سيستم VoIP

[sinaweb 7]

[ATTACH=CONFIG]192[/ATTACH]

ملاحظات ويژه اي بايد براي ارتباطات مربوط به خدمات E-911 درنظر گر??ته شود، زيرا خدمات مکانيابي خودکار با سيستم VoIP در بعضي از حالتها قابل حصول نمي باشد.

برخلا?? اتصالات تل??نهاي رايج که به يک مکان ??يزيکي متصل مي شوند، ??ناوري سوئيچ شده ي بسته هاي VoIP به يک شماره تل??ن خاص اين امکان را مي دهند که در هر کجا وجود داشته باشد، بعبارت بهتر با سيستم تل??ن ??علي هر گاه شما با تل??ن منزل خويش تماس با يکي از دوستان خود برقرار مي کنيد بلا??اصله مکان شما مشخص مي شود، زيرا اين شماره تل??ن ??قط به يک مکان خاص اختصاص دارد و آن منزل شما است ولي در سيستم VoIP موضوع ??رق مي کند شما از هر کجا قادريد با شماره تل??ن خود تماس برقرار کنيد. اين ويژگي براي کاربر بسيار مناسب است، زيرا تماسها بطور خودکار به سوي مکاني که کاربر قرار دارد هدايت مي شود، اما سبک و سنگين کردن اين موضوع که آيا اين سيستم هاي بسيار پيچيده براي خدمات E-911 م??يد هستند قدري دشوار به نظر مي رسد، زيرا بايد مکان تماس گيرنده براي اين خدمات مشخص گردد. اگرچه بيشتر ??روشندگان VoIP راهکارهاي اجرايي را براي خدمات E-911 ارائه مي دهند، اما مسئولين سازمانها و ??روشندگان اين سيستم ها خارج از استاندارد هاي توليدکنندگان خدمات 911 در محيط VoIP، ??عاليت مي کنند. سازمانها بايد با دقت موضوعات مربوط به خدمات E-911 را در مقاصد خود براي گسترش VoIP در نظر گيرند.

امنيت ??يزيکي براي سيستم VoIP

 

سازمانها بايد آگاه باشند که کنترل هاي ??يزيکي در محيط هاي VoIP و گسترش آنها بسيار حائز اهميت هستند.

مگر آنکه شبکه ي VoIP رمزگذاري شود، هر کس با دسترسي ??يزيکي به شبکه ي LAN د??تر شما قادر خواهد بود به ابزار مربوط به کنترل شبکه و دامهاي خطوطي تل??ن دسترسي يابد و مکالمات را شنود نمايد. اگرچه خطوط تل??نهاي رايج در صورت دسترسي ??يزيکي قابل شنود هستند، ولي بايد اذعان داشت که بيشتر د??اتر با محيط VoIP داراي نقاط بيشتري براي دسترسي مهاجمين مي باشند تا آنها بتوانند بي هيچ سوظني به شبکه ي LAN اين د??اتر متصل شوند. حتي اگر شما شبکه را رمزگذاري نماييد، دسترسي ??يزيکي به درگاه ها و سرورهاي VoIP ممکن است به مهاجم اين امکان را بدهد تا تحليلي از آمد و شد اطلاعات و مکالمات داشته باشد و بخشهايي را که مربوط به ارتباطات مي شوند را شناسايي نمايد. بنابراين، شما بهتر است مطمئن شويد که امنيت لازم براي عدم دسترسي ??يزيکي به مکان مول??ه هاي شبکه ي VoIP برقرار است.

اندازه گيريهاي امنيت ??يزيکي که شامل موانع و سده، ق??لها، دسترسي به سيستم هاي کنترل، و محا??ظ ها مي شوند خط مقدم د??اعي براي سيستم هاي VoIP محسوب مي شوند. سازمانها بايد اطمينان حاصل کنند که اين اقدامات متقابل ??يزيکي خطرات بزرگي چون اعمال رديابها يا ديگر تجهيزات کنترل شبکه را کاهش مي دهند. در غير اينصورت، با نصب يک ردياب نه تنها بخش عمده اي از اطلاعات شما در دسترس مهاجمين خواهد بود بلکه مکالمات شما نيز به راحتي شنود خواهند شد.

هزينه هاي سيستم هاي پشتيبان اضا??ي

 

هزينه هاي مربوط به سيستم هاي پشتيبان براي توان اضا??ي، جهت حصول اطمينان از برقراري سيستم هنگام قطع توان اصلي را ارزيابي نماييد. اطمينان داشتن از اينکه شما توان کا??ي در اختيار داريد يک نوع اطمينان خاطر حين انجام عمليات در اين سيستم ها مي باشد، همانگونه که وقتي با لپ تاپ خود کار مي کنيد و مطمئن هستيد که شارژ لپ تاپ شما پر است ديگر هيچگونه نگراني بابت قطع برق نخواهيد داشت. هزينه هاي مربوط به اين سيستم هاي پشتيبان ممکن است شامل توان الکتريکي ذخيره شده در باتريهاي UPS، هزينه هاي مربوط به تعمير و نگهداري دوره اي سيستم هاي توليد توان ذخيره، و هزينه هاي مربوط به جايگزيني باتريهاي UPS باشند. اگر توان ذخيره/ اضطراري براي بيش از چندين ساعت مورد نياز باشد، در آنصورت ژانرهاي الکتريکي مورد نياز که به هزينه هاي ??وق بايد هزينه ي سوخت اين ژنراتورها، تاسيسات مربوط به ذخيره سازي سوخت، هزينه هاي مربوط به معدوم نمودن سوخت باقي مانده هنگامي که ديگر نيازي به آن نيست.

