ملاحظات ويژه براي خدمات 911

ملاحظات ويژه اي بايد براي ارتباطات مربوط به خدمات E-911 درنظر گرفته شود، زيرا خدمات مکانيابي خودکار با سيستم VoIP در بعضي از حالتها قابل حصول نمي باشد. برخلاف اتصالات تلفنهاي رايج که به يک مکان فيزيکي متصل مي شوند، فناوري سوئيچ شده ي بسته هاي VoIP به يک شماره تلفن خاص اين امکان را مي دهند که در هر کجا وجود
پنجشنبه، 2 تير 1390
تخمین زمان مطالعه:
موارد بیشتر برای شما
ملاحظات ويژه براي خدمات 911

ملاحظات ويژه براي خدمات 911
ملاحظات ويژه براي خدمات 911


 






 
ملاحظات ويژه اي بايد براي ارتباطات مربوط به خدمات E-911 درنظر گرفته شود، زيرا خدمات مکانيابي خودکار با سيستم VoIP در بعضي از حالتها قابل حصول نمي باشد.
برخلاف اتصالات تلفنهاي رايج که به يک مکان فيزيکي متصل مي شوند، فناوري سوئيچ شده ي بسته هاي VoIP به يک شماره تلفن خاص اين امکان را مي دهند که در هر کجا وجود داشته باشد، بعبارت بهتر با سيستم تلفن فعلي هر گاه شما با تلفن منزل خويش تماس با يکي از دوستان خود برقرار مي کنيد بلافاصله مکان شما مشخص مي شود، زيرا اين شماره تلفن فقط به يک مکان خاص اختصاص دارد و آن منزل شما است ولي در سيستم VoIP موضوع فرق مي کند شما از هر کجا قادريد با شماره تلفن خود تماس برقرار کنيد. اين ويژگي براي کاربر بسيار مناسب است، زيرا تماسها بطور خودکار به سوي مکاني که کاربر قرار دارد هدايت مي شود، اما سبک و سنگين کردن اين موضوع که آيا اين سيستم هاي بسيار پيچيده براي خدمات E-911 مفيد هستند قدري دشوار به نظر مي رسد، زيرا بايد مکان تماس گيرنده براي اين خدمات مشخص گردد. اگرچه بيشتر فروشندگان VoIP راهکارهاي اجرايي را براي خدمات E-911 ارائه مي دهند، اما مسئولين سازمانها و فروشندگان اين سيستم ها خارج از استاندارد هاي توليدکنندگان خدمات 911 در محيط VoIP، فعاليت مي کنند. سازمانها بايد با دقت موضوعات مربوط به خدمات E-911 را در مقاصد خود براي گسترش VoIP در نظر گيرند.

امنيت فيزيکي براي سيستم VoIP
 

سازمانها بايد آگاه باشند که کنترل هاي فيزيکي در محيط هاي VoIP و گسترش آنها بسيار حائز اهميت هستند.
مگر آنکه شبکه ي VoIP رمزگذاري شود، هر کس با دسترسي فيزيکي به شبکه ي LAN دفتر شما قادر خواهد بود به ابزار مربوط به کنترل شبکه و دامهاي خطوطي تلفن دسترسي يابد و مکالمات را شنود نمايد. اگرچه خطوط تلفنهاي رايج در صورت دسترسي فيزيکي قابل شنود هستند، ولي بايد اذعان داشت که بيشتر دفاتر با محيط VoIP داراي نقاط بيشتري براي دسترسي مهاجمين مي باشند تا آنها بتوانند بي هيچ سوظني به شبکه ي LAN اين دفاتر متصل شوند. حتي اگر شما شبکه را رمزگذاري نماييد، دسترسي فيزيکي به درگاه ها و سرورهاي VoIP ممکن است به مهاجم اين امکان را بدهد تا تحليلي از آمد و شد اطلاعات و مکالمات داشته باشد و بخشهايي را که مربوط به ارتباطات مي شوند را شناسايي نمايد. بنابراين، شما بهتر است مطمئن شويد که امنيت لازم براي عدم دسترسي فيزيکي به مکان مولفه هاي شبکه ي VoIP برقرار است.
اندازه گيريهاي امنيت فيزيکي که شامل موانع و سده، قفلها، دسترسي به سيستم هاي کنترل، و محافظ ها مي شوند خط مقدم دفاعي براي سيستم هاي VoIP محسوب مي شوند. سازمانها بايد اطمينان حاصل کنند که اين اقدامات متقابل فيزيکي خطرات بزرگي چون اعمال رديابها يا ديگر تجهيزات کنترل شبکه را کاهش مي دهند. در غير اينصورت، با نصب يک ردياب نه تنها بخش عمده اي از اطلاعات شما در دسترس مهاجمين خواهد بود بلکه مکالمات شما نيز به راحتي شنود خواهند شد.

