امنيت صدا روي پروتکل اينترنت VoIP(2)

چون بيشتر سيستمها داراي اعتبار کمي هستند، يک مهاجم ممکن است قادر باشد به کامپيوتري روي بخشي از شبکه ي VoIP رخنه نمايد، و سپس دستورات اي آر پي ايي را به منظور تخريب کشهاي اي آر پي روي ارسال کننده هاي آمد و شد هاي مورد نظر شما بفرستد. اين مهاجم سپس مي تواند آي پي را فعال سازد. يک طغيان اي آر پي که روي سوئيچ
پنجشنبه، 2 تير 1390
تخمین زمان مطالعه:
موارد بیشتر برای شما
امنيت صدا روي پروتکل اينترنت VoIP(2)

مسموميت کش اي آرپي و طغيان اي آرپي
 


 





مسموميت کش اي آرپي و طغيان اي آرپي
 
چون بيشتر سيستمها داراي اعتبار کمي هستند، يک مهاجم ممکن است قادر باشد به کامپيوتري روي بخشي از شبکه ي VoIP رخنه نمايد، و سپس دستورات اي آر پي ايي را به منظور تخريب کشهاي اي آر پي روي ارسال کننده هاي آمد و شد هاي مورد نظر شما بفرستد. اين مهاجم سپس مي تواند آي پي را فعال سازد. يک طغيان اي آر پي که روي سوئيچ حمله مي کند و نقاط ضعف شبکه را در اختيار گيرد و سپس استراق سمع نمايد. هنگامي که عمل پخش ARP بيجواب بماند، آنگاه بيشتر کش هاي ARP آسيب مي بينند. با آسيب رساندن به کش اي آر پي، مهاجم اکنون مي تواند آمد و شد داده ها را به مسيرهاي مورد نظر هدايت نمايد، در نتيجه داده ها و صداها را تحت کنترل خويش در آورد. براي جلوگيري از چنين تهاجماتي، از مکانيسم ها و ساز و کارهاي مستند که داراي اعتبار هستند استفاده نماييد اين ساز وکارها تا حد امکان دسترسي به بخش هاي شبکه ي VoIP را کاهش مي دهند.

واسطه هاي سرور وب
 

هم براي سوئيچ هاي VoIP و هم براي پايانه هاي صدا احتمال اينکه داراي يک واسطه ي سرور وب براي مديريت محلي و يا راه دور باشند، وجود دارد. يک مهاجم ممکن است قادر باشد بسته هاي HTTP متون اوليه را به منظور دستيابي به اطلاعات محرمانه رديابي نمايد. براي انجام چنين کاري مهاجم نياز دارد به شبکه ي محلي سروري که به آن متصل است، دسترسي يابد. براي جلوگيري از اين نوع تهاجمات، اگر مقدور است، از سرور HTTP استفاده ننمائيد. اگر ضروري است که از يک سرور وب براي مديريت دور استفاده نماييد، از پروتکل هاي ايمنتر HTTP استفاده کنيد نظير HTTP روي SSL يا TLS.

آسيب پذيري نتماسک تلفن آيپي
 

يک اثر مشابه با آسيب پذيري کش اي آر پي مي تواند توسط يک مهاجم که ماسک زير شبکه و آدرس مسيرياب را به تلفن آيپي اختصاص مي دهد، سيستم تلفن شما را تهديد نمايد. (يادداشت مترجم: نتماسک: گاهي به عنوان نام مستعار براي آدرس آيپي شناخته مي شود و گاهي به اشتباه نام ميزبان (HostName) ناميده مي شود، نتماسک يک الگوي 32 بيتي است که براي تقسيم آيپي به زيرشبکه ها و مشخص کردن ميزبانان قابل دسترس به شبکه ها استفاده مي شود. در يک نتماسک، هميشه دو بيت بطور خوکار تخصيص داده مي شود. براي نمونه در "0"255.255.255.0 آدرس شبکه ي تخصيص داده شده است، و در "255",255.255.255.255 آدرس فضاي انتشار تخصيص داده شده است، بايد توجه داشت که دو مقدار "0" و "255" هيچگاه مورد استفاده ي ميزبانان نخواهد بود بلکه مقادير بين اين دو عدد هميشه به کاربران واگذار مي گردد). مهاجم با اين ترفندي که بکار مي برد آدرسها را در اختيار مي گيرد و به سوي خود متمايل مي نمايد بطوريکه بيشتر و يا همه ي بست هاي انتقال يافته ي تلفني به آدرس MAC مهاجم ارسال خواهد شد. ارسال آي پي استاندارد مي تواند باعث نفوذ به سيستم شود ولي در عين حال غيرقابل رديابي باقي بماند. با نصب يک مکانيسم فيلترکننده ي فايروال مي توانيد احتمال چنين حملاتي را کاهش دهيد. دسترسي از راه دور به تلفنهاي آيپي ريسک بسيار بزرگي است.

