ملاحظات ويژه براي خدمات 911
ملاحظات ويژه اي بايد براي ارتباطات مربوط به خدمات E-911 درنظر گرفته شود، زيرا خدمات مکانيابي خودکار با سيستم VoIP در بعضي از حالتها قابل حصول نمي باشد.
برخلاف اتصالات تلفنهاي رايج که به يک مکان فيزيکي متصل مي شوند، فناوري سوئيچ شده ي بسته هاي VoIP به يک شماره تلفن خاص اين امکان را مي دهند که در هر کجا وجود داشته باشد، بعبارت بهتر با سيستم تلفن فعلي هر گاه شما با تلفن منزل خويش تماس با يکي از دوستان خود برقرار مي کنيد بلافاصله مکان شما مشخص مي شود، زيرا اين شماره تلفن فقط به يک مکان خاص اختصاص دارد و آن منزل شما است ولي در سيستم VoIP موضوع فرق مي کند شما از هر کجا قادريد با شماره تلفن خود تماس برقرار کنيد. اين ويژگي براي کاربر بسيار مناسب است، زيرا تماسها بطور خودکار به سوي مکاني که کاربر قرار دارد هدايت مي شود، اما سبک و سنگين کردن اين موضوع که آيا اين سيستم هاي بسيار پيچيده براي خدمات E-911 مفيد هستند قدري دشوار به نظر مي رسد، زيرا بايد مکان تماس گيرنده براي اين خدمات مشخص گردد. اگرچه بيشتر فروشندگان VoIP راهکارهاي اجرايي را براي خدمات E-911 ارائه مي دهند، اما مسئولين سازمانها و فروشندگان اين سيستم ها خارج از استاندارد هاي توليدکنندگان خدمات 911 در محيط VoIP، فعاليت مي کنند. سازمانها بايد با دقت موضوعات مربوط به خدمات E-911 را در مقاصد خود براي گسترش VoIP در نظر گيرند.
مگر آنکه شبکه ي VoIP رمزگذاري شود، هر کس با دسترسي فيزيکي به شبکه ي LAN دفتر شما قادر خواهد بود به ابزار مربوط به کنترل شبکه و دامهاي خطوطي تلفن دسترسي يابد و مکالمات را شنود نمايد. اگرچه خطوط تلفنهاي رايج در صورت دسترسي فيزيکي قابل شنود هستند، ولي بايد اذعان داشت که بيشتر دفاتر با محيط VoIP داراي نقاط بيشتري براي دسترسي مهاجمين مي باشند تا آنها بتوانند بي هيچ سوظني به شبکه ي LAN اين دفاتر متصل شوند. حتي اگر شما شبکه را رمزگذاري نماييد، دسترسي فيزيکي به درگاه ها و سرورهاي VoIP ممکن است به مهاجم اين امکان را بدهد تا تحليلي از آمد و شد اطلاعات و مکالمات داشته باشد و بخشهايي را که مربوط به ارتباطات مي شوند را شناسايي نمايد. بنابراين، شما بهتر است مطمئن شويد که امنيت لازم براي عدم دسترسي فيزيکي به مکان مولفه هاي شبکه ي VoIP برقرار است.
اندازه گيريهاي امنيت فيزيکي که شامل موانع و سده، قفلها، دسترسي به سيستم هاي کنترل، و محافظ ها مي شوند خط مقدم دفاعي براي سيستم هاي VoIP محسوب مي شوند. سازمانها بايد اطمينان حاصل کنند که اين اقدامات متقابل فيزيکي خطرات بزرگي چون اعمال رديابها يا ديگر تجهيزات کنترل شبکه را کاهش مي دهند. در غير اينصورت، با نصب يک ردياب نه تنها بخش عمده اي از اطلاعات شما در دسترس مهاجمين خواهد بود بلکه مکالمات شما نيز به راحتي شنود خواهند شد.
به خاطر وجود نقاط ضعف ذاتي (نظير گذردهي بسته هاي ردياب) که هنگام انجام عمليات تلفني از طريق يک شبکه ي پکت، سيستم هاي VoIP بايد يک آرايش متحد و يکپارچه از پروتکلها و ويژگيهاي امنيتي پديد آورد. خط مشي امنيتي سازمان بايد ايجاب کند که اين ويژگي ها مورد استفاده ي کاربران قرار مي گيرد. اقدامات اضافي، که در اين مقاله درباره ي آنها صحبت به ميان آمد نيز بايد به سيستم هاي امنيتي افزوده شوند. بطور خاص، فايروال هايي که براي پروتکلهاي VoIP طراحي شده اند يک مولفه ي ضروري براي يک سيستم VoIP امنيتي مي باشند.