هزينه هاي سيستم هاي پشتيبان اضافي
 

هزينه هاي مربوط به سيستم هاي پشتيبان براي توان اضافي، جهت حصول اطمينان از برقراري سيستم هنگام قطع توان اصلي را ارزيابي نماييد. اطمينان داشتن از اينکه شما توان کافي در اختيار داريد يک نوع اطمينان خاطر حين انجام عمليات در اين سيستم ها مي باشد، همانگونه که وقتي با لپ تاپ خود کار مي کنيد و مطمئن هستيد که شارژ لپ تاپ شما پر است ديگر هيچگونه نگراني بابت قطع برق نخواهيد داشت. هزينه هاي مربوط به اين سيستم هاي پشتيبان ممکن است شامل توان الکتريکي ذخيره شده در باتريهاي UPS، هزينه هاي مربوط به تعمير و نگهداري دوره اي سيستم هاي توليد توان ذخيره، و هزينه هاي مربوط به جايگزيني باتريهاي UPS باشند. اگر توان ذخيره/ اضطراري براي بيش از چندين ساعت مورد نياز باشد، در آنصورت ژانرهاي الکتريکي مورد نياز که به هزينه هاي فوق بايد هزينه ي سوخت اين ژنراتورها، تاسيسات مربوط به ذخيره سازي سوخت، هزينه هاي مربوط به معدوم نمودن سوخت باقي مانده هنگامي که ديگر نيازي به آن نيست.

فايروال هاي آماده ي VoIP و ويژگي هاي امنيتي VoIP
 

فايروال هاي آماده ي VoIP و ديگر مکانيسم هاي حفاظتي بايد گسترش يابند. سازمانها بايد قادر باشند ويژگي هاي حفاظتي سيستم هاي VoIP خود را استفاده و بطور منظم آزمايش نمايند.
به خاطر وجود نقاط ضعف ذاتي (نظير گذردهي بسته هاي ردياب) که هنگام انجام عمليات تلفني از طريق يک شبکه ي پکت، سيستم هاي VoIP بايد يک آرايش متحد و يکپارچه از پروتکلها و ويژگيهاي امنيتي پديد آورد. خط مشي امنيتي سازمان بايد ايجاب کند که اين ويژگي ها مورد استفاده ي کاربران قرار مي گيرد. اقدامات اضافي، که در اين مقاله درباره ي آنها صحبت به ميان آمد نيز بايد به سيستم هاي امنيتي افزوده شوند. بطور خاص، فايروال هايي که براي پروتکلهاي VoIP طراحي شده اند يک مولفه ي ضروري براي يک سيستم VoIP امنيتي مي باشند.

محدوديت سيستم هاي تلفن نرم افزاري
 

در صورت امکان، سيستم هاي تلفن نرم افزاري، که با استفاده از يک کامپيوتر شخصي، يک گوشي و ميکروفون و يک نرم افزار ويژه نظير SKYPE از سيستم VoIP بهره مي گيرند، بايد در جاهايي که از نقطه نظر امنيتي، داراي ايمني کمي هستند بکار گرفته نشوند، زيرا ويروسها، کرمها، و نرم افزارهاي مخرب همواره آماده ي حمله به کامپيوترهاي شخصي هستند که به اينترنت متصل مي شوند، و همانطور که مي دانيد دفاع در برابر اين عاملين مزاحم براي کامپيوترهاي شخصي تا چه حد دشوار است.
نقاط ضعف مرورگرهاي وب که به خوبي شناخته شده اند باعث مي شود تا مهاجمين به راحتي بدون اينکه کاربر متوجه شود نرم افزارهاي مخرب را بر روي سيستم وي دانلود نمايند، حتي اگر کاربر کار خاصي انجام ندهد و صرفاً از وبسايت ها ديدن کند. نرم افزارهاي مخرب پيوست شده به پيام هاي ايميل مي توانند بدون آنکه کاربر متوجه شود بر روي سيستم آنها نصب شوند، در برخي حالتها حتي اگر کاربر فايلهاي پيوستي را نگشايد، باز هم اين نرم افزارها قادرند روي سيستم شما نصب گردند.
اين نقاط ضعف ناشي از اين خطرات سبب مي شوند تا استفاده از تلفنهاي نرم افزاري براي ايجاد سايتهاي VoIP مورد توجه قرار نگيرند. علاوه بر اين، چون کامپيوترهاي شخصي روي شبکه ي داده ها فعاليت دارند، يک سيستم تلفن نرم افزاري با نياز جهت جداسازي شبکه هاي داده و صدا براي ايجاد بيشترين فضاي عملياتي در تعارض است.