گسترش به آسيب پذيري نگاشت آدرس هاي آيپي
 

يک مهاجم به سادگي مي تواند آدرس آي پي که متناظر با هر گونه اتصال توسعه يافته را کشف کند (يادداشت مترجم: در اينجا منظور از هر گونه اتصال توسعه يافته (Any Extension) مي باشد). تنها چيزي که مهاجم نياز دارد آن است که با بخش الحاقي يا همان خطوط گسترش يافته تماس برقرار کند و از آن پاسخي دريافت نمايد. يک تحليلگر پروتکل يا ابزار دريافت بسته هاي اطلاعاتي متصل شده به هاب روي تجهيزات شماره گير، مستقيماً اين بسته ها را از تجهيزات و ابزار هدف درست در زماني که تماس پاسخ داده شود، مشاهده خواهد کرد. توانايي کشف آدرس آيپي يک شاخه ي خاص از شبکه به خودي خود ساده و آسان نمي باشد اما سبب مي شود تا انجام ديگر تهاجمات به سيستم راحتتر صورت پذيرد. براي مثال، اگر مهاجم قادر باشد تا بسته ها را بر روي شبکه ي محليائي که از سوئيچ استفاده مي کند رهگيري نمايد، براي مهاجم بسيار ساده خواهد بود تا بسته هاي ارسالي و دريافتي از تلفن هدف را بدست آورد. بدون دانستن آدرس آيپي تلفن هدف، مهاجم به سادگي نمي تواند به مقصود خود دست يابد، و براي رسيدن به هدف خود زمان بيشتري نياز دارد. بنابراين با طولاني شدن زمان تهاجم فرصت کافي براي خنثي کردن اين نوع مزاحمتها نيز وجود خواهند داشت. هنگاميکه شما هاب روي تلفن آيپي را از کار بياندازيد، آنگاه قادر خواهيد بود از چنين تهاجماتي در امان باشيد.

ارسال صحيح
 

منظور از ارسال صحيح اطلاعات، عدم تغيير اطلاعات بوسيله ي کاربران غيرمجا.، براي مثال، بيشتر کاربران ميخواهند مطمئن شوند که اعداد مربوط به حسابهاي بانکي آنها توسط اشخاص ديگر تغيير پيدا نمي کنند، يا کلمه هاي عبور فقط توسط خود کاربر يا مديريت امنيتي مجاز تغيير مي يابند. سوئيچهاي ارتباطات از راه دور بايد صحت آرايش و داده هاي سيستم خود را تامين نمايند. غناي مجموعه هايي از ويژگي ها و خصيصه هاي قابل دسترس بر روي سوئيچ، ابزار خوبي را براي مهاجمان فراهم نموده است. يک هکر که مي تواند پيکربندي سيستم را کشف نمايد در واقع دري را بر روي ويژگي ها و خصيصه هاي گوناگون قابل هک کردن گشوده است. براي نمونه يک هکر مي تواند با اتصال به مرکز تلفن به مکالمات گوش دهد به همان راحتي که سوپروايزرها براي کنترل کيفيت صدا گاهي به طور قانوني مکالمات را شنود مي کنند. عمل ديگري که يک مهاجم مي تواند انجام دهد تا به اطلاعاتي درباره ي شبکه ي آيپي بکار رفته بوسيله ي يک سوئيچ VoIP آسيب رساند و يا آنها را حذف نمايد، ايجاد عدم پذيرش آني يک سرويس مي باشد (يادداشت مترجم: منظور از عدم پذيرش سرويس (Denial)).
سازو کار امنيتي خود قابليت هايي را براي عدم استفاده و يا استفاده ي نادرست از سيستم مهيا مي کند. کشف سيستم امنيتي نه تنها اجازه ي استفاده ي نادرست از سيستم را مي دهد بلکه براي سوء استفاده کنندگان از سيستم اين امکان را فراهم مي نمايد که همه ي رده هايي که منجر به شناسايي آنها مي شود را حذف نمايند (پوششي بر روي تمام ردها قرار دهند)، و دريچه اي براي رخنه ي ديگر مهاجمين و يا براي استراق سمع هاي آينده ي خود ايجاد نمايند. به همين دليل، سيستم امنيتي بايد به شدت تحت نظر و مراقبت قرار گيرد. تهديدهاي مربوط به مبحث ارسال صحيح شامل تکنيک هايي هستند که در نتيجه ي آنها، داده ها و يا توابع سيستم آسيب مي بينند، اين امر يا بصورت تصادفي صورت مي پذيرد و يا به علت انجام يک سري عمليات خرابکارانه. بکارگيري نادرست به کاربران غيرمجاز محدود نمي شود، حتي گاهي کاربران مجاز نيز با انجام عمليات نادرست بر روي سيستم مانند يک کاربر غيرمجاز سبب بروز اخلال ميگردند.
همانطور که گفتيم، يک کاربر مجاز ممکن است با اجراي نادرست دستورات و يا توابع، يا با انجام يک عمليات غيرمجاز سبب تعديل نادرست و زيانبار، تخريب، حذف، يا افشا داده ها و نرم افزار سوئيچ شود. در ايجاد اينگونه آسيبها و تهديدات عوامل متعددي دخيل هستند که از جمله ي آنها مي توان به ميزان اجازه ي دسترسي اعطا شده به يک کاربر، اشاره داشت. گاهي اجازه ي دسترسي يک کاربر بيشتر از ميزاني است که وي نياز دارد تا بعنوان مجري باقي بماند.