??ايروال هاي آماده ي VoIP و ويژگي هاي امنيتي VoIP

 

??ايروال هاي آماده ي VoIP و ديگر مکانيسم هاي ح??اظتي بايد گسترش يابند. سازمانها بايد قادر باشند ويژگي هاي ح??اظتي سيستم هاي VoIP خود را است??اده و بطور منظم آزمايش نمايند.

به خاطر وجود نقاط ضع?? ذاتي (نظير گذردهي بسته هاي ردياب) که هنگام انجام عمليات تل??ني از طريق يک شبکه ي پکت، سيستم هاي VoIP بايد يک آرايش متحد و يکپارچه از پروتکلها و ويژگيهاي امنيتي پديد آورد. خط مشي امنيتي سازمان بايد ايجاب کند که اين ويژگي ها مورد است??اده ي کاربران قرار مي گيرد. اقدامات اضا??ي، که در اين مقاله درباره ي آنها صحبت به ميان آمد نيز بايد به سيستم هاي امنيتي ا??زوده شوند. بطور خاص، ??ايروال هايي که براي پروتکلهاي VoIP طراحي شده اند يک مول??ه ي ضروري براي يک سيستم VoIP امنيتي مي باشند.

محدوديت سيستم هاي تل??ن نرم ا??زاري

 

در صورت امکان، سيستم هاي تل??ن نرم ا??زاري، که با است??اده از يک کامپيوتر شخصي، يک گوشي و ميکرو??ون و يک نرم ا??زار ويژه نظير SKYPE از سيستم VoIP بهره مي گيرند، بايد در جاهايي که از نقطه نظر امنيتي، داراي ايمني کمي هستند بکار گر??ته نشوند، زيرا ويروسها، کرمها، و نرم ا??زارهاي مخرب همواره آماده ي حمله به کامپيوترهاي شخصي هستند که به اينترنت متصل مي شوند، و همانطور که مي دانيد د??اع در برابر اين عاملين مزاحم براي کامپيوترهاي شخصي تا چه حد دشوار است.

نقاط ضع?? مرورگرهاي وب که به خوبي شناخته شده اند باعث مي شود تا مهاجمين به راحتي بدون اينکه کاربر متوجه شود نرم ا??زارهاي مخرب را بر روي سيستم وي دانلود نمايند، حتي اگر کاربر کار خاصي انجام ندهد و صر??اً از وبسايت ها ديدن کند. نرم ا??زارهاي مخرب پيوست شده به پيام هاي ايميل مي توانند بدون آنکه کاربر متوجه شود بر روي سيستم آنها نصب شوند، در برخي حالتها حتي اگر کاربر ??ايلهاي پيوستي را نگشايد، باز هم اين نرم ا??زارها قادرند روي سيستم شما نصب گردند.

اين نقاط ضع?? ناشي از اين خطرات سبب مي شوند تا است??اده از تل??نهاي نرم ا??زاري براي ايجاد سايتهاي VoIP مورد توجه قرار نگيرند. علاوه بر اين، چون کامپيوترهاي شخصي روي شبکه ي داده ها ??عاليت دارند، يک سيستم تل??ن نرم ا??زاري با نياز جهت جداسازي شبکه هاي داده و صدا براي ايجاد بيشترين ??ضاي عملياتي در تعارض است.

ح??اظت سيستم هاي همراه روي سيستم VoIP

 

اگر واحدهاي همراه با سيستم VoIP مجتمع شوند، از محصولاتي است??اده کنيد که از (WPA (WiFi Protected Access)) به جاي (WEP 802.11 (Wired Equivalent Privacy)) بهره مي گيرند.

ويژگي هاي امنيتي WEP 802.11 ح??اظت ضعي??ي را در برابر حملات از خود نشان مي دهند و گاهي در برابر حملات شاهد عکس العملي نخواهيد بود زيرا WEP به کمک نرم ا??زارهايي که در دسترس عموم قرار دارند به راحتي شکسته مي شود. WPA (WiFi Protected Access) اخير که يک تصوير لحظه اي از استاندارد 802.11i مي باشد، بهبود وضعيت گسترده اي در بخش امنيت را عرضه مي دارد، و مي تواند کمک خوب براي يکپارچگي ??ناوري بي سيم با سيستم هاي VoIP باشد.