حفاظت سيستم هاي همراه روي سيستم VoIP
 

اگر واحدهاي همراه با سيستم VoIP مجتمع شوند، از محصولاتي استفاده کنيد که از (WPA (WiFi Protected Access)) به جاي (WEP 802.11 (Wired Equivalent Privacy)) بهره مي گيرند.
ويژگي هاي امنيتي WEP 802.11 حفاظت ضعيفي را در برابر حملات از خود نشان مي دهند و گاهي در برابر حملات شاهد عکس العملي نخواهيد بود زيرا WEP به کمک نرم افزارهايي که در دسترس عموم قرار دارند به راحتي شکسته مي شود. WPA (WiFi Protected Access) اخير که يک تصوير لحظه اي از استاندارد 802.11i مي باشد، بهبود وضعيت گسترده اي در بخش امنيت را عرضه مي دارد، و مي تواند کمک خوب براي يکپارچگي فناوري بي سيم با سيستم هاي VoIP باشد.
NIST قوياً پيشنهاد مي کند که ويژگي هاي امنيتي WPA (يا WEP در صورتيکه WPA در دسترس نباشد) بصورت بخشي از يک استراتژي دفاعي عمقي کل بکار برده شود. عليرغم ضعف هايشان، مکانيسم هاي امنيتي 802.11 تا حدي امنيت سيستم را در برابر دسترسي هاي غيرمجاز و مخرب و يا ديگر فعاليت هاي کاوشي برقرار سازند. اما، اتحاديه ي استاندارده پردازش اطلاعات (FIPS) 140-2 ، نيازمنديهاي امنيتي درخصوص حدود و ميزان رمز گذاري، براي آژانسهاي متحد که مشخص نموده اند اطلاعات بايد بوسيله ي ابزار رمزنگار محافظت گردند، اجباري است. با بررسي هاي انجام شده مشخص گرديده که نه WEP و نه WPA داراي استانداردهاي FIPS 140-2 نمي باشند. در اين حالتها، ضروري به نظر مي رسد که کاربردها و پروتکلهايي که از مرتبه ي بالاتر رمزنگاري گرديده اند، بکار برده شوند، نظير (SSH (Secure Shell))، ((TLS (Transport Level Security )) ، يا (IPsec (Internet Protocol Security)) با حدود رمزگذاري معتبر FIPS 140-2 و الگوريتمهاي مربوطه جهت حفاظت اطلاعات، بدون در نظر گرفتن اين موضوع که آيا پروتکل هاي امنيتي مرتبط با داده هاي نامعتبر مورد استفاده قرار مي گيرند يا خير.

ايجاد رضايت با قانون حفظ ثبت/ اختفا
 

نيازمنديهاي قانوني را به دقت و با رعايت حفظ حق ثبت و کمک يک مشاور قانوني، بازنگري نماييد.
اگر چه موضوعات قانوني مربوط به VoIP در فراسوي بحث ما قرار دارد ولي خوانندگان اين مطلب بايد آگاه باشند که قوانين و موازين حاکم بر اين سيستم ها حاکم است که کنترل و رديابي خطوط VoIP را بررسي مي نمايند و هر گونه تماس را ثبت مي نمايند، البته شايد اساس کار در اين سيستم ها کمي با سيستم هاي تلفن رايج متفاوت باشد. سازمانها بايد اين موارد را با يک مشاور قانوني و ماهر در ميان بگذارند.

ميزان نقاط ضعف VoIP
 

هرکس اين موضوع را مي داند که VoIP پيشرفت و رشد بسيار سريعي را تجربه کرده است. ممکن است باعث تعجب شما شود اگر بدانيد بيش از 30 درصد آمد و شدهاي صوتي با فناوري VoIP (IDC) انتقال مي يابد. توسعه ي بيشتر اين فن آوري چالش هاي جديدي را نيز به همراه دارد که يکي از آن موارد امنيت شبکه ي شما مي باشد.
چون شبکه هاي آي پي در معرض حمله هاي خودکار و پيچيده قرار دارند، در نتيجه آمد و شد صدا روي اين شبکه ها بسيار آسيب پذير خواهد بود، اين جملات بخشي از گفته هاي ديويد فريلي (David Fraley)، نويسنده ي جنگ هاي اينترنتي ميباشد، وي همچنين اظهار داشته است که: VoIP و همگرايي آسيب پذيري را افزايش مي دهند.
در واقع، مرکز هماهنگ سازي زيرساختار ملي انگلستان (NICC: (National Infrastructure Coordination Center)) يافته هاي خود را منتشر ساخته که در آنها ذکر شده تجهيزات بسياري از فروشندگان که استاندارد پروتکل H.323 را براي تلفنهاي آيپي بکار مي برند شامل خطاها و نقص هايي است که مهاجمين به راحتي مي توانند آنها را شناسايي نمايند. (براي آگاهي از جزئيات بيشتر مي توانيد به سايت زير مراجعه فرماييد:
www.uniras.gov.uk/2004/006489/h323.htm
بر اساس آزمايش هاي انجام گرفته بوسيله ي NICC، اين نقاط ضعف مي توانند محصولاتي که با اين سيستم ها سر و کار دارند را با خطرهاي زير مواجه سازند:
حمله هاي خارج نمودن از سيستم
(Denial-of-Service:DoS)
حمله هايي که باعث پر و سر ريز شدن حافظه مي شوند
اعمال کدهاي مخرب به تجهيزاتي که توسط مهاجم کشف شده اند
بر اساس CA-2004-01 شماره مشورتي CERT (به سايت:
http://www.cert.org/advisories/ca-2004-10.html
مراجعه فرماييد)، شرکت هايي که با اين آسيب پذيريها و نقاط ضعف هنوز دست در گريبان هستند عبارتند از:
Cisco Stonesoft
CheckPoint WatchGaurd
3COM NetScreen
AT&T Nokia
D-Link Microsoft
Extreme Nortel
Foundry Avaya
Fujitsu Alcatel
Hitachi F5
Intel Secure Computing
Juniper Cybergaurd
NEC Symantec