تهاجم
 

چندين تهديد تهاجمي وجود دارد که يک مهاجم قادر به انجام آن است. يک مهاجم مي تواند خود را بعنوان يک کاربر مجاز جا بزند و با اين روش به درگاه عملياتهاي سوئيچ دست يابد. يا يک مهاجم ممکن است با استفاده از سطح اجازه ي يک کاربر مجاز استفاده نمايد و عمليات مخرب توابع زير را صورت دهد:
افشا اطلاعات محرمانه
سبب از بين رفتن سرويس بوسيله ي تغيير و تبديل نرم افزار سوئيچ شود.
درهم شکستن سوئيچ
حذف تمام ردهاي مربوط به تهاجم، بوسيله ي اصلاح لاگ امنيتي

حالت ناامن
 

زمان هايي وجود دارد که سوئيچ در آن برهه آسيب پذير خواهد بود، زيرا در حالت ايمن قرار ندارد. براي نمونه:
بعد از شروع مجدد يا به اصطلاح ري استارت سيستم، ممکن است ويژگي هاي امنيتي قديمي به تنظيمات غير ايمن برگردانده شده باشد و ويژگي هاي امنيتي جديد هنوز فعال نشده باشند (براي مثال، همه ي کلمه هاي عبور پيش فرض برگردانده شده باشند، زيرا کلمه هاي عبور جديد هنوز اعمال نشده اند). اتفاق مشابهي ممکن است هنگام ريکاوري نادرست انجام گيرد.
هنگام نصب سوئيچ امکان ورود صدمه و آسيب به سيستم وجود دارد تا زماني که ويژگي هاي امنيتي پيش فرض جايگزين شده باشند.

حمله ي الحاق سرور DHCP
 

اغلب اين امکان وجود دارد آرايش و پيکربندي تلفن هدف با بهره گيري از سرعت پاسخ DHCP هنگاميکه تلفن آي پي راه اندازي مي شود، تغيير يابد. به همان سرعتي که تلفن آي پي يک پاسخ DHCP را درخواست مينمايد، همانطور هم يک سرور DHCP مهاجم قادر است يک پاسخ با حوزه هاي از داده ها که شامل اطلاعات نادرست است را اعمال نمايد.
اين حمله معمولاً توسط افرادي که در تهاجمهاي مياني روي درگاه IP-Media و تلفنهاي آيپي شرکت دارند، صورت مي گيرد. روشهاي زيادي وجود دارد که به هکر اين امکان را مي دهد تا اين تلفنها را از راه دور دوباره راه اندازي نمايد، براي نمونه، استفاده از مهندسي اجتماعي Ping Flood, (Social Engineering)، ترفند و حقه هاي MAC (احتمالاً تله هاي SNMP و نظير آنها).
استراتژي بازدارنده براي اينگونه تهاجمها، در صورت امکان، استفاده از آيپي ايستا براي تلفنهاي آيپي مي باشد. اجراي چنين راهکاري شما را در استفاده از يک سرور DHCP بي نياز مي سازد. علاوه بر اين، با استفاده از سيستم آشکارساز شنود حالت محور (State based intrusion detection system) شما قادر خواهيد بود بسته هاي سرور DHCP را از درگاه هاي تلفن آيپي غير مجاز فيلتر نماييد. و فقط آمد و شد بسته هاي اطلاعاتي مربوط به سرورهاي مجاز و قانوني انجام گيرد.