نقاط ضعف مرورگرهاي وب که به خوبي شناخته شده اند باعث مي شود تا مهاجمين به راحتي بدون اينکه کاربر متوجه شود نرم افزارهاي مخرب را بر روي سيستم وي دانلود نمايند، حتي اگر کاربر کار خاصي انجام ندهد و صرفاً از وبسايت ها ديدن کند. نرم افزارهاي مخرب پيوست شده به پيام هاي ايميل مي توانند بدون آنکه کاربر متوجه شود بر روي سيستم آنها نصب شوند، در برخي حالتها حتي اگر کاربر فايلهاي پيوستي را نگشايد، باز هم اين نرم افزارها قادرند روي سيستم شما نصب گردند.
اين نقاط ضعف ناشي از اين خطرات سبب مي شوند تا استفاده از تلفنهاي نرم افزاري براي ايجاد سايتهاي VoIP مورد توجه قرار نگيرند. علاوه بر اين، چون کامپيوترهاي شخصي روي شبکه ي داده ها فعاليت دارند، يک سيستم تلفن نرم افزاري با نياز جهت جداسازي شبکه هاي داده و صدا براي ايجاد بيشترين فضاي عملياتي در تعارض است.
ويژگي هاي امنيتي WEP 802.11 حفاظت ضعيفي را در برابر حملات از خود نشان مي دهند و گاهي در برابر حملات شاهد عکس العملي نخواهيد بود زيرا WEP به کمک نرم افزارهايي که در دسترس عموم قرار دارند به راحتي شکسته مي شود. WPA (WiFi Protected Access) اخير که يک تصوير لحظه اي از استاندارد 802.11i مي باشد، بهبود وضعيت گسترده اي در بخش امنيت را عرضه مي دارد، و مي تواند کمک خوب براي يکپارچگي فناوري بي سيم با سيستم هاي VoIP باشد.
NIST قوياً پيشنهاد مي کند که ويژگي هاي امنيتي WPA (يا WEP در صورتيکه WPA در دسترس نباشد) بصورت بخشي از يک استراتژي دفاعي عمقي کل بکار برده شود. عليرغم ضعف هايشان، مکانيسم هاي امنيتي 802.11 تا حدي امنيت سيستم را در برابر دسترسي هاي غيرمجاز و مخرب و يا ديگر فعاليت هاي کاوشي برقرار سازند. اما، اتحاديه ي استاندارده پردازش اطلاعات (FIPS) 140-2 ، نيازمنديهاي امنيتي درخصوص حدود و ميزان رمز گذاري، براي آژانسهاي متحد که مشخص نموده اند اطلاعات بايد بوسيله ي ابزار رمزنگار محافظت گردند، اجباري است. با بررسي هاي انجام شده مشخص گرديده که نه WEP و نه WPA داراي استانداردهاي FIPS 140-2 نمي باشند. در اين حالتها، ضروري به نظر مي رسد که کاربردها و پروتکلهايي که از مرتبه ي بالاتر رمزنگاري گرديده اند، بکار برده شوند، نظير (SSH (Secure Shell))، ((TLS (Transport Level Security )) ، يا (IPsec (Internet Protocol Security)) با حدود رمزگذاري معتبر FIPS 140-2 و الگوريتمهاي مربوطه جهت حفاظت اطلاعات، بدون در نظر گرفتن اين موضوع که آيا پروتکل هاي امنيتي مرتبط با داده هاي نامعتبر مورد استفاده قرار مي گيرند يا خير.
اگر چه موضوعات قانوني مربوط به VoIP در فراسوي بحث ما قرار دارد ولي خوانندگان اين مطلب بايد آگاه باشند که قوانين و موازين حاکم بر اين سيستم ها حاکم است که کنترل و رديابي خطوط VoIP را بررسي مي نمايند و هر گونه تماس را ثبت مي نمايند، البته شايد اساس کار در اين سيستم ها کمي با سيستم هاي تلفن رايج متفاوت باشد. سازمانها بايد اين موارد را با يک مشاور قانوني و ماهر در ميان بگذارند.
