وجود صرفه جویی در هزینه ها و عملکرد آن، می توانند نگرانی های امنیتی را به دنبال داشته باشند. با این حال، صاحبان کسب و کارها باید بدانند که سیستم تلفنی مبتنی بر ابر (Cloud) در برابر تهدیدات امنیتی مقاوم است.

در واقع هیچ سیستم تلفنی غیرقابل نفوذ نیست. امنیت یک هدف متحرک است که هر روز مسائل امنیتی آن بررسی و به روزرسانی می شوند. صرف نظر از این موضوع، باید سیستم تلفن خود را مقاوم کنید.

در این مقاله ایمن سازی تماس های VoIP، از جمله موارد مهم امنیتی، تاکتیک های کاهش سرعت و غیره پوشش داده شده است.

چرا امنیت VoIP اهمیت دارد؟

امنیت برای هر کسب و کاری ضرورت دارد. صرف نظر از این که کسب و کار شما بزرگ یا کوچک است، اختلال در سیستم تلفن شما فاجعه خواهد بود.

پروتکل انتقال صدا از طریق اینترنت (VoIP) تفاوتی ندارد. هزینه های پایین VoIP نظر صاحبان کسب و کارها را به خود جلب کند. با این حال باید توجه داشت که

خبر خوب این است که امروزه VoIP، حتی پس از دو دهه آزمایش کاملا ایمن است. به طور کلی، ارائه دهندگان خدمات VoIP بسیار ایمن هستند. این در حالی است که ماهیت تهدیدهای امنیتی در حال تکامل است.

برخلاف سایر تهدیدات امنیتی فناوری اطلاعات، Voice over IP فرصت های جدیدی را در اختیار مهاجمان سایبری قرار داده است. رهگیری مکالمه، کلاهبرداری با شناسه تماس گیرنده و حملات محروم کننده سرویس (DoS) از جمله خطرات سایبری هستند که بعداً بیشتر درباره آن ها توضیح خواهیم داد.

امنیت VoIP فقط مربوط به رمزگذاری تماس ها نیست، بلکه باید از بستری از شبکه که اطلاعات صوتی و متنی از طریق آن منتقل می شوند نیز مطمئن بود. اگر بستر ارتباطی در معرض خطر قرار بگیرد، کسب و کار شما نیز می تواند درگیر حملات بیشتری شود.

هزینه نقض هر ساله افزایش پیدا می کند. طبق گزارش ابرشرکت بین المللی ماشین های کسب و کار (IBM)، به طور متوسط هزینه نقض در ایالات متحده آمریکا 8.1 میلیون دلار در سال 2019 بوده است.

برخی صنایع بیشتر تحت تاثیر قرار گرفته اند. فهم عرفی نشان می دهد شرکت های تجارت الکترونیکی بیشتر هدف قرار می گیرند، اما اینطور نیست. شرکت های بهداشتی، مالی و انرژی از مهمترین اهداف حملات سایبری هستند.

مهاجمان می توانند با کمک VoIP حملات متعددی را انجام دهند:

  • مهندسی اجتماعی از طریق تماس تلفنی
  • افشای رمزهای عبور شبکه داخلی Wi-Fi
  • کلاهبرداری تلفنی
  • رهگیری پیام های متنی احراز هویت چندعاملی
  • دسترسی شبکه های داده

مهندسی اجتماعی می تواند به حملات هماهنگ علیه کاربران VoIP کمک کند. کارکنان توانمند در مرکز عملیات شبکه (NOC) و خدمات مشتری همیشه اهداف اصلی هستند. تنها با یک بار دسترسی غیرمجاز، عملاً عملکرد سیستم تشخیص نفوذ شما زیر سوال می رود.

خبر خوب این است که اقدامات متقابل موثری برای کاهش مشکلات امنیتی VoIP وجود دارد. شبکه های VoIP حرفه ای در برابر سوءاستفاده از کاربران مشهور و غیرمشهور مقاوم شده اند.