حمله ي تعبيه شده ي سرور TFTP
 

اين امکان براي يک هکر وجود دارد که پيکربندي تلفن هدف را بوسيله ي سرعت پاسخ پروتکل انتقال فايل جزئي (File Transfer Protocol (TFTP Trivial) تغيير دهد. يک سرور TFTP مزاحم مي تواند اطلاعات جعلي را ايجاد نمايد قبل از آنکه سرور قانوني قادر به پاسخ باشد. اين حمله به مهاجم اين اجازه را مي دهد پيکربندي تلفن آيپي را تغيير دهد. با استفاده از سيستم آشکار ساز شنود حالت محور بسته هاي اطلاعاتي از درگاه هاي تلفن آيپي فيلتر مي شوند، و چنين آمد و شدهايي صرفاً از سرورهاي مجاز انجام مي شوند. سازمان هايي که به دنبال گسترش سيستم هاي VoIP هستند بايد در نظر داشته باشند که تجهيزات تلفن آيپي اي را خريداري نمايند که قادر است فايلهاي باينري تضمين شده را دانلود نمايند.

در دسترس بود و عدم پذيرش سرويس
 

در دسترس بودن به اين نکته اشاره دارد که اطلاعات و خدمات هنگاميکه شما به آنها نياز داريد قابل استفاده هستند. همان طور که حدس زده ايد در دسترس بودن براي سوئيچ خطر بزرگي محسوب مي شود. حمله ها با شناسايي نقاط آسيب پذير نرم افزار سوئيچ و يا پروتکل ممکن است باعث تخريب و از بين رفتن خدمات گردند يا حتي باعث رد پذيرش سرويس يا عدم پذيرش برخي از وظايف سوئيچ گردند. براي نمونه: اگر دسترسي غيرمجاز به همه ي شعبات کانال هاي ارتباطي (نظير لينک CCS يا لينک TCP/IP) بتواند بنا نهاده شود، ممکن است با ارسال بيشمار پيام هاي جعلي، سبب تخريب و زوال سرويس (احتمالاً خارج کردن از سرويس) گردند. حتي ممکن است يک صدا در بستر سيستم آيپي هنگاميکه اتصال به اينترنت برقرار مي شود، آسيب پذير باشد.
زيرا سيستم آشکارساز شنود (IDS) قادر به رهگيري درصد زيادي از تهاجمات اينترنتي نخواهد بود، درنتيجه مهاجمين قادر خواهند بود IDS را به راحتي در دام خود اسير نمايند، اين امکان هست که آنها قادر باشند سيستم هاي VoIP را با بکار گيري نقاط ضعف پروتکل هاي اينترنت و سرويسها از پاي درآرند و زمين زنند. هر شبکه مي تواند به سادگي با ارسال بسته هاي اطلاعاتي بيش از حد ظرفيت سيستم تبديل به يک شبکه ي خارج از سرويس شود. اين امر براي سيستم هاي VoIP معضل بزرگي است، زيرا به اين طريق خطر از دست دادن بسته هاي اطلاعاتي و يا تاخير ورود و خروج اين بسته ها وجود دارد.