به عنوان نمونه، Cisco به تنهايي تعداد زيادي محصول به بازار عرضه نموده است که داراي نقاط ضعف و آسيب پذير در پردازش پيامهاي H.323 مي باشند.
همه ي محصولات Cisco که نرم افزار Cisco IOS را اجرا مي نمايند و پردازش بسته هاي H.323 را پشتيباني مي نمايند.
http://www.cisco.com/warp/public/707/cisco-sa-20040113-h323.shtml#process)
عبارتند از:
IOS Firewall
IOS Network Address Transition
Call Manager
Conference Connection
7905 IP Phone
BTS 10200 Softswitch
Internet Service Node
H.323 Gateway,H.323 Gatekeeper
ATA 18x Series Analog Telephony
در برخي حالتها، Cisco تصميمي مبني بر اصلاح نقاط آسيب پذير که تاکنون در محصولات اين شرکت شناسايي شده اند، ندارد.
براي ياري رساندن به شما در ارتباط با سرشت آسيب پذير ذاتي VoIP، بايد اين نکته را يادآور شويم که تعداد تهاجم هاي موجود که در برابر يک VoIP صف آرايي کرده اند به مراتب بيشتر از تهاجمات مربوط به يک شبکه ي استاندارد مي باشد. در بخش بعدي برخي از اين تهاجمات را فهرستوار بيان مي کنيم.
 

حمله هاي VoIP
 

هميشه در نظر داشته باشيد که انواع تهاجمات به سيستم VoIP شما که CVE ها مي توانند آسيب پذير سازند شامل موارد زير مي باشند:
شخص سومي در ميانه ي خط ارتباطي (شنود و دگرگوني اطلاعات ارسالي)
خارج نمودن از سرويس (DoS)
کشف درگاهها
کشف نقاط انتهايي - جعل هويت

موضوعات امنيتي و QoS
 

کيفيت خدمات (Quality of Service :QoS) به سرعت و شفافيتي که شما از مکالمات VoIP انتظار داريد، اشاره دارد. حمله هاي QoS به نسبت ديگر حمله ها به راحتي مي تواند راه خود را بگشايد و از سيستم هاي دفاعي عبور کند، بدون آنکه يک هکر نياز داشته باشد به نقاط انتهايي شبکه دسترسي يابد - ديگر نيازي نيست هکر تمام شبکه را از کار بياندازد، هکر فقط مي تواند سرعت آمد و شد مکالمات در شبکه را پايين آورد.
ايستادگي در برابر حمله هاي QoS کاري بس دشوار است: با بکارگيري اقدامات امنيتي مناسب نظير فايروالها و رمزنگاري باز هم VoIP شما نسبت به تأخير و خطا در ارسال ضعف دارد.

تأخير زماني (Latency)
 

تأخير زماني، به مدت زماني بين اداي کلمه توسط گوينده و دريافت صدا در ديگر سوي خط توسط شنونده، گفته مي شود. در بيشتر حالتها تأخير زماني بيشتر از 150 ميلي ثانيه قابل قبول نمي باشد.

خطا در ارسال (Jitter)
 

خطا در ارسال، يک سري از تأخيرهاي غير يکنواخت پيش آمده در ارسال صدا مي باشد. اين تأخير پيش آمده به حافظه در انتهاي خط و ميزان ذخيره سازي عمليات ارسال و دريافت صدا بستگي دارد. افزايش ميزان اخلال در ارسال و دريافت باعث مي شود مکالمه به سختي انجام پذيرد زيرا امکان از بين رفتن بسته هاي حامل صوت وجود دارد و گاهي اين بسته ها با تاخير فراوان به شنونده مي رسند.

از دست دادن بسته ها
 

VoIP به شدت به از دست دادن بسته هاي حامل صوت حساس است. از دست دادن حتي 1% از کل بسته ها مي تواند ارتباط را بطور کل مختل نمايد. تأخير و اخلال در ارسال و دريافت بسته ها مي تواند باعث ايجاد از دست دادن بسته هاي مجازي گردد (Virtual Packet Loss)، بعبارت ديگر بسته هاي صوتي بعد فرجه ي زماني در نظر گرفته شده براي آنها به مقصد مي رسند، در اين حالت با اينکه بسته به مقصد رسيده است ولي اطلاعات حاوي اين بسته ديگر به کار گيرنده ي آن نمي آيد، پس عملاً اين بسته را مي توان بعنوان يک بسته ي سوخته و به درد نخور در نظر گرفت.

فايروال ها، مسيرياب هاي NAT، و رمزنگاري
 

Old Stand-BY به آن اندازه که مورد استفاده بودند قابل اطمينان نمي باشند:
فايروال ها، مسيرياب هاي
NAT (Network Address Translation) ، رمزنگاري فقدان موارد زير را احساس مي نمايند:
نمي توانند در يک شبکه ي VoIP بدون در نظر گرفتن تميدات خاص استفاده شوند - مولفه هاي استاندارد براي الگوي آمد و شد بسته هاي کوچک/ با سرعت بالا VoIP
کاهش کيفيت سرويس به دليل اخلال و تاخير در ارسال و دريافت، و از دست دادن بسته هاي صوتي
آنها با ممانعت از برقراري تماس ورودي از فرآيند ايجاد تماسها جلوگيري مي کنند.