NIST قوياً پيشنهاد مي کند که ويژگي هاي امنيتي WPA (يا WEP در صورتيکه WPA در دسترس نباشد) بصورت بخشي از يک استراتژي د??اعي عمقي کل بکار برده شود. عليرغم ضع?? هايشان، مکانيسم هاي امنيتي 802.11 تا حدي امنيت سيستم را در برابر دسترسي هاي غيرمجاز و مخرب و يا ديگر ??عاليت هاي کاوشي برقرار سازند. اما، اتحاديه ي استاندارده پردازش اطلاعات (FIPS) 140-2 ، نيازمنديهاي امنيتي درخصوص حدود و ميزان رمز گذاري، براي آژانسهاي متحد که مشخص نموده اند اطلاعات بايد بوسيله ي ابزار رمزنگار محا??ظت گردند، اجباري است. با بررسي هاي انجام شده مشخص گرديده که نه WEP و نه WPA داراي استانداردهاي FIPS 140-2 نمي باشند. در اين حالتها، ضروري به نظر مي رسد که کاربردها و پروتکلهايي که از مرتبه ي بالاتر رمزنگاري گرديده اند، بکار برده شوند، نظير (SSH (Secure Shell))، ((TLS (Transport Level Security )) ، يا (IPsec (Internet Protocol Security)) با حدود رمزگذاري معتبر FIPS 140-2 و الگوريتمهاي مربوطه جهت ح??اظت اطلاعات، بدون در نظر گر??تن اين موضوع که آيا پروتکل هاي امنيتي مرتبط با داده هاي نامعتبر مورد است??اده قرار مي گيرند يا خير.

ايجاد رضايت با قانون ح??ظ ثبت/ اخت??ا

 

نيازمنديهاي قانوني را به دقت و با رعايت ح??ظ حق ثبت و کمک يک مشاور قانوني، بازنگري نماييد.

اگر چه موضوعات قانوني مربوط به VoIP در ??راسوي بحث ما قرار دارد ولي خوانندگان اين مطلب بايد آگاه باشند که قوانين و موازين حاکم بر اين سيستم ها حاکم است که کنترل و رديابي خطوط VoIP را بررسي مي نمايند و هر گونه تماس را ثبت مي نمايند، البته شايد اساس کار در اين سيستم ها کمي با سيستم هاي تل??ن رايج مت??اوت باشد. سازمانها بايد اين موارد را با يک مشاور قانوني و ماهر در ميان بگذارند.

ميزان نقاط ضع?? VoIP

 

هرکس اين موضوع را مي داند که VoIP پيشر??ت و رشد بسيار سريعي را تجربه کرده است. ممکن است باعث تعجب شما شود اگر بدانيد بيش از 30 درصد آمد و شدهاي صوتي با ??ناوري VoIP (IDC) انتقال مي يابد. توسعه ي بيشتر اين ??ن آوري چالش هاي جديدي را نيز به همراه دارد که يکي از آن موارد امنيت شبکه ي شما مي باشد.

چون شبکه هاي آي پي در معرض حمله هاي خودکار و پيچيده قرار دارند، در نتيجه آمد و شد صدا روي اين شبکه ها بسيار آسيب پذير خواهد بود، اين جملات بخشي از گ??ته هاي ديويد ??ريلي (David Fraley)، نويسنده ي جنگ هاي اينترنتي ميباشد، وي همچنين اظهار داشته است که: VoIP و همگرايي آسيب پذيري را ا??زايش مي دهند.

در واقع، مرکز هماهنگ سازي زيرساختار ملي انگلستان (NICC: (National Infrastructure Coordination Center)) يا??ته هاي خود را منتشر ساخته که در آنها ذکر شده تجهيزات بسياري از ??روشندگان که استاندارد پروتکل H.323 را براي تل??نهاي آيپي بکار مي برند شامل خطاها و نقص هايي است که مهاجمين به راحتي مي توانند آنها را شناسايي نمايند. (براي آگاهي از جزئيات بيشتر مي توانيد به سايت زير مراجعه ??رماييد:

http://www.uniras.gov.uk/2004/006489/h323.htm

بر اساس آزمايش هاي انجام گر??ته بوسيله ي NICC، اين نقاط ضع?? مي توانند محصولاتي که با اين سيستم ها سر و کار دارند را با خطرهاي زير مواجه سازند:

حمله هاي خارج نمودن از سيستم

(Denial-of-Service:DoS)

حمله هايي که باعث پر و سر ريز شدن حا??ظه مي شوند

اعمال کدهاي مخرب به تجهيزاتي که توسط مهاجم کش?? شده اند

بر اساس CA-2004-01 شماره مشورتي CERT (به سايت:

http://www.cert.org/advisories/ca-2004-10.html

مراجعه ??رماييد)، شرکت هايي که با اين آسيب پذيريها و نقاط ضع?? هنوز دست در گريبان هستند عبارتند از:

Cisco Stonesoft

CheckPoint WatchGaurd

3COM NetScreen

AT&T Nokia

D-Link Microsoft

Extreme Nortel

Foundry Avaya

Fujitsu Alcatel

Hitachi F5

Intel Secure Computing

Juniper Cybergaurd

NEC Symantec به عنوان نمونه، Cisco به تنهايي تعداد زيادي محصول به بازار عرضه نموده است که داراي نقاط ضع?? و آسيب پذير در پردازش پيامهاي H.323 مي باشند.

همه ي محصولات Cisco که نرم ا??زار Cisco IOS را اجرا مي نمايند و پردازش بسته هاي H.323 را پشتيباني مي نمايند.