حمله به منبع تغذيه CPU بدون داشتن هيچ اطلاعات اکانت
 

يک مهاجم که با پايانه ي راه دور به سرور دسترسي داشته باشد اين امکان را دارد تا سيستم را مجبور به راه اندازي مجدد نمايد (خاموش نمودن همه/ شروع مجدد همه). براي انجام اين کار مهاجم بيشترين تعداد کاراکترها را براي بافرهاي کلمه ي عبور و ورود به سيستم چند زمانه بطور متوالي ايجاد مي نمايد. با اين نوع تهاجم تلفنهاي آي پي ممکن است بطور خودکار از نو راه اندازي گردند.
علاوه بر ايجاد سيستمي که براي مدتي از کار افتاده، شروع مجدد سيستم ممکن است تغييراتي را که قبل از خاموش شدن سيستم ايجاد شده بودند ولي هنوز ثبت نگرديده بودند را بازنگرداند، در برخي حالتها ممکن است کلمه هاي عبور پيش فرض به جاي کلمه هاي عبور جديد بازگردانده شوند، اين امر سبب ايجاد آسيب پذيري سيستم مي گردد و مهاجم قادر به شنود خواهد بود. اولين قدم براي مقابله با چنين تهديداتي آرايش و تنظيم مناسب فايروال است تا از ارتباط با شبکه هاي غير ضروري و يا ورود بسته هاي اطلاعاتي از شبکه هاي ناشناس جلوگيري نمايد. اما، هنوز اين امکان براي يک مهاجم وجود دارد تا با جعل آدرس آيپي و MAC خود، فايروال شما را به دام اندازد.

آسيب پذيري کلمه عبور پيش فرض
 

درست به همان صورتي که سوئيچها داراي مجموعه کلمه عبور/ ورود به سيستم پيش فرض هستند، تلفنهاي VoIP اغلب داراي يک سري کليد مي باشند که جهت باز نمودن شبکه و تصحيح اطلاعات شبکه به کار مي روند.
اين آسيب پذيري دورنمايي را پيش چشمان ما قرار مي دهد که يک مهاجم از راه دور کنترل موقعيت يابي شبکه را بدست مي گيرد، در نتيجه نه تنها قادر خواهد بود سيستم را از سرويس خارج نمايد بلکه مي تواند حمله ي انعکاسي درگاه را به مکان مهاجم تکميل نمايد. بلکه مي تواند حمله ي انعکاسي به هکر اين اجازه را مي دهد تا هر مکالمه اي که بر روي سوئيچ يکسان انجام مي گيرد را رديابي نمايد. علاوه بر اين، سوئيچ ممکن است يک واسطه ي سرور وب داشته باشد که هکر مي تواند از آن براري از هم گسيختن شبکه بهره گيرد بدون آنکه نياز به دانش زيادي درباره ي عمليات سوئيچ و دستورات آن داشته باشد.
در بيشتر سيستمها، تلفنها داده هاي پيکربندي را با استفاده از TFTP و پروتکلهاي مشابه روي استارتاپ دانلود مي کنند. اين پيکربندي آدرسهاي آي پي را براي گره هاي مديريت تماس (Call Manager) مشخص مي کند، بنابراين يک مهاجم مي تواند آدرس آيپي متفاوت را به مديريت تماس ديگر اختصاص دهد و به اين صورت خواهد توانست آمد و شد مکالمات را بررسي نمايد و به راحتي شنود داشته باشد. بنابراين با توجه به نکاتي که برشمرديم تغيير دادن کلمه ي عبور پيش فرض ضروري به نظر مي رسد. از کار انداختن واسطه ي کاربر گرافيکي نيز سبب مي شود تا از رهگيري نشستهاي مديريت متون اوليه جلوگيري شود.