فايروال ها
 

فايروال ها با فيلتر نمودن آمد و شدهاي مخرب بر اساس يک سري از قوانين براي حفاظت از شبکه ها از حمله هاي خارجي، به شدت موردنياز هستند. آنها همچنين از سدهاي بين شبکه هاي صدا و داده ها حفاظت مي نمايند.

فايروال ها و QoS
 

بررسي هاي آمد و شدها توسط فايروال خود سبب ايجاد تاخير در ورود و خروج بسته ها به سيستم مي شود و ترافيک سنگين داده ها مي تواند سبب بروز اخلال در ارسال شود، که اين امر سبب کاهش SoQ مي گردد.
براي حل اين معضل، فايروال ها را با CPU هاي پرسرعت استفاده نماييد تا آهنگ ارسال و دريافت داده ها بيشتر گردد. از فايروال هاي سازگار با SoQ در سيستم هاي خود بهره جوييد.

IPsec
 

در IPsec, ESP Tunnel Mode هم از داده ها حفاظت مي نمايد و هم از مشخصات نقاط انتهايي. IPsec يک رشته ي رمزنگاري استاندارد براي پروتکل اينترنت است و بطور کامل در IPv6 پشتيباني مي گردد.
IPsec داراي مشکلاتي نيز مي باشد که آنها را بطور فهرست وار بيان مي کنيم:
رمزنگاري مي تواند براي حفاظت داده هاي صوتي بکار گرفته شود و از مسايل مربوط به فايروال ها دوري جويد
رمزنگاري خود باعث تأخير زماني و اخلال مي گردد
رمزنگاري و رمزگشايي خود باعث اتلاف وقت مي شوند
نرم افزارهايي که وظيفه ي سازمان دهي موتورهاي رمزنگار با QoS در تعارض مي باشند
راه حل هايي که براي اين مشکلات مي توان عنوان کرد بدين صورت است که طرح هاي فشرده از بسته ها که بطور عملي کارآيي را افزايش داده اند. برنامه ريزي سازگار با SoQ قبل و بعد از رمز نگاري بطرز شگفت آوري سيستم را افزايش مي دهد.

برگردان آدرس شبکه (NAT)
 

برگردان آدرس شبکه (NAT) به اين منظور استفاده مي گردد که به پايانه هاي چندگانه اجازه دهد تا يک آدرس آي پي را بطور مشارکتي استفاده نمايند. اين امر سبب مي شود اقدامات امنيتي در مسيرياب NAT تقويت گردند و اطلاعات ساختار شبکه ي داخلي مخفي باقي بماند.
مشکلي که در خصوص NAT و فايروال ها وجود دارد اين است که هر دو تماس هاي ورودي را مسدود مي کنند. براي فرار از اين مشکل شما مي توانيد يکي از دو روش زير را بکار بريد:
در گاه سطح کاربرد (Application Level Gateway)
پروکسي کنترل فايروال

قطع برقراري تماس VoIP
 

دو پروتکل متناقض براي برقراري تماس هاي VoIP عبارتند از H.323 و SID. پروتکل H.323 متشکل از چندين پروتکل ويژه است. آن از درگاه هاي پويا و رمزنگاري دو دوئي استفاده مي نمايد. SID يک پروتکل ساده تراست که روي يک درگاه اجرا مي شود که نحوه ي کارکرد آن بصورت علامت دادن سه مرحله اي است (Three Way Handshake). اين پروتکل فقط از يک درگاه استفاده مي نمايد و متون را رمزنگاري مي نمايد.
فايروال ها مي توانند درگاه هايي که در برقراري تماس دخيل هستند را مسدود نمايند و NAT مي تواند درگاه ها/ آدرس آيپي که بصورت داخلي مورد استفاده است را تغيير دهد. در نتيجه هر دوي آنها مي توانند مانع از برقراري تماس شوند.
براي جلوگيري از چنين مشکلاتي، يک ALG يا FCP را در طراحي خود بکار بريد که بتوان برقراري ارتباط توسط داده هايي که به صورت بسته هاي کوچک يا همان Packet data هستند را کنترل نمود.

اکنون شما جه کاري بايد انجام دهيد؟
 

کاري که شما بايد انجام دهيد حفاظت سيستم VoIP خود مي باشد که موارد ذيل را شامل مي شود:
گسترش ابزار شبکه
حفاظت داده هاي صوتي
مقابله در برابر ربايندگان مشخصات
گسترش ابزار شبکه
شما بايد LAN هاي مجازي ايي را به منظور تفکيک آمد و شد داده ها و صوت در فضاي آدرس قابل تشخيص و مجزا ايجاد نماييد (شبکه هاي يگانه ي فيزيکي مورد نظر نمي باشند).
اين اقدامات پيشگيرانه هم باعث کاهش خطر رديابي داده ها در سيستم VoIP مي شود و هم IDS شما را براي داده ها و صوت بطور مجزا تنظيم مي کند.
از آرايش ها و طراحي هاي فايروال ها براي عبور و مرور VoIP استفاده نماييد.
در درگاه صدا، که با PSTN مشترک است، ارتباط H.323، SIP، يا MGCP را با شبکه ي داده ها قطع نماييد.