اجازه دهید نگاهی عمیق تر به تهدیدات امنیتی که سیستم های تلفنی کسب و کارها را به خطر می اندازند، بیندازیم.

  • بیشتر بخوانید: هک VoIP : نحوه کارکرد و نحوه محافظت از تلفن VoIP شما

سیستم های تلفنی سنتی در مقابل VoIP

برای بیش از یک قرن مردم از طریق شبکه تلفن عمومی سوئیچ شده (PSTN) تماس برقرار می کردند. سیستم های PSTN شبکه صوتی آنالوگ هستند، بنابراین در هر مکانی که دسترسی فیزیکی به سیم کشی امکان پذیر باشد، قابل استفاده هستند و همچنین آسیب پذیر نیز هستند.

این سیستم تلفنی قدیمی با نام خطوط تلفن سنتی آنالوگ (POTS) نیز شناخته می شود. از آنجایی که تماس ها با استفاده از سیگنال های صوتی متصل می شوند، مهاجمان به راحتی می توانند آن ها را رهگیری کنند.

در نمودار زیر می بینید که تماس ها از طریق پایانه های آنالوگ به یک دفتر مرکزی منتقل می شوند. امروزه شرکت های تلفنی اقدامات و پروتکل های امنیتی را برای اطمینان از امنیت بین دفاتر مرکزی ایجاد کرده اند. با این حال، این امنیت به سیستم تلفن داخلی شما ورود نخواهد کرد.

در دهه 1970 میلادی امکان تماس رایگان از طریق PSTN وجود داشت. در اواخر دهه 90 میلادی، افرادی که به وسیله ی سیگنال های کنترلی ساختگی ، شماره کارت های اعتباری دزدیده شده و نظایر آن ، شرکت های تلفن را فریب می دهند، بر روی تجهیزات PBX متمرکز شدند، به این معنی که می توانستند به سیستم های تلفنی ناامن حمله کنند.

امروزه شبکه های تلفنی برای برقراری تماس با استفاده از پروتکل SS7 ترافیک صوتی را از سیگنالینگ جدا می کنند. با این وجود، بسیاری از سیستم های PBX همچنان آسیب پذیر هستند و مهاجمان آن ها را پیدا می کنند.

پروتکل صدا از طریق اینترنت متفاوت است

تماس ها با استفاده از پروتکل SIP برقرار می شوند. پروتکل SIP به عنوان یک پروتکل سیگنالینگ برای تلفن اینترنتی معتبر عمل می کند. یک سرور SIP ترافیک صوتی را به جریان های رسانه ای فشرده می کند و آن ها را از طریق اتصال به اینترنت ارسال می کند.

بدیهی است که چرا شرکت های بزرگ و کسب و کارهای کوچک به برقراری تماس از طریق اینترنت روی آورده اند. برقراری ارتباط از طریق اینترنت در هزینه های ارتباطی صرفه جویی می کند و انعطاف پذیری زیادی را برای کار در خانه برای کاربران فراهم می کند.

سیستم های تلفنی VoIP از همان شبکه داده برای برقراری تماس های تلفنی استفاده می کنند. ارائه دهنده VoIP به طور انحصاری کلیه ترافیک VoIP را کنترل می کند. کارکنان فناوری اطلاعات فقط کافی است یک شبکه را برای کارکنان خود ایمن سازی کنند.

در نمودار زیر، تمام آنچه برای خدمات تلفنی VoIP لازم است، اتصال پایدار شبکه است و نیازی به ایجاد یا نگهداری زیرساخت VoIP نیست.

بزرگترین فاومت این است که کاربران می توانند تلفن های VoIP خود را به همراه داشته باشند و از هر کجا کار کنند. علاوه براین، افراد می توانند از برنامه های تماس SIP که به عنوان تلفن نرم افزاری برای تماس شناخته می شوند، استفاده کنند.