نقص هاي نرم افزار قابل استفاده
 

مانند انواع ديگر نرم افزارها، سيستم هاي VoIP نيز بواسطه ي سرريز شدن بافر و دستکاري سربرگ (Header) بسته هاي معيوب، داراي نقاط ضعف و آسيب پذير مي باشد. اين نقصها نوعاً به اين دليل رخ مي دهند که نرم افزار صحت قانوني اطلاعات حياتي را به درستي تاييد نميکند. براي نمونه، يک عدد درست و کوتاه ممکن است بصورت يک اندکس جدول استفاده شود بدون آنکه بررسي شود که آيا اين پارامتر عبوري به تابع اجرايي از 23767 تجاوز مي کند يا خير. در نتيجه باعث مي شود تا دسترسي به حافظه با خطا روبرو شود يا سيستم از کار افتد.
نقصهاي نرم افزار قابل استفاده نوعاً به علت دو ضعف عمده مي باشد:
خارج بودن از سرويس
آشکار سازي پارامترهاي سيستم بحراني
يک مهاجم مي تواند از راه دور عدم پذيرش سرويس و يا همان خارج بودن از سيستم را از راه دور اجرا نمايد، براي اين کار مهاجم کافي است بستهاي را با سربرگ ساختگي که سبب مي شود نرم افزار دچار خطا گردد و از کار افتد. هدف آن است تا سيستم از بطور کل کار کند و از سرويس خارج گردد. همچنين يک ذخيره از حافظه تهيه شود تا مهاجم با جستجو در آن آدرس هاي آيپي گره هاي سيستم بحراني، کلمه هاي عبور، و يا اطلاعات امنيتي را بيابد. علاوه بر اين، پر شدن و سرريز حافظه ي موقت که بوسيله ي آن يک مهاجم مي تواند وجود کدهاي نامناسب را در نرم افزار VoIP معرفي نمايد، درست به همان صورت که در ديگر کاربردها وجود دارند. اين امر نيازمند حرکتي از سوي فروشندگان نرم افزار مورد نظر مي باشد و همچنين توزيع تصحيحات نرم افزاري به مديريتهايي که از اين نرم افزارها استفاده مي نمايند.
مهاجمان باهوش هميشه درصدر موضوع قرار دارند، آنها مرتب اطلاعيه هاي راجع نقاط ضعف را کنترل مي کنند، آنها مي دانند که بسياري از سازمانها روزها و يا هفته ها نياز دارند تا نرم افزارهاي خويش را به روز رساني کنند. بنابراين اگر شما در سازمان خويش از چنين نرم افزارهايي استفاده مي کنيد که بايد مرتب به روز رساني شود، اطمينان حاصل کنيد که اين امر به طور مرتب صورت پذيرد و تصحيحات انجام گرفته بر روي نرم افزار از سوي شرکت طراح آن همواره به نرم افزار نصب شده بر روي سيستم افزوده گردد، در اين صورت مي توانيد نقاط ضعف نرم افزار خويش را به حداقل رسانيد. مديريت تصحيح برنامه بطور خودکار مي تواند کمک خوبي در کاهش احتمال دستيابي مهاجمين به نقاط ضعف نرم افزارها مي باشد. برهه هاي زماني که طي آنها سازمانها آسيب پذير هستند را شکاف آسيب پذيري (Vulnerability Gap) مي نامند - اين شکاف همه ي سازمان ها را مي توان با به روز رساني تصحيحات مسدود نمود که براي اينکار معمولاً از سيستم ها خودکار استفاده مي شود.

نقاط ضعف مسدود کردن يک اکانت
 

نقاط ضعف مسدود کردن يک اکانت وضعيتي است که در آن مهاجم با استفاده از يک شبکه ي راه دور و به وسيله ي کلمه عبور نادرست تلاش مي کند تا به يک اکانت دست يابد، همان طور که مي دانيد معمولاً چنين سيستم هايي براي حفاظت از اکانتها، با وارد کردن چندين بار کلمه عبور نادرست آن اکانت را براي يک دوره ي مشخص مسدود مي نمايند، هنگاميکه اکانت مسدود گرديد براي يک دوره ي زماني مشخص ديگر کسي قادر به دسترسي به آن اکانت نمي باشد. به اين صورت اکانت خارج از سرويس خواهد بود. مزيت ويژگي که پيشتر درباره ي آن توضيح داديم اين است که فرصت دستيابي به کلمه ي عبور صحيح توسط مهاجم را از او مي گيرد. اگر شما با چنين حمله هايي مواجه شديد و ديگر به اکانت خود از طريق شبکه دسترسي نداشتيد تنها راه حل ممکن کنترل دسترسي فيزيکي به حساب يا همان اکانت خويش مي باشد.

ايمن سازي VoIP خود
 

ايمن سازي VoIP خود بطور مناسب روي سيستم آيپي فرآيند پيچيده هاي است زيرا VoIP مجموعه اي از داده ها و صدا درون يک شبکه ي منفرد مي باشد. شبکه ي شما ممکن است بطور روزانه در معرض حمله ي مهاجمين، ويروسها، و کرم ها قرار گيرد. شما با سيستم تلفنهاي قديمي هيچگاه نگران چنين تهديداتي نخواهيد بود.
نه گام اساسي وجود دارد که موسسه ي ملي استانداردها (NIST) پيشنهاد مي کند، تا به اين وسيله امنيت شبکه ي VoIP خود را افزايش دهيد:
گسترش ساختار شبکه ي مناسب براي ارتباطات صدا و داده ها
خطر پذيري VoIP را براي ارتباطات صدا آزمايش نماييد
پيش بيني هاي لازم براي اطمينان از تماس ضروري مانند خدمات 911 (E-911)
گسترش کنترل هاي فيزيکي در امنيت VoIP از اهميت به سزايي برخوردار هستند
در نظر گرفتن توان پشتيبان اضافي جهت حصول اطمينان از برقراري VoIP براي هنگامي که توان اصلي از کار افتاده باشد
يافتن، ارزيابي نمودن، و گسترش فايروال هاي آماده ي VoIP
دوري جستن از تلفنهاي نرم افزاري زيرا مديريت و ايجاد امنيت براي آنها دشوار مي باشد
اگر تجهيزات همراه بخشي از گسترش VoIP شما را تشکيل مي دهند، با استفاده از WPA اطمينان حاصل کنيد که آنها ايمن هستند، توجه داشته باشيد که از WEP استفاده ننماييد و همه ي آدرس هاي MAC را قفل نماييد و کليه ي قطعات متصل را محدود نماييد.
بازنگري نيازمنديهاي منظم با توجه به اختفا و حفظ رکوردها