چون شبکه هاي آي پي در معرض حمله هاي خودکار و پيچيده قرار دارند، در نتيجه آمد و شد صدا روي اين شبکه ها بسيار آسيب پذير خواهد بود، اين جملات بخشي از گفته هاي ديويد فريلي (David Fraley)، نويسنده ي جنگ هاي اينترنتي ميباشد، وي همچنين اظهار داشته است که: VoIP و همگرايي آسيب پذيري را افزايش مي دهند.
در واقع، مرکز هماهنگ سازي زيرساختار ملي انگلستان (NICC: (National Infrastructure Coordination Center)) يافته هاي خود را منتشر ساخته که در آنها ذکر شده تجهيزات بسياري از فروشندگان که استاندارد پروتکل H.323 را براي تلفنهاي آيپي بکار مي برند شامل خطاها و نقص هايي است که مهاجمين به راحتي مي توانند آنها را شناسايي نمايند. (براي آگاهي از جزئيات بيشتر مي توانيد به سايت زير مراجعه فرماييد:
www.uniras.gov.uk/2004/006489/h323.htm
بر اساس آزمايش هاي انجام گرفته بوسيله ي NICC، اين نقاط ضعف مي توانند محصولاتي که با اين سيستم ها سر و کار دارند را با خطرهاي زير مواجه سازند:
حمله هاي خارج نمودن از سيستم
(Denial-of-Service:DoS)
حمله هايي که باعث پر و سر ريز شدن حافظه مي شوند
اعمال کدهاي مخرب به تجهيزاتي که توسط مهاجم کشف شده اند
بر اساس CA-2004-01 شماره مشورتي CERT (به سايت:
http://www.cert.org/advisories/ca-2004-10.html
مراجعه فرماييد)، شرکت هايي که با اين آسيب پذيريها و نقاط ضعف هنوز دست در گريبان هستند عبارتند از:
Cisco Stonesoft
CheckPoint WatchGaurd
3COM NetScreen
AT&T Nokia
D-Link Microsoft
Extreme Nortel
Foundry Avaya
Fujitsu Alcatel
Hitachi F5
Intel Secure Computing
Juniper Cybergaurd
NEC Symantec
شخص سومي در ميانه ي خط ارتباطي (شنود و دگرگوني اطلاعات ارسالي)
خارج نمودن از سرويس (DoS)
کشف درگاهها
کشف نقاط انتهايي - جعل هويت
ايستادگي در برابر حمله هاي QoS کاري بس دشوار است: با بکارگيري اقدامات امنيتي مناسب نظير فايروالها و رمزنگاري باز هم VoIP شما نسبت به تأخير و خطا در ارسال ضعف دارد.
فايروال ها، مسيرياب هاي
NAT (Network Address Translation) ، رمزنگاري فقدان موارد زير را احساس مي نمايند:
نمي توانند در يک شبکه ي VoIP بدون در نظر گرفتن تميدات خاص استفاده شوند - مولفه هاي استاندارد براي الگوي آمد و شد بسته هاي کوچک/ با سرعت بالا VoIP
کاهش کيفيت سرويس به دليل اخلال و تاخير در ارسال و دريافت، و از دست دادن بسته هاي صوتي
آنها با ممانعت از برقراري تماس ورودي از فرآيند ايجاد تماسها جلوگيري مي کنند.
براي حل اين معضل، فايروال ها را با CPU هاي پرسرعت استفاده نماييد تا آهنگ ارسال و دريافت داده ها بيشتر گردد. از فايروال هاي سازگار با SoQ در سيستم هاي خود بهره جوييد.
IPsec داراي مشکلاتي نيز مي باشد که آنها را بطور فهرست وار بيان مي کنيم:
رمزنگاري مي تواند براي حفاظت داده هاي صوتي بکار گرفته شود و از مسايل مربوط به فايروال ها دوري جويد
رمزنگاري خود باعث تأخير زماني و اخلال مي گردد
رمزنگاري و رمزگشايي خود باعث اتلاف وقت مي شوند
نرم افزارهايي که وظيفه ي سازمان دهي موتورهاي رمزنگار با QoS در تعارض مي باشند
راه حل هايي که براي اين مشکلات مي توان عنوان کرد بدين صورت است که طرح هاي فشرده از بسته ها که بطور عملي کارآيي را افزايش داده اند. برنامه ريزي سازگار با SoQ قبل و بعد از رمز نگاري بطرز شگفت آوري سيستم را افزايش مي دهد.