سرویس های تلفنی VoIP نسبت به سیستم های تلفنی سنتی مزایای امنیتی بیشتری را ارائه می دهند. مزایای اصلی عبارت اند از:

  • نظارت بر زمان واقعی استفاده از طرح تماس
  • اجرای دقیق مکالمات رایگان
  • رمزگذاری تماس برای جلوگیری از شنود
  • ویژگی های پست صوتی قوی و ارسال ایمیل

وقتی تماس های VoIP به PSTN می رسند، چه می شود؟

ارائه دهندگان VoIP، امنیت را در درجه بالایی حفظ می کنند. آن ها برای حفظ امنیت و عملکرد مطلوب از SBC استفاده می کنند. SBC به عنوان یک فایِروال عمل می کند و مسیریابی منطقی تماس را حفظ می کند. اپراتورها برای اصلاح آسیب پذیری های امنیتی و به روزرسانی سیستم عامل های سازنده استانداردهای بالایی را حفظ می کنند.

بسیاری از سیستم های تلفنی PBX به خوبی پشتیبانی نمی شوند، قطعات آن ها گران هستند و پیدا کردن تکنیسین های حرفه ای دشوار است. یک قطعی می تواند ارتباطات تجاری شما را برای هفته ها مختل کند.

نکته نهایی این است که سیستم های تلفنی VoIP حریم خصوصی و امنیت بیشتری را برای کسب و کارها فراهم می کنند و مطمئن تر هستند.

تهدیدات امنیتی VoIP

احتمالاً درباره انواع اختلالات امنیتی VoIP کنجکاو هستید.

سرویس عملیاتی (DoS): این حمله با قطع منابع شبکه در خدمات و تماس های تلفنی اختلال ایجاد می کند. این حمله می تواند کیفیت تماس، تاخیر و زمان کار یک مرکز تماس را کاهش دهد.

حمله شماره گیری: این نوع حمله کنترل PBX شما برای اسکن سایر شبکه های تلفنی را شامل می شود. این کار با شماره گیری شماره ها برای اتصال به مودم ها صورت می گیرد.

کلاهبرداری تلفنی: همانند حمله شماره گیری، برای کلاهبرداری تلفنی به برقراری تماس با خط خارج از سیستم تلفن شما نیاز است. مهاجمان می توانند شماره های گران قیمت بین المللی را که باعث افزایش هزینه های تلفنی می شوند، شماره گیری کنند.

فیشینگ: این نوع حمله کاربرانی را که به شناسه تماس گیرنده اعتماد می کنند، به دام می اندازد. قربانیان جزئیات مربوط به شبکه IP داخلی، گذرواژه ها یا سایر اطلاعات حساس را فاش می کنند.

رهگیری تماس:  مهاجمان از شبکه های ناامن برای رهگیری ترافیک SIP رمزگذاری نشده استفاده می کنند. نکته منفی ماجرا این است که ویدیوها نیز می توانند مورد حمله قرار بگیرند.

اِسپَم: جای تعجبی ندارد که جعبه پست صوتی هدفی مشترک برای کلاهبرداری های تلفنی است. بسیاری از ID های محدود یا شخصی استفاده می کنند.

بدافزار: مهاجمان از نرم افزارهای مخرب مختلفی برای دستیابی به تلفن یا ایمیل استفاده می کنند. بدافزارها خطر نفوذ به شبکه و داده های حساس کسب و کار شما را افزایش می دهند.

اگر سیستم تلفن را خودتان راه اندازی کرده باشید، این تهدیدها بسیار نگران کننده خواهند بود. بهتر است با گسترش شرکت، سیستم تلفن خود را نیز گسترش دهید. به عنوان مثال، با این که یک Asterisk PBX ممکن است برای برخی مناسب باشد، می تواند طعمه هکرها شود. ممکن است حملات VoIP برای ماه ها قابل شناسایی نباشند.