توسعه ي طراحي شبکه ي مناسب
 

اگر امکان دارد با قرار دادن هر يک از سيستم هاي صوتي و داده هاي روي شبکه هاي جداگانه، اين دو سيستم را از يکديگر جدا سازيد. زير شبکه هاي متفاوت با جداسازي قالبهاي آدرس RFC 1918 براي آمد و شد داده و صدا و با جداسازي سرورهاي DHCP براي هر يک از سيستمها آشکارسازي شنودها و حفاظت فايروال VoIP تسهيل مي گردد.
در درگاه صدا، که با PSTN ارتباط دارند، SIP, H323، يا پروتکلهاي VoIP ديگر براي داده هاي شبکه مسدود نماييد از تاييديه ي قوي استفاده نماييد و به کنترل روي سيستم درگاه صدا دسترسي داشته باشيد، همانطور که به ديگر مؤلفه هاي شبکه ي بحراني دسترسي داريد. تاييديه ي قوي کاربران به سوي يک درگاه اغلب دشواري هايي را به همراه دارد، خصوصاً در مديريت کليد. اينجا، دسترسي به مکانيسم کنترل و اجرا خط مشي ممکن است کمک خوبي محسوب شود. مکانيسمي براي اجازه ي عبور و مرور VoIP از ميان فايروال ضروري به نظر مي رسد. راه حلهاي وابسته و مستقل به پروتکل هاي گوناگون وجود دارد، از اين دست از پروتکلها، در صورت تکميل، مي توان به درگاه هايي از درجه ي کاربردي Application Level Gateway) (ALG)) براي پروتکل هاي VoIP، کنترل کننده هاي حاشيه ي نشستها (Session Border Controller)، يا راه حل هاي استاندارد محور ديگر، اشاره نمود. فيلتر نمودن بسته ها با حالت هاي گوناگون ميتواند ردي از حالت ارتباطات، بسته هايي که پذيرفته نشده اند و به عنوان بخشي از تماس اصلي محسوب نمي شوند را در اختيار گذارد. (ممکن است اين موضوع عملي نباشد هنگاميکه امنيت ذاتي پروتکل مولتي مديا يا امنيت لايه ي پايينتر بکار برده شود، براي نمونه H.235 Annex D براي تأمين صحت و درستي يا TLS براي حفاظت از ارسال علامت SID).
براي همه ي مديريتهاي از راه دور و دسترسي به بررسي موقعيت سيستم از IP sec يا SSH) Secure Shell) استفاده نماييد. اگر مقدور است، از مديريت از راه دور بطور کل چشم پوشي نماييد و دستيابي IP PBX از سيستم امنيتي فيزيکي را مد نظر قرار دهيد. اگر کارايي براي شما اهميت دارد، در مسيرياب و درگاه هاي ديگر از رمزگذاري استفاده کنيد، البته نه در دو سوي انتهاي مسير، به اينصورت مي توانيد تونل IP sec ايجاد نماييد. چون بعضي از نقاط انتهاي VoIP از نظر محساباتي به اندازه ي کافي توانمند نيستند تا رمزگذاري را تکميل نمايند، اين امر در نقطه ي مرکزي انجام مي پذيرد تا اطمينان حاصل شود آمد و شد VoIP ناشي از شبکه ي سازمان يافته، رمزگذاري گرديده اند. تلفن هاي آيپي جديدتر قادرند سيستم رمزگذاري پيشرفته (Advanced Encryption System (AES) ) با هزينه هاي معقولي را فراهم کنند.
توجه کنيد که استاندارد پردازش اطلاعات فدرال 140-2 (Federal Information Processing Standard (FIPS)، نيازمنديهاي امنيتي براي مدلهاي رمزگشايي و رمزدار کردن، قابل بکارگيري به همه ي آژانسهاي فدرال مي باشد که از سيستم هاي امنيتي رمزدار محور براي محافظت از اطلاعات حساس در کامپيوتر و سيستم هاي ارتباطات از راه دور (شامل سيستم هاي صدا) بصورت بخشي تعريف شده در بخش 5131 اصلاحيه ي مديريت فناوري اطلاعات 1996، قانون عمومي 06-104، استفاده مي کنند.