Vulnerabilities in H.323 Message Processing)

عبارتند از:

IOS Firewall

IOS Network Address Transition

Call Manager

Conference Connection

7905 IP Phone

BTS 10200 Softswitch

Internet Service Node

H.323 Gateway,H.323 Gatekeeper

ATA 18x Series Analog Telephony

در برخي حالتها، Cisco تصميمي مبني بر اصلاح نقاط آسيب پذير که تاکنون در محصولات اين شرکت شناسايي شده اند، ندارد.

براي ياري رساندن به شما در ارتباط با سرشت آسيب پذير ذاتي VoIP، بايد اين نکته را يادآور شويم که تعداد تهاجم هاي موجود که در برابر يک VoIP ص?? آرايي کرده اند به مراتب بيشتر از تهاجمات مربوط به يک شبکه ي استاندارد مي باشد. در بخش بعدي برخي از اين تهاجمات را ??هرستوار بيان مي کنيم.

 

حمله هاي VoIP

 

هميشه در نظر داشته باشيد که انواع تهاجمات به سيستم VoIP شما که CVE ها مي توانند آسيب پذير سازند شامل موارد زير مي باشند:

شخص سومي در ميانه ي خط ارتباطي (شنود و دگرگوني اطلاعات ارسالي)

خارج نمودن از سرويس (DoS)

کش?? درگاهها

کش?? نقاط انتهايي - جعل هويت

موضوعات امنيتي و QoS

 

کي??يت خدمات (Quality of Service :QoS) به سرعت و ش??ا??يتي که شما از مکالمات VoIP انتظار داريد، اشاره دارد. حمله هاي QoS به نسبت ديگر حمله ها به راحتي مي تواند راه خود را بگشايد و از سيستم هاي د??اعي عبور کند، بدون آنکه يک هکر نياز داشته باشد به نقاط انتهايي شبکه دسترسي يابد - ديگر نيازي نيست هکر تمام شبکه را از کار بياندازد، هکر ??قط مي تواند سرعت آمد و شد مکالمات در شبکه را پايين آورد.

ايستادگي در برابر حمله هاي QoS کاري بس دشوار است: با بکارگيري اقدامات امنيتي مناسب نظير ??ايروالها و رمزنگاري باز هم VoIP شما نسبت به تأخير و خطا در ارسال ضع?? دارد.

تأخير زماني (Latency)

 

تأخير زماني، به مدت زماني بين اداي کلمه توسط گوينده و دريا??ت صدا در ديگر سوي خط توسط شنونده، گ??ته مي شود. در بيشتر حالتها تأخير زماني بيشتر از 150 ميلي ثانيه قابل قبول نمي باشد.

خطا در ارسال (Jitter)

 

خطا در ارسال، يک سري از تأخيرهاي غير يکنواخت پيش آمده در ارسال صدا مي باشد. اين تأخير پيش آمده به حا??ظه در انتهاي خط و ميزان ذخيره سازي عمليات ارسال و دريا??ت صدا بستگي دارد. ا??زايش ميزان اخلال در ارسال و دريا??ت باعث مي شود مکالمه به سختي انجام پذيرد زيرا امکان از بين ر??تن بسته هاي حامل صوت وجود دارد و گاهي اين بسته ها با تاخير ??راوان به شنونده مي رسند.

از دست دادن بسته ها

 

VoIP به شدت به از دست دادن بسته هاي حامل صوت حساس است. از دست دادن حتي 1% از کل بسته ها مي تواند ارتباط را بطور کل مختل نمايد. تأخير و اخلال در ارسال و دريا??ت بسته ها مي تواند باعث ايجاد از دست دادن بسته هاي مجازي گردد (Virtual Packet Loss)، بعبارت ديگر بسته هاي صوتي بعد ??رجه ي زماني در نظر گر??ته شده براي آنها به مقصد مي رسند، در اين حالت با اينکه بسته به مقصد رسيده است ولي اطلاعات حاوي اين بسته ديگر به کار گيرنده ي آن نمي آيد، پس عملاً اين بسته را مي توان بعنوان يک بسته ي سوخته و به درد نخور در نظر گر??ت.

??ايروال ها، مسيرياب هاي NAT، و رمزنگاري

 

Old Stand-BY به آن اندازه که مورد است??اده بودند قابل اطمينان نمي باشند:

??ايروال ها، مسيرياب هاي

NAT (Network Address Translation) ، رمزنگاري ??قدان موارد زير را احساس مي نمايند:

نمي توانند در يک شبکه ي VoIP بدون در نظر گر??تن تميدات خاص است??اده شوند - مول??ه هاي استاندارد براي الگوي آمد و شد بسته هاي کوچک/ با سرعت بالا VoIP

کاهش کي??يت سرويس به دليل اخلال و تاخير در ارسال و دريا??ت، و از دست دادن بسته هاي صوتي

آنها با ممانعت از برقراري تماس ورودي از ??رآيند ايجاد تماسها جلوگيري مي کنند.

??ايروال ها

 

??ايروال ها با ??يلتر نمودن آمد و شدهاي مخرب بر اساس يک سري از قوانين براي ح??اظت از شبکه ها از حمله هاي خارجي، به شدت موردنياز هستند. آنها همچنين از سدهاي بين شبکه هاي صدا و داده ها ح??اظت مي نمايند.