بنابراین، در ارائه دهنده خدمات VoIP باید به دنبال چه چیزی بود؟ درست است که هزینه ها مسئله مهمی به حساب می آیند، اما وقتی صحبت از امنیت به میان می آید، باید به موارد دیگر نیز توجه کرد.

انتخاب یک ارائه دهنده VoIP ایمن

امنیت سیستم VoIP شما به پیاده سازی و انطباق آن ها با پروتکل های امنیتی برمی گردد.

همانند هر PBX ابری، مطمئن شوید که ارائه دهنده شرایط امنیتی را داشته باشد. همه این ها با توجه به صنعت و نیازهای خاص شما متفاوت است. بهترین راه برای تحقیق این است که از ارائه دهنده خود بپرسید:

  • چه اعتباراتی دارید؟
  • آیا از ابزارها یا نرم افزارهای شخص ثالث استفاده می کنید؟
  • چگونه به کارکنان خود آموزش می دهید؟
  • چگونه به اختلال های امنیتی پاسخ می دهید؟
  • آیا رمزگذاری تماس TLS و SRTP را ارائه می دهید؟

اعتبارسنجی: پس از پیدا کردن پاسخ پرسش های بالا، به نیازهای VoIP خود توجه کنید. گواهینامه های مهمی که باید به آن ها توجه کنید عبارت اند از:

انطباق HIPAA: قانون حمل و نقل و پاسخگویی بیمه درمانی ارائه دهندگان خدمات بهداشتی و درمانی را موظف به حفظ داده های بیمار می کند. این قوانین در رابطه با سیستم های تلفنی بیمار مانند پست صوتی و ضبط صوتی نیز اعمال می شوند. سرورهای VoIP برای محافظت از حریم خصوصی بیمار باید پیکربندی شوند.

ISO/IEC 20071: با توجه به این استاندارد جهانی سازمان ها تهدیدهای امنیتی را ارزیابی می کنند و به آن ها پاسخ می دهند. به این معنی که سازمان کنترل های دقیق امنیتی اطلاعات را اجرایی کرده است.

انطباق PCI: مطابقت صنعت کارت پرداخت سازمان هایی را که با داده های دارندگان کارت های اعتباری سر و کار دارند، ملزم به ایمن سازی زیرساخت های خود می کند. این امر به روزرسانی سیستم عامل، VLAN های ایمن را ضروری می کند. همچنین به تست نفوذ در برابر آدرس های IP سازمان شما نیاز دارد. امنیت داده های پرداخت برای تجارت الکترونیکی شما بسیار اهمیت دارد. اگر سیستم VoIP شما با PCI سازگار نباشد، تراکنش های شما در معرض خطر قرار می گیرند و در نتیجه جریمه های زیادی را متحمل خواهید شد.

انطباق SOC 2: انطباق کنترل سازمان خدمات شامل اقداماتی جهت جلب اعتماد مصرف کننده است. برخلاف سایر استانداردها، در چهار زمینه انعطاف پذیری وجود دارد:‌ حریم خصوصی، امنیت، در دسترس بودن و یکپارچگی داده ها. بسیاری از شرکت های معتبر SaaS و سرویس های مبتنی بر ابر از انطباق SOC 2 برخوردار هستند.

با بررسی هر یک از این گواهینامه ها می توانید از انتخاب خود مطمئن تر شوید. وقتی بحث امنیت VoIP به میان می آید، مطمئناً نمی خواهید ریسک کنید.

از ارائه دهنده VoIP بخواهید تا مجوزهای لازم را ارائه دهد، سپس آن ها را با توجه به نیازهای خود بررسی کنید.

ارتباط با مشتری: عامل دیگری که باید به آن توجه داشت میزان ارتباط شرکت با مشتریان است.

بروز اختلالات یک واقعیت در تلفن IP است، مهم این است که ارائه دهنده خدمات VoIP با شما در این باره چگونه ارتباط برقرار می کند.