حفاظت داده هاي صوتي
 

بهترين راه براي حفاظت از داده هاي صوتي زماني که درون شبکه ي VoIP سير مي کنند، هدايت اين داده ها مي باشد:
در صورت امکان از تلفن هاي نرم افزاري که بر روي کامپيوتر شخصيتان نصب شده استفاده ننماييد.
شبکه ي صدا و داده ها را از يکديگر تفکيک کنيد
تا حد ممکن از کنترل دسترسي و رمزنگار استفاده نماييد
از IPsec و SSH براي همه ي مديريت هاي راه دور استفاده نماييد و همه ي دسترسي ها به شبکه ي خود را بازرسي نماييد
درگاه ها و مسيرياب ها را رمزنگاري کنيد، فقط به نقاط ابتدا و انتهاي شبکه اکتفا ننماييد

دفاع در برابر ربايندگان مشخصات سيستم
 

اولين دفاع در برابر ربايندگان مشخصات استفاده از سيستم معتبر و قانوني و بکارگيري فايروال هايي است که براي سيستم هاي VoIP طراحي شده اند تا حمله ها را شناسايي و مسدود نمايد. حداقل، همه ي ثباتها نيازمند تاييد MD5 digest مي باشند و براي آنها کلمه عبور مناسبي را اختيار کنيد. دقت کنيد که کلمه هاي عبور نبايد بطور خودکار انتخاب شوند (نظير نام با يک پسوند و يا پيشوند، شايد توجه کرده باشيد هنگام ثبت نام کاربري براي ساخت ايميل، گاهي نام کاربري که شما انتخاب کرده ايد از سوي سيستم رد مي شود و نام ديگري توسط سيستم به شما پيشنهاد مي شود که برگرفته شده از نام کاربري است که شما ابتدا وارد نموديد به علاوه ي يک پسوند يا پيشوند). اين ترفندها به شما کمک مي کند تا از حمله هاي Dictionary-Style در امان باشيد (يادداشت مترجم: Dictionary-Style attack عبارت است تکنيکي براي از کار انداختن مکانيسم تشخيص هويت بوسيله ي تلاشهاي مکرر براي تعيين عبارت عبور و يا آشکارسازي دکمه هايي که کلمه عبور با آنها تايپ مي شود، در اين روش مهاجم سعي مي کند با استفاده از واژه هايي که در اختيار دارد، کلمه عبور را پيدا کند). ثباتها بايد از پروتکل ها با سنديت بسيار قوي استفاده نمايند نظير آنچه TLS فراهم کرده است. (يادداشت مترجم: TLS عبارت است از Transport Layer Security لايه اي است براي رمزگزاري و ارائه ي خدمات معتبر که مي تواند هنگام فاز راه اندازي بيشتر پروتکل ها مانند: POP3, IMAP, LDAP, SMTP مورد بحث و بررسي قرار گيرد).
راه حل امنيتي مصوبه ي IETF (Internet Engineering Task Force) استفاده از ترکيب MD5 digest, TLS و کلمه هاي عبور قوي مي باشد. تمام ثبت نام ها از شبکه ي خارجي تا حد امکان بايد از کار انداخته شوند - يا حداقل به مجموعه ي کوچکي از UAهاي خارجي محدود شوند، اينکه چه کساني نياز قانوني به ثبت نام از شبکه ي خارجي دارند. Max-Forward Header Limits و ديگر تکنيک ها مي توانند براي آشکار سازي حمله هاي خارجي مورد استفاده قرار گيرند، اما اين حدود زياد متداول نيستند. از ميان موضوعات امنيتي مربوط به VoIP ربودن اطلاعات ثبت شده جديدترين مورد مي باشد. مهاجمي که با موفقيت اطلاعات ثبت شده در سازمان شما ربوده، مي تواند تماسها با سازمان يا از سازمان شما را مسدود، ضبط، و يا دستکاري نمايد. اين يک خطر بسيار جدي است که شما بايد آنرا در نظر داشته باشيد.