??ايروال ها و QoS

 

بررسي هاي آمد و شدها توسط ??ايروال خود سبب ايجاد تاخير در ورود و خروج بسته ها به سيستم مي شود و ترا??يک سنگين داده ها مي تواند سبب بروز اخلال در ارسال شود، که اين امر سبب کاهش SoQ مي گردد.

براي حل اين معضل، ??ايروال ها را با CPU هاي پرسرعت است??اده نماييد تا آهنگ ارسال و دريا??ت داده ها بيشتر گردد. از ??ايروال هاي سازگار با SoQ در سيستم هاي خود بهره جوييد.

IPsec

 

در IPsec, ESP Tunnel Mode هم از داده ها ح??اظت مي نمايد و هم از مشخصات نقاط انتهايي. IPsec يک رشته ي رمزنگاري استاندارد براي پروتکل اينترنت است و بطور کامل در IPv6 پشتيباني مي گردد.

IPsec داراي مشکلاتي نيز مي باشد که آنها را بطور ??هرست وار بيان مي کنيم:

رمزنگاري مي تواند براي ح??اظت داده هاي صوتي بکار گر??ته شود و از مسايل مربوط به ??ايروال ها دوري جويد

رمزنگاري خود باعث تأخير زماني و اخلال مي گردد

رمزنگاري و رمزگشايي خود باعث اتلا?? وقت مي شوند

نرم ا??زارهايي که وظي??ه ي سازمان دهي موتورهاي رمزنگار با QoS در تعارض مي باشند

راه حل هايي که براي اين مشکلات مي توان عنوان کرد بدين صورت است که طرح هاي ??شرده از بسته ها که بطور عملي کارآيي را ا??زايش داده اند. برنامه ريزي سازگار با SoQ قبل و بعد از رمز نگاري بطرز شگ??ت آوري سيستم را ا??زايش مي دهد.

برگردان آدرس شبکه (NAT)

 

برگردان آدرس شبکه (NAT) به اين منظور است??اده مي گردد که به پايانه هاي چندگانه اجازه دهد تا يک آدرس آي پي را بطور مشارکتي است??اده نمايند. اين امر سبب مي شود اقدامات امنيتي در مسيرياب NAT تقويت گردند و اطلاعات ساختار شبکه ي داخلي مخ??ي باقي بماند.

مشکلي که در خصوص NAT و ??ايروال ها وجود دارد اين است که هر دو تماس هاي ورودي را مسدود مي کنند. براي ??رار از اين مشکل شما مي توانيد يکي از دو روش زير را بکار بريد:

در گاه سطح کاربرد (Application Level Gateway)

پروکسي کنترل ??ايروال

قطع برقراري تماس VoIP

 

دو پروتکل متناقض براي برقراري تماس هاي VoIP عبارتند از H.323 و SID. پروتکل H.323 متشکل از چندين پروتکل ويژه است. آن از درگاه هاي پويا و رمزنگاري دو دوئي است??اده مي نمايد. SID يک پروتکل ساده تراست که روي يک درگاه اجرا مي شود که نحوه ي کارکرد آن بصورت علامت دادن سه مرحله اي است (Three Way Handshake). اين پروتکل ??قط از يک درگاه است??اده مي نمايد و متون را رمزنگاري مي نمايد.

??ايروال ها مي توانند درگاه هايي که در برقراري تماس دخيل هستند را مسدود نمايند و NAT مي تواند درگاه ها/ آدرس آيپي که بصورت داخلي مورد است??اده است را تغيير دهد. در نتيجه هر دوي آنها مي توانند مانع از برقراري تماس شوند.

براي جلوگيري از چنين مشکلاتي، يک ALG يا FCP را در طراحي خود بکار بريد که بتوان برقراري ارتباط توسط داده هايي که به صورت بسته هاي کوچک يا همان Packet data هستند را کنترل نمود.

اکنون شما جه کاري بايد انجام دهيد؟

 

کاري که شما بايد انجام دهيد ح??اظت سيستم VoIP خود مي باشد که موارد ذيل را شامل مي شود:

گسترش ابزار شبکه

ح??اظت داده هاي صوتي

مقابله در برابر ربايندگان مشخصات

گسترش ابزار شبکه

شما بايد LAN هاي مجازي ايي را به منظور ت??کيک آمد و شد داده ها و صوت در ??ضاي آدرس قابل تشخيص و مجزا ايجاد نماييد (شبکه هاي يگانه ي ??يزيکي مورد نظر نمي باشند).

اين اقدامات پيشگيرانه هم باعث کاهش خطر رديابي داده ها در سيستم VoIP مي شود و هم IDS شما را براي داده ها و صوت بطور مجزا تنظيم مي کند.

از آرايش ها و طراحي هاي ??ايروال ها براي عبور و مرور VoIP است??اده نماييد.

در درگاه صدا، که با PSTN مشترک است، ارتباط H.323، SIP، يا MGCP را با شبکه ي داده ها قطع نماييد.

ح??اظت داده هاي صوتي

 

بهترين راه براي ح??اظت از داده هاي صوتي زماني که درون شبکه ي VoIP سير مي کنند، هدايت اين داده ها مي باشد:

در صورت امکان از تل??ن هاي نرم ا??زاري که بر روي کامپيوتر شخصيتان نصب شده است??اده ننماييد.