رمزگذاری تماس

علاوه بر بررسی گواهینامه ها و ارتباط مستقیم با مشتری، به رمزگذاری تماس نیز نیاز پیدا خواهید کرد. رمزگذاری تماس با استفاده از امنیت لایه انتقال (TLS) و پروتکل SRTP انجام می شود. این پروتکل های VoIP برای ایجاد امنیت بالا در هر تماس با هم کار می کنند.

شبکه های رمزگذاری نشده مستعد جاسوسی هستند. در مقابل، داده های رمزگذاری شده برای کسی که موفق به ضبط انتقال داده می شود، هیچ فایده ای ندارد. رمزگذاری تلفن در ارائه خدمات مهم است. داده ها باید تا حد امکان رمزگذاری شوند.

برای بیشترین قابلیت همکاری، SIP رمزگذاری نشده است. از آن جا که تلفن IP از پشته IP استفاده می کند، رمزگذاری توسط لایه انتقال مدیریت می شود. در صورت فعال بودن، تماس VoIP و داده های تماس برای سارقان داده امکان پذیر نیست.

برای اطمینان از این که دستگاه های SIP می توانند از TLS و SRTP استفاده کنند، از ارائه دهنده خدمات خود درباره رمزگذاری تماس سوال کنید.

  • بیشتر بخوانید: سوالاتی که قبل از خرید ویپ باید از خود بپرسید!

امنیت VoIP برای ارائه دهندگان خدمات بهداشتی و درمانی

اگر شرکت شما داده های بیمار را مدیریت می کند یا ملزم به پیروی از انطباق HIPAA است، این بخش را مطالعه کنید.

دفاتر پزشکی باید با پیکربندی سیستم های ارتباطی از حریم خصوصی بیمار محافظت کنند که شامل خدمات تلفنی VoIP نیز می شود. ارائه دهندگان خدمات بهداشتی و درمانی هدف اصلی هستند، زیرا از اطلاعات بیمار اغلب برای جعل هویت استفاده می شوند.

شبکه های صوتی از طریق IP با اعمال اقدامات امنیتی مناسب، انطباق HIPAA را برآورده می کنند. مطمئن شوید که ارائه دهنده VoIP با همکاران تجاری برای حفظ انطباق موافقت کرده است.

بهترین راه کارها برای افزایش امنیت VoIP

امنیت خیلی هم مسئله پیچیده ای نیست. در این مقاله برای اطمینان از امنیت مطلوب سازمان شما بهترین راه کارها جمع آوری شده است.

رمز عبور قوی انتخاب کنید. رمزهای عبور قوی برای ایمن سازی سیستم تلفن شما ضروری هستند. از ترکیب حروف، اعداد و علائم استفاده کنید. مطمئن شوید که کارمندان رمزهای عبور را در پرونده ها یا یادداشت های موجود در کامپیوتر ذخیره نمی کنند.

سیستم عامل خود را به روزرسانی کنید. به روزرسانی کردن سیستم عامل برای اکثر مدیران سیستم امکان پذیر است. کاربران خود را به به روزرسانی سیستم عامل های اندروید و ios تشویق کنید. این به روزرسانی ها می توانند از نفوذ نرم افزارهای مخرب جلوگیری کنند.

یک شبکه خصوصی مجازی (VPN) برای کارکنان دورکار تنظیم کنید. VPNها می توانند بدون در نظر گرفتن محل کار کارمند تمام ترافیک را رمزگذاری کنند که برای کار از خانه بسیار ایده آل است. تحقیقات اخیر دانشگاهی نشان داده است که VPN کیفیت تماس را پایین نمی آورد.

Wi-Fi خود را رمزگذاری کنید. WPA2 را در شبکه های بی سیم شرکت فعال کنید. همچنین کارمندان را به استفاده از رمزگذاری شبکه Wi-Fi موظف کنید. بهتر است رمز ورود Wi-Fi خود را هر ساله تغییر دهید.