خطرپذيري در حوزه ي گسترش VoIP را آزمايش نماييد
 

بسيار مهم است که شما گسترش VoIP خود را چک نماييد تا مطمئن شويد که سازمان بطور قابل قبولي قادر به مديريت و کاهش خطرهاي مربوط به اطلاعات، عمليات سيستم، و پيوستگي عمليات ضروري هنگام گسترش سيستم هاي VoIP مي باشد.
يک محيط امنيتي چالش انگيز ويژه هنگاميکه فناوري هاي نوين گسترش مي يابند، خلق مي شود. خطرها اغلب بطور کامل درک نمي شوند، مديريتها هنوز تجربه ي کافي در زمينه ي فن آوري جديد به دست نياورده است، و کنترل هاي امنيتي و خط مشي ها بايد به روزرساني شوند. بنابراين، سازمانها بايد به دقت موضوعاتي از قبيل سطح دانش منابع انساني خود و همچنين آموزش آنها را مد نظر داشته باشند. کمال و کيفيت تمرينهاي امنيتي، کنترلها، خط مشي ها، طراحيها، و درک خطرپذيري هاي ما بسته به اين فن آوريها همه بايد همواره تحت نظر مديريت سازمان باشد.
VoIP مي تواند خدمات قابل انعطاف بيشتري را با هزينه ي کمتر ارائه دهد، اما بايد همواره سبک و سنگين کرد و همه ي جوانب را در نظر داشت. شما مي توانيد انتظار داشته باشيد سيستم هاي VoIP نسبت به سيستم هاي تلفن رايج آسيب پذير تر باشند،خصوصاً اينکه آنها به شبکه ي داده ها گره خورده اند، در نتيجه علاوه بر ضعف امنيتي آنها در معرض تهاجم نيز قرار دارند. قابليت اطمينان و پنهان سازي در سيستم هاي VoIP در معرض خطر مي باشد مگر آنکه از کنترلهاي قوي استفاده گردد.
نگراني ديگر اين است که ناپايداري فن آوري VoIP نسبت سيستم هاي تلفن فعلي مي باشند. امروزه، سيستم هاي VoIP هنوز در حال تکميل هستند، و استانداردهاي پذيرفته شده هنوز يکپارچه نشده اند به عبارت بهتر هنوز يک سيستم استاندارد جامع براي اين فناوري تهيه و تنظيم نشده است. اين ناپايداري ناشي از استناد VoIP به شبکه هاي پکت، به عنوان محيط انتقال داده مي باشد (يادداشت مترجم: شبکه هاي پکت عبارتند از شبکه هايي گسترده براي ارسال داده، که در اين روش ارسال داده ها به صورت بسته هاي کوچک ارسال مي گردند ولي در مرحله ي دريافت بسته ها در جاي مناسب خود قرار مي گيرند). شبکه ي تلفنهاي سوئيچ شده عمومي فوق العاده قابل اطمينان هستند. خدمات اينترنت از قابليت اطمينان کمتري برخوردارند، و VoIP نمي تواند بدون اتصال به اينترنت انجام وظيفه نمايد، به جز در مواردي که يک اتحاد بزرگ صورت مي گيرد و يا چند کاربر بطور خصوصي تشکيل يک شبکه را مي دهند. خدمات تلفنهاي ضروري اگر بر اساس VoIP هستند در معرض خطر بزرگتري قرار دارند مگر آنکه به دقت طرح ريزي، گسترش و پشتيباني شوند.
منبع:ماهنامه ي کامپيوتري بزرگراه رايانه، شماره ي 134



 



نظرات کاربران
ارسال نظر
با تشکر، نظر شما پس از بررسی و تایید در سایت قرار خواهد گرفت.
متاسفانه در برقراری ارتباط خطایی رخ داده. لطفاً دوباره تلاش کنید.
مقالات مرتبط