شبکه ي صدا و داده ها را از يکديگر ت??کيک کنيد

تا حد ممکن از کنترل دسترسي و رمزنگار است??اده نماييد

از IPsec و SSH براي همه ي مديريت هاي راه دور است??اده نماييد و همه ي دسترسي ها به شبکه ي خود را بازرسي نماييد

درگاه ها و مسيرياب ها را رمزنگاري کنيد، ??قط به نقاط ابتدا و انتهاي شبکه اکت??ا ننماييد

د??اع در برابر ربايندگان مشخصات سيستم

 

اولين د??اع در برابر ربايندگان مشخصات است??اده از سيستم معتبر و قانوني و بکارگيري ??ايروال هايي است که براي سيستم هاي VoIP طراحي شده اند تا حمله ها را شناسايي و مسدود نمايد. حداقل، همه ي ثباتها نيازمند تاييد MD5 digest مي باشند و براي آنها کلمه عبور مناسبي را اختيار کنيد. دقت کنيد که کلمه هاي عبور نبايد بطور خودکار انتخاب شوند (نظير نام با يک پسوند و يا پيشوند، شايد توجه کرده باشيد هنگام ثبت نام کاربري براي ساخت ايميل، گاهي نام کاربري که شما انتخاب کرده ايد از سوي سيستم رد مي شود و نام ديگري توسط سيستم به شما پيشنهاد مي شود که برگر??ته شده از نام کاربري است که شما ابتدا وارد نموديد به علاوه ي يک پسوند يا پيشوند). اين تر??ندها به شما کمک مي کند تا از حمله هاي Dictionary-Style در امان باشيد (يادداشت مترجم: Dictionary-Style attack عبارت است تکنيکي براي از کار انداختن مکانيسم تشخيص هويت بوسيله ي تلاشهاي مکرر براي تعيين عبارت عبور و يا آشکارسازي دکمه هايي که کلمه عبور با آنها تايپ مي شود، در اين روش مهاجم سعي مي کند با است??اده از واژه هايي که در اختيار دارد، کلمه عبور را پيدا کند). ثباتها بايد از پروتکل ها با سنديت بسيار قوي است??اده نمايند نظير آنچه TLS ??راهم کرده است. (يادداشت مترجم: TLS عبارت است از Transport Layer Security لايه اي است براي رمزگزاري و ارائه ي خدمات معتبر که مي تواند هنگام ??از راه اندازي بيشتر پروتکل ها مانند: POP3, IMAP, LDAP, SMTP مورد بحث و بررسي قرار گيرد).

راه حل امنيتي مصوبه ي IETF (Internet Engineering Task Force) است??اده از ترکيب MD5 digest, TLS و کلمه هاي عبور قوي مي باشد. تمام ثبت نام ها از شبکه ي خارجي تا حد امکان بايد از کار انداخته شوند - يا حداقل به مجموعه ي کوچکي از UAهاي خارجي محدود شوند، اينکه چه کساني نياز قانوني به ثبت نام از شبکه ي خارجي دارند. Max-Forward Header Limits و ديگر تکنيک ها مي توانند براي آشکار سازي حمله هاي خارجي مورد است??اده قرار گيرند، اما اين حدود زياد متداول نيستند. از ميان موضوعات امنيتي مربوط به VoIP ربودن اطلاعات ثبت شده جديدترين مورد مي باشد. مهاجمي که با مو??قيت اطلاعات ثبت شده در سازمان شما ربوده، مي تواند تماسها با سازمان يا از سازمان شما را مسدود، ضبط، و يا دستکاري نمايد. اين يک خطر بسيار جدي است که شما بايد آنرا در نظر داشته باشيد.

VoIP خود را در برابر تهاجمات مستحکم نماييد

 

بازسازي مداوم نقاط ضع?? معمول و نقاط باز (CVE) آزمايشي است که نشان مي دهد همه ي اطلاعات امنيتي مربوط به حر??ه ي شما تا چه حد در شبکه ي VoIP ح??اظت مي شوند. ترميم نقاط ضع?? به شما کمک مي نمايد که همچنان در است??اده از قوانين مربوطه شامل، E-Sign, 21CFR FDA11, HIPPA, GLBA و SOX-404 راسخ باشيد.

مديريت CVE کليدي براي تحکيم VoIP و حذ?? کاستيها و نقصها از کامپيوتر و تجهيزات شبکه بندي شما است. سه راه حل وجود دارد که با انجام آنها VoIP شما مستحکمتر خواهد شد:

مديريت پيکربندي

مديريت دريا??ت اصلاحيه هاي مربوط به سيستم

مديريت نقاط ضع??

CVE ها خصوصاً براي VoIP در حال گسترش هستند. با است??اده از سيستم مديريت آسيب پذيري خودکار اين نقاط را شناسايي و ترميم نماييد، به اين روش شما مي توانيد خطرپذيري سيستم VoIP خود را در برابر تهاجمات از طريق نقاط ضع?? سيستم کاهش دهيد.