گزارش تماس های خود را مرور کنید. گزارش تماس های شرکت خود را بررسی کنید تا هرگونه تماس یا رفتار غیرمعمول را شناسایی کنید. برای نظارت هفتگی و ماهانه بر میزان تماس، با استفاده از ویژگی تجزیه و تحلیل تماس داشبوردی را طراحی کنید.

تماس های خود را محدود کرده و تماس های خصوصی را مسدود کنید. تا زمانی که شرکت ها تجارت های بین المللی نداشته باشند، نیازی به شماره گیری شماره های بین المللی نیست. فقط به کسانی که به خارج از کشور تماس می گیرند، اجازه دسترسی به تماس های بین المللی را بدهید. تماس های خصوصی را مسدود کنید.

حساب های غیرفعال را غیرفعال کنید. وقتی کارمندی از شرکت می رود، حتماً به کارکنان IT اطلاع دهید. با غیرفعال کردن به موقع حساب های کارمندان، می توانید اختلالات را به حداقل برسانید. از نظر فنی، شما نمی خواهید حساب های VoIP بدون کاربر، همچنان فعال باشند.

کارکنان خود را به گزارش رفتارهای مشکوک تشویق کنید. از تیم خود بخواهید پیام های صوتی و تماس های مشکوک را گزارش کنند. تماس های بدون گیرنده مشکوک هستند. علاوه براین، به کارکنان خود توصیه کنید تا پیام های صوتی را بیشتر از زمان لازم ذخیره نکنند.

مدیریت از راه دور دستگاه را عملی کنید. توانایی پاکسازی دستگاه از راه دور ضروری است. دستگاه ها را به مدیریت از راه دور مجهز کنید تا در صورت سرقت، دستگاه را ردیابی و پاکسازی کنید.

به کاربران اقدامات امنیتی لازم را آموزش دهید. به کاربران یادآوری کنید که شما هرگز به گذرواژه های آن ها نیاز نخواهید نداشت. به آن ها در زمینه کلاهبرداری فیشینگ و مهندسی اجتماعی آموزش دهید. برای شناسایی آسیب ها، ارزیابی های امنیتی را به طور منظم انجام دهید. کاربران را از این که در صورت نقص امنیت باید با چه کسی تماس بگیرند، مطلع کنید.

در حالی که بسیاری از این اقدامات با امنیت شبکه همپوشانی دارند، به موضوع از دید یک مهاجم نگاه کنید.

با دنبال کردن راه کارهای گفته شده اختلالات امنیتی را به حداقل برسانید.

آینده امنیت VoIP

همانطور که می دانید، VoIP از یک بستر شخصی به یک بستر ضروری در ارتباطات تجاری رسیده است.

سیستم VoIP برای اثبات ارزشمندی خود گام های بسیاری برداشته است.

نگهداری PBX داخلی و سایر تجهیزات تلفنی مسئولیت بزرگی است. همانطور که سازمان ها سیستم های ایمیل و میزبانی وب خود را در فضای ابری بارگیری می کنند، سیستم تلفنی نیز از این قاعده مستثنی نیست.

ختم کلام

سازمان ها با ترافیک صوتی ایمن از انعطاف پذیری بیشتری برخوردار هستند. حفظ امنیت عملیاتی است. با پذیرش تلفن های ویپ و امنیت VoIP که در اختیار می گیرید، بهتر می توانید تهدیدات را کاهش دهید.

با وجود همه این ها، ارائه دهندگان VoIP ایمن کارهای زیادی انجام می دهند. شما باید شبکه داخلی خود را تقویت کرده و در وهله اول به کاربران خود آموزش های لازم را ارائه دهید. یک سرویس تلفن تجاری معتبر می تواند درباره حفظ یک محیط تماس امن به شما اطمینان خاطر بدهد. گواهینامه های لازم را بررسی کنید  و در مورد اعتبار، اقدامات امنیتی و قابلیت رمزگذاری تماس تحقیق کنید.

منبع:nextiva