VoIP خود را در برابر تهاجمات مستحکم نماييد
 

بازسازي مداوم نقاط ضعف معمول و نقاط باز (CVE) آزمايشي است که نشان مي دهد همه ي اطلاعات امنيتي مربوط به حرفه ي شما تا چه حد در شبکه ي VoIP حفاظت مي شوند. ترميم نقاط ضعف به شما کمک مي نمايد که همچنان در استفاده از قوانين مربوطه شامل، E-Sign, 21CFR FDA11, HIPPA, GLBA و SOX-404 راسخ باشيد.
مديريت CVE کليدي براي تحکيم VoIP و حذف کاستيها و نقصها از کامپيوتر و تجهيزات شبکه بندي شما است. سه راه حل وجود دارد که با انجام آنها VoIP شما مستحکمتر خواهد شد:
مديريت پيکربندي
مديريت دريافت اصلاحيه هاي مربوط به سيستم
مديريت نقاط ضعف
CVE ها خصوصاً براي VoIP در حال گسترش هستند. با استفاده از سيستم مديريت آسيب پذيري خودکار اين نقاط را شناسايي و ترميم نماييد، به اين روش شما مي توانيد خطرپذيري سيستم VoIP خود را در برابر تهاجمات از طريق نقاط ضعف سيستم کاهش دهيد.
اگر شما راهي را بيابيد که کمک کند اين فرآيند بطور خودکار اجرا شود، مي توانيد اطمينان حاصل کنيد که نقاط ضعف سيستم شما شناسايي و ترميم مي شوند. اگر راهي که شما انتخاب نموده ايد توسط MITRE مورد تاييد نبود، قاعدتاً با CVEهاي استاندارد سازگاري نخواهد داشت.
MITRE بوسيله ي دپارتمان امنيت کشور ايالات متحده و به منظور مديريت استانداردهاي صنعتي، پايه ريزي شد - پايگاه داده ها در همه ي کامپيوترها و تجهيزات شبکه بندي در معرض خطر قرار دارند. در اينترنت لوگوي MITRE را جستجو کنيد. اطلاعات مربوط به محصولات و خدمات را مي توانيد در سايت http://cve.mitre.org و http://nvd.nist.gov بيابيد. هر روز تعدادي CVE جديد به ليست موجود در سايت http://cve.mitre.org افزوده مي شود. صفحه ي اصلي اين سايت حاوي اطلاعاتي است که به شما کمک مي کند تا در برابر مهاجمان مقابله کنيد و خطرات مربوط به شبکه ي خود را کاهش دهيد. با دانستن اين CVEها شما مي توانيد هر CVE را بر روي شبکه ي خود پيدا کنيد و سپس مي توانيد راهي براي مسدود کردن هر مسير بازي که به مهاجمين اجازه ي نفوذ مي دهد، بيابيد.

محافظت در برابر سوء استفاده گران CVE
 

چهار نکته ي کليدي وجود دارد که با انجام آنها مي توانيد از سيستم خود در برابر مهاجميني که از CVEها استفاده مي کنند محافظت نماييد:
شناسايي آنچه به شما تعلق دارد
بررسي VoIP خود براي CVEها
درها را در برابر بهره برداري از CVEها قفل نماييد
CVEهاي خود را پاک نماييد

آنچه به شما تعلق دارد را شناسايي نماييد
 

آيا شما خط مشي و سيستم هايي را تعبيه کرده ايد که همه ي دارايي هاي شما روي شبکه را شناسايي نمايد؟ شما بايد خط مشي اي داشته باشيد که نشان دهد آيا شما اجازه مي دهيد لپ تاپ ها در درون و بيرون از دفتر شما به سيستم شما متصل شوند يا خير. براي نمونه، شما ممکن است نياز داشته باشيد که همه ي لپ تاپ ها روي شبکه ي متعلق به شرکت اجازه ي کار داشته باشند، به جاي آنکه يک کامپيوتر شخصي از منزل به شبکه ي شما متصل شود. آيا همه ي ميزبانان به فايروال، آنتي ويروس، آنتي اسپايوير و فايل هاي اصلاحيه ي مربوط به شبکه و همچنين فايلهايي که به روز رساني شده اند، نياز دارند؟ در خصوص مسيريابهاي بي سيم و LANهاي بي سيم ad hoc وضعيت به چه گونه است؟ آيا شما درگاه ها را بررسي مي نماييد تا مطلع شويد که تجهيزات بي سيم جديد و يا حتي سرورها به شبکه ي شما متصل شده اند يا خير؟ پاسخ هاي شما به اين سوالات براي حفاظت سيستم در برابر کساني که از CVEها ضد شما استفاده مي کنند، بسيار حياتي است.

بررسي VoIP شما براي CVEها
 

ابزاري مانند Google Security NAC wall بيابيد، يا با استفاده از کلمات کليدي مشابه شما شرکتها محصولاتي در اين زمينه خوهيد يافت. ارزيابي اي را بين محصولات تجاري و برنامه هايي که کدهاي اصلي آن بطور رايگان در اختيار عموم قرار دارد (به آن دسته از برنامه ها که کدهاي اصلي آن بطور رايگان در اختيار کاربران قرار مي گيرد Open Source مي گويند در اينجا ما به اختصار اين برنامه ها را با نماد OS نشان مي دهيم). اگر شما فايروال خود را از سيستم هاي برنامه نويسي پيشرفته ساختيد، به دنبال نرم افزارهاي OS باشيد، در غير اينصورت يک شرکت که بتوانيد به آنها اطمينان کنيد را انتخاب نماييد و از شبکه ي شرکت مذکور استفاده نماييد. ضمناً اطمينان حاصل کنيد ابزاري که در اختيار گرفته ايد به هيچوجه به بخشهاي آفلاين شما کاري ندارد و اينکه مرتب سيستم را اسکن نمايند و گزارشي از CVEهاي جديد در اختيار شما قرار دهند.