اگر شما راهي را بيابيد که کمک کند اين ??رآيند بطور خودکار اجرا شود، مي توانيد اطمينان حاصل کنيد که نقاط ضع?? سيستم شما شناسايي و ترميم مي شوند. اگر راهي که شما انتخاب نموده ايد توسط MITRE مورد تاييد نبود، قاعدتاً با CVEهاي استاندارد سازگاري نخواهد داشت.

MITRE بوسيله ي دپارتمان امنيت کشور ايالات متحده و به منظور مديريت استانداردهاي صنعتي، پايه ريزي شد - پايگاه داده ها در همه ي کامپيوترها و تجهيزات شبکه بندي در معرض خطر قرار دارند. در اينترنت لوگوي MITRE را جستجو کنيد. اطلاعات مربوط به محصولات و خدمات را مي توانيد در سايت CVE - Common Vulnerabilities and Exposures (CVE) و National Vulnerability Database Home بيابيد. هر روز تعدادي CVE جديد به ليست موجود در سايت CVE - Common Vulnerabilities and Exposures (CVE) ا??زوده مي شود. ص??حه ي اصلي اين سايت حاوي اطلاعاتي است که به شما کمک مي کند تا در برابر مهاجمان مقابله کنيد و خطرات مربوط به شبکه ي خود را کاهش دهيد. با دانستن اين CVEها شما مي توانيد هر CVE را بر روي شبکه ي خود پيدا کنيد و سپس مي توانيد راهي براي مسدود کردن هر مسير بازي که به مهاجمين اجازه ي ن??وذ مي دهد، بيابيد.

محا??ظت در برابر سوء است??اده گران CVE

 

چهار نکته ي کليدي وجود دارد که با انجام آنها مي توانيد از سيستم خود در برابر مهاجميني که از CVEها است??اده مي کنند محا??ظت نماييد:

شناسايي آنچه به شما تعلق دارد

بررسي VoIP خود براي CVEها

درها را در برابر بهره برداري از CVEها ق??ل نماييد

CVEهاي خود را پاک نماييد

آنچه به شما تعلق دارد را شناسايي نماييد

 

آيا شما خط مشي و سيستم هايي را تعبيه کرده ايد که همه ي دارايي هاي شما روي شبکه را شناسايي نمايد؟ شما بايد خط مشي اي داشته باشيد که نشان دهد آيا شما اجازه مي دهيد لپ تاپ ها در درون و بيرون از د??تر شما به سيستم شما متصل شوند يا خير. براي نمونه، شما ممکن است نياز داشته باشيد که همه ي لپ تاپ ها روي شبکه ي متعلق به شرکت اجازه ي کار داشته باشند، به جاي آنکه يک کامپيوتر شخصي از منزل به شبکه ي شما متصل شود. آيا همه ي ميزبانان به ??ايروال، آنتي ويروس، آنتي اسپايوير و ??ايل هاي اصلاحيه ي مربوط به شبکه و همچنين ??ايلهايي که به روز رساني شده اند، نياز دارند؟ در خصوص مسيريابهاي بي سيم و LANهاي بي سيم ad hoc وضعيت به چه گونه است؟ آيا شما درگاه ها را بررسي مي نماييد تا مطلع شويد که تجهيزات بي سيم جديد و يا حتي سرورها به شبکه ي شما متصل شده اند يا خير؟ پاسخ هاي شما به اين سوالات براي ح??اظت سيستم در برابر کساني که از CVEها ضد شما است??اده مي کنند، بسيار حياتي است.

بررسي VoIP شما براي CVEها

 

ابزاري مانند Google Security NAC wall بيابيد، يا با است??اده از کلمات کليدي مشابه شما شرکتها محصولاتي در اين زمينه خوهيد يا??ت. ارزيابي اي را بين محصولات تجاري و برنامه هايي که کدهاي اصلي آن بطور رايگان در اختيار عموم قرار دارد (به آن دسته از برنامه ها که کدهاي اصلي آن بطور رايگان در اختيار کاربران قرار مي گيرد Open Source مي گويند در اينجا ما به اختصار اين برنامه ها را با نماد OS نشان مي دهيم). اگر شما ??ايروال خود را از سيستم هاي برنامه نويسي پيشر??ته ساختيد، به دنبال نرم ا??زارهاي OS باشيد، در غير اينصورت يک شرکت که بتوانيد به آنها اطمينان کنيد را انتخاب نماييد و از شبکه ي شرکت مذکور است??اده نماييد. ضمناً اطمينان حاصل کنيد ابزاري که در اختيار گر??ته ايد به هيچوجه به بخشهاي آ??لاين شما کاري ندارد و اينکه مرتب سيستم را اسکن نمايند و گزارشي از CVEهاي جديد در اختيار شما قرار دهند.