مشکلي که در خصوص NAT و فايروال ها وجود دارد اين است که هر دو تماس هاي ورودي را مسدود مي کنند. براي فرار از اين مشکل شما مي توانيد يکي از دو روش زير را بکار بريد:
در گاه سطح کاربرد (Application Level Gateway)
پروکسي کنترل فايروال
فايروال ها مي توانند درگاه هايي که در برقراري تماس دخيل هستند را مسدود نمايند و NAT مي تواند درگاه ها/ آدرس آيپي که بصورت داخلي مورد استفاده است را تغيير دهد. در نتيجه هر دوي آنها مي توانند مانع از برقراري تماس شوند.
براي جلوگيري از چنين مشکلاتي، يک ALG يا FCP را در طراحي خود بکار بريد که بتوان برقراري ارتباط توسط داده هايي که به صورت بسته هاي کوچک يا همان Packet data هستند را کنترل نمود.
گسترش ابزار شبکه
حفاظت داده هاي صوتي
مقابله در برابر ربايندگان مشخصات
گسترش ابزار شبکه
شما بايد LAN هاي مجازي ايي را به منظور تفکيک آمد و شد داده ها و صوت در فضاي آدرس قابل تشخيص و مجزا ايجاد نماييد (شبکه هاي يگانه ي فيزيکي مورد نظر نمي باشند).
اين اقدامات پيشگيرانه هم باعث کاهش خطر رديابي داده ها در سيستم VoIP مي شود و هم IDS شما را براي داده ها و صوت بطور مجزا تنظيم مي کند.
از آرايش ها و طراحي هاي فايروال ها براي عبور و مرور VoIP استفاده نماييد.
در درگاه صدا، که با PSTN مشترک است، ارتباط H.323، SIP، يا MGCP را با شبکه ي داده ها قطع نماييد.
در صورت امکان از تلفن هاي نرم افزاري که بر روي کامپيوتر شخصيتان نصب شده استفاده ننماييد.
شبکه ي صدا و داده ها را از يکديگر تفکيک کنيد
تا حد ممکن از کنترل دسترسي و رمزنگار استفاده نماييد
از IPsec و SSH براي همه ي مديريت هاي راه دور استفاده نماييد و همه ي دسترسي ها به شبکه ي خود را بازرسي نماييد
درگاه ها و مسيرياب ها را رمزنگاري کنيد، فقط به نقاط ابتدا و انتهاي شبکه اکتفا ننماييد
راه حل امنيتي مصوبه ي IETF (Internet Engineering Task Force) استفاده از ترکيب MD5 digest, TLS و کلمه هاي عبور قوي مي باشد. تمام ثبت نام ها از شبکه ي خارجي تا حد امکان بايد از کار انداخته شوند - يا حداقل به مجموعه ي کوچکي از UAهاي خارجي محدود شوند، اينکه چه کساني نياز قانوني به ثبت نام از شبکه ي خارجي دارند. Max-Forward Header Limits و ديگر تکنيک ها مي توانند براي آشکار سازي حمله هاي خارجي مورد استفاده قرار گيرند، اما اين حدود زياد متداول نيستند. از ميان موضوعات امنيتي مربوط به VoIP ربودن اطلاعات ثبت شده جديدترين مورد مي باشد. مهاجمي که با موفقيت اطلاعات ثبت شده در سازمان شما ربوده، مي تواند تماسها با سازمان يا از سازمان شما را مسدود، ضبط، و يا دستکاري نمايد. اين يک خطر بسيار جدي است که شما بايد آنرا در نظر داشته باشيد.
مديريت CVE کليدي براي تحکيم VoIP و حذف کاستيها و نقصها از کامپيوتر و تجهيزات شبکه بندي شما است. سه راه حل وجود دارد که با انجام آنها VoIP شما مستحکمتر خواهد شد:
مديريت پيکربندي
مديريت دريافت اصلاحيه هاي مربوط به سيستم
مديريت نقاط ضعف
CVE ها خصوصاً براي VoIP در حال گسترش هستند. با استفاده از سيستم مديريت آسيب پذيري خودکار اين نقاط را شناسايي و ترميم نماييد، به اين روش شما مي توانيد خطرپذيري سيستم VoIP خود را در برابر تهاجمات از طريق نقاط ضعف سيستم کاهش دهيد.
اگر شما راهي را بيابيد که کمک کند اين فرآيند بطور خودکار اجرا شود، مي توانيد اطمينان حاصل کنيد که نقاط ضعف سيستم شما شناسايي و ترميم مي شوند. اگر راهي که شما انتخاب نموده ايد توسط MITRE مورد تاييد نبود، قاعدتاً با CVEهاي استاندارد سازگاري نخواهد داشت.
MITRE بوسيله ي دپارتمان امنيت کشور ايالات متحده و به منظور مديريت استانداردهاي صنعتي، پايه ريزي شد - پايگاه داده ها در همه ي کامپيوترها و تجهيزات شبکه بندي در معرض خطر قرار دارند. در اينترنت لوگوي MITRE را جستجو کنيد. اطلاعات مربوط به محصولات و خدمات را مي توانيد در سايت http://cve.mitre.org و http://nvd.nist.gov بيابيد. هر روز تعدادي CVE جديد به ليست موجود در سايت http://cve.mitre.org افزوده مي شود. صفحه ي اصلي اين سايت حاوي اطلاعاتي است که به شما کمک مي کند تا در برابر مهاجمان مقابله کنيد و خطرات مربوط به شبکه ي خود را کاهش دهيد. با دانستن اين CVEها شما مي توانيد هر CVE را بر روي شبکه ي خود پيدا کنيد و سپس مي توانيد راهي براي مسدود کردن هر مسير بازي که به مهاجمين اجازه ي نفوذ مي دهد، بيابيد.
شناسايي آنچه به شما تعلق دارد
بررسي VoIP خود براي CVEها
درها را در برابر بهره برداري از CVEها قفل نماييد
CVEهاي خود را پاک نماييد
اگر شما زمان کافي براي انجام اين امور نداريد، يک منشي معتمد، مشاور و يا سرويس دهندگاني که بطور روزانه اين کار را براي شما انجام دهند. پيدا کردن آنها زياد سخت نيست، اکنون شما مي دانيد دنبال چه چيزي هستيد و کجا بايد آنرا جستجو کنيد. ايده ي خوبي است که مطمئن شويد بکارگيري منشي يا سيستم مديريت نقاط ضعف نه فقط CVEها را آشکار مي کند بلکه سيستم هايي که داراي نقاط ضعف هستند را قرنطينه مي سازند تا زماني که ترميم شوند، به اينصورت سيستم VoIP شما از خطر شنود مصون خواهد ماند. سپس اين سيستم بايد با ايجاد نوعي سيستم پشتيبان به ترميم و بازسازي نقاط آسيب پذير رساند.
مختصات پاسخها به کشف مسائل امنيتي
تشخيص تمايلات به فعاليت هاي جاسوسي و شنود
همکاري با يک کارشناس براي يافتن راه حلهاي مسائل امنيتي
انتشار اطلاعات به انجمني که با شبکه فعاليت مي کنند CERT/CC همچنين نقاط ضعف محصولات را بررسي مي نمايد، اسناد فني را منتشر مي سازد، و يک سري دوره هاي آموزشي برگزار مي کند. CERT همچنين توصيه هايي براي شرکت ها دارد تا به آنها ياري رساند شبکه ي تحت پوشش اين شرکت ها از شر مهاجميني که سعي دارند با استفاده از نقاط ضعف آنها وارد سيستم شوند، در امان بمانند.
بخشي از اين توصيه ها را به صورت خلاصه بيان مي کنيم:
دسترسي به خدمات H.323 که نيازي نيست در معرض استفاده ي همگان قرار گيرند، را مسدود نماييد
دسترسي محدود فقط به ماشين هايي که از H.323 براي اجراي امور حياتي، استفاده مي کنند
دسترسي محدود از هر نوع فقط به مکان هايي از شبکه که مورد نياز است
درنظر داشته باشيد که بازرسي لايه - کاربردي بسته هاي H.323 را بوسيله ي فايروال از کار بياندازيد
ايجاد هماهنگي مناسب بين تلفن ها، کاربردها، شبکه، و نرم افزارها جهت تشخيص و شناسايي هر گونه تهديد به هر بخش از شبکه
منبع:ماهنامه ي کامپيوتري بزرگراه رايانه، شماره ي 134
برخلاف اتصالات تلفنهاي رايج که به يک مکان فيزيکي متصل مي شوند، فناوري سوئيچ شده ي بسته هاي VoIP به يک شماره تلفن خاص اين امکان را مي دهند که در هر کجا وجود داشته باشد، بعبارت بهتر با سيستم تلفن فعلي هر گاه شما با تلفن منزل خويش تماس با يکي از دوستان خود برقرار مي کنيد بلافاصله مکان شما مشخص مي شود، زيرا اين