درها را در برابر بهره برداري از CVEها قفل نماييد
 

فايروال شما بهترين ابزار پيشگيري از ورود مهاجمان است. فهرست مربوط به فايروال را بازنگري کنيد - به دنبال آمد و شدهاي مشکوک باشيد. همچنين مطمئن شويد که واسطه ي VPN به درستي نصب شده باشد و بدانيد چه کسي از آن استفاده مي نمايد، آيا کاربري که وارد شبکه شده از يک مسير حفاظت شده آمده است يا از طريق يک کامپيوتر نامطمئن به شبکه پيوسته است. با پيکربندي جدول قوانين خود در ارتباط با بهره برداري از CVE، شما مي توانيد يک قدم از هکرها جلوتر باشيد. براي مثال، چرا شما آمد و شدها مربوط به درگاه هايي را که هيچگاه استفاده نمي کنيد مسدود نمي نماييد - درگاه 445 مورد استفاده MSBlast و Sasser هستند. آيا شما نياز داريد که اين درگاه در فايروال شما باز باشد؟ به کامپيوترهايي که CVE دارند نگاهي بياندازيد - چه مدت طول مي کشد تا CVEهاي آنها مرتفع گردند و چه درگاه هايي بايد باز بماند؟ جدول خود را به روزرساني نماييد. به همه فايروال هاي اصلاحيه اعتماد نکنيد. سيستم VoIP خود را مجدداً براي CVEهاي مشابه و جديد بازرسي نماييد و اين فرآيند را هر روز تکرار کنيد.

CVEهاي VoIP خود را پاک نماييد
 

آيا فروشندگاني که اين سيستم ها را به شما عرضه کرده اند فايل هاي اصلاحيه را نيز به شما پيشنهاد مي کنند؟ آيا اين اصلاحيه ها CVEهاي موجود در سيستم شما را رفع کرد؟ اگر جواب مثبت است، بايد گفت خيلي عالي است، و اگر جواب منفي است پس چرا دريافت اينگونه خدمات را که خود به نوعي مامني براي CVEها هستند را متوقف نمي سازيد. برخي از CVEها مي توانند اصلاح شوند در حاليکه برخي ديگر نيازمند باز آرايي هوشمندانه هستند. اطلاعات مربوط به نقاط ضعف سيستم را از روي سيستم هايي که از امنيت کمتري برخوردارند و احتمال حمله ي مهاجمين به آنها وجود دارد پاک نماييد. مانند مرحله ي قبل هر روز اين مراحل را تکرار کنيد.
اگر شما زمان کافي براي انجام اين امور نداريد، يک منشي معتمد، مشاور و يا سرويس دهندگاني که بطور روزانه اين کار را براي شما انجام دهند. پيدا کردن آنها زياد سخت نيست، اکنون شما مي دانيد دنبال چه چيزي هستيد و کجا بايد آنرا جستجو کنيد. ايده ي خوبي است که مطمئن شويد بکارگيري منشي يا سيستم مديريت نقاط ضعف نه فقط CVEها را آشکار مي کند بلکه سيستم هايي که داراي نقاط ضعف هستند را قرنطينه مي سازند تا زماني که ترميم شوند، به اينصورت سيستم VoIP شما از خطر شنود مصون خواهد ماند. سپس اين سيستم بايد با ايجاد نوعي سيستم پشتيبان به ترميم و بازسازي نقاط آسيب پذير رساند.

پيشنهادهاي CERT
 

دانشگاه کارنگي ملون (Carngie Mellon University) به عنوان مرکز هماهنگي CERT فعاليت مي کند، مرکز خبري بزرگ براي مشکلات امنيتي اينترنت. CERT بوسيله ي آژانس پروژه هاي تحقيقاتي پيشرفته ي دفاعي (DARPA :(Defense Advanced Research Projects Agency) ايجاد شد، اين مرکز پيشنهاد مي کند:
مختصات پاسخها به کشف مسائل امنيتي
تشخيص تمايلات به فعاليت هاي جاسوسي و شنود
همکاري با يک کارشناس براي يافتن راه حلهاي مسائل امنيتي
انتشار اطلاعات به انجمني که با شبکه فعاليت مي کنند CERT/CC همچنين نقاط ضعف محصولات را بررسي مي نمايد، اسناد فني را منتشر مي سازد، و يک سري دوره هاي آموزشي برگزار مي کند. CERT همچنين توصيه هايي براي شرکت ها دارد تا به آنها ياري رساند شبکه ي تحت پوشش اين شرکت ها از شر مهاجميني که سعي دارند با استفاده از نقاط ضعف آنها وارد سيستم شوند، در امان بمانند.
بخشي از اين توصيه ها را به صورت خلاصه بيان مي کنيم:
دسترسي به خدمات H.323 که نيازي نيست در معرض استفاده ي همگان قرار گيرند، را مسدود نماييد
دسترسي محدود فقط به ماشين هايي که از H.323 براي اجراي امور حياتي، استفاده مي کنند
دسترسي محدود از هر نوع فقط به مکان هايي از شبکه که مورد نياز است
درنظر داشته باشيد که بازرسي لايه - کاربردي بسته هاي H.323 را بوسيله ي فايروال از کار بياندازيد
ايجاد هماهنگي مناسب بين تلفن ها، کاربردها، شبکه، و نرم افزارها جهت تشخيص و شناسايي هر گونه تهديد به هر بخش از شبکه

خلاصه
 

امنيت VoIP نيازمند سازگار شدن اقدامات امنيتي شبکه ي رايج براي سرعت هاي بالا، و محيط هاي پوياتر.
منبع:ماهنامه ي کامپيوتري بزرگراه رايانه، شماره ي 134



 



نظرات کاربران
ارسال نظر
با تشکر، نظر شما پس از بررسی و تایید در سایت قرار خواهد گرفت.
متاسفانه در برقراری ارتباط خطایی رخ داده. لطفاً دوباره تلاش کنید.
مقالات مرتبط