درها را در برابر بهره برداري از CVEها ق??ل نماييد

 

??ايروال شما بهترين ابزار پيشگيري از ورود مهاجمان است. ??هرست مربوط به ??ايروال را بازنگري کنيد - به دنبال آمد و شدهاي مشکوک باشيد. همچنين مطمئن شويد که واسطه ي VPN به درستي نصب شده باشد و بدانيد چه کسي از آن است??اده مي نمايد، آيا کاربري که وارد شبکه شده از يک مسير ح??اظت شده آمده است يا از طريق يک کامپيوتر نامطمئن به شبکه پيوسته است. با پيکربندي جدول قوانين خود در ارتباط با بهره برداري از CVE، شما مي توانيد يک قدم از هکرها جلوتر باشيد. براي مثال، چرا شما آمد و شدها مربوط به درگاه هايي را که هيچگاه است??اده نمي کنيد مسدود نمي نماييد - درگاه 445 مورد است??اده MSBlast و Sasser هستند. آيا شما نياز داريد که اين درگاه در ??ايروال شما باز باشد؟ به کامپيوترهايي که CVE دارند نگاهي بياندازيد - چه مدت طول مي کشد تا CVEهاي آنها مرت??ع گردند و چه درگاه هايي بايد باز بماند؟ جدول خود را به روزرساني نماييد. به همه ??ايروال هاي اصلاحيه اعتماد نکنيد. سيستم VoIP خود را مجدداً براي CVEهاي مشابه و جديد بازرسي نماييد و اين ??رآيند را هر روز تکرار کنيد.

CVEهاي VoIP خود را پاک نماييد

 

آيا ??روشندگاني که اين سيستم ها را به شما عرضه کرده اند ??ايل هاي اصلاحيه را نيز به شما پيشنهاد مي کنند؟ آيا اين اصلاحيه ها CVEهاي موجود در سيستم شما را ر??ع کرد؟ اگر جواب مثبت است، بايد گ??ت خيلي عالي است، و اگر جواب من??ي است پس چرا دريا??ت اينگونه خدمات را که خود به نوعي مامني براي CVEها هستند را متوق?? نمي سازيد. برخي از CVEها مي توانند اصلاح شوند در حاليکه برخي ديگر نيازمند باز آرايي هوشمندانه هستند. اطلاعات مربوط به نقاط ضع?? سيستم را از روي سيستم هايي که از امنيت کمتري برخوردارند و احتمال حمله ي مهاجمين به آنها وجود دارد پاک نماييد. مانند مرحله ي قبل هر روز اين مراحل را تکرار کنيد.

اگر شما زمان کا??ي براي انجام اين امور نداريد، يک منشي معتمد، مشاور و يا سرويس دهندگاني که بطور روزانه اين کار را براي شما انجام دهند. پيدا کردن آنها زياد سخت نيست، اکنون شما مي دانيد دنبال چه چيزي هستيد و کجا بايد آنرا جستجو کنيد. ايده ي خوبي است که مطمئن شويد بکارگيري منشي يا سيستم مديريت نقاط ضع?? نه ??قط CVEها را آشکار مي کند بلکه سيستم هايي که داراي نقاط ضع?? هستند را قرنطينه مي سازند تا زماني که ترميم شوند، به اينصورت سيستم VoIP شما از خطر شنود مصون خواهد ماند. سپس اين سيستم بايد با ايجاد نوعي سيستم پشتيبان به ترميم و بازسازي نقاط آسيب پذير رساند.

پيشنهادهاي CERT

 

دانشگاه کارنگي ملون (Carngie Mellon University) به عنوان مرکز هماهنگي CERT ??عاليت مي کند، مرکز خبري بزرگ براي مشکلات امنيتي اينترنت. CERT بوسيله ي آژانس پروژه هاي تحقيقاتي پيشر??ته ي د??اعي (DARPA :(Defense Advanced Research Projects Agency) ايجاد شد، اين مرکز پيشنهاد مي کند:

مختصات پاسخها به کش?? مسائل امنيتي

تشخيص تمايلات به ??عاليت هاي جاسوسي و شنود

همکاري با يک کارشناس براي يا??تن راه حلهاي مسائل امنيتي

انتشار اطلاعات به انجمني که با شبکه ??عاليت مي کنند CERT/CC همچنين نقاط ضع?? محصولات را بررسي مي نمايد، اسناد ??ني را منتشر مي سازد، و يک سري دوره هاي آموزشي برگزار مي کند. CERT همچنين توصيه هايي براي شرکت ها دارد تا به آنها ياري رساند شبکه ي تحت پوشش اين شرکت ها از شر مهاجميني که سعي دارند با است??اده از نقاط ضع?? آنها وارد سيستم شوند، در امان بمانند.

بخشي از اين توصيه ها را به صورت خلاصه بيان مي کنيم:

دسترسي به خدمات H.323 که نيازي نيست در معرض است??اده ي همگان قرار گيرند، را مسدود نماييد

دسترسي محدود ??قط به ماشين هايي که از H.323 براي اجراي امور حياتي، است??اده مي کنند

دسترسي محدود از هر نوع ??قط به مکان هايي از شبکه که مورد نياز است

درنظر داشته باشيد که بازرسي لايه - کاربردي بسته هاي H.323 را بوسيله ي ??ايروال از کار بياندازيد

ايجاد هماهنگي مناسب بين تل??ن ها، کاربردها، شبکه، و نرم ا??زارها جهت تشخيص و شناسايي هر گونه تهديد به هر بخش از شبکه

خلاصه

 

امنيت VoIP نيازمند سازگار شدن اقدامات امنيتي شبکه ي رايج براي سرعت هاي بالا، و محيط هاي پوياتر.

منبع:سایت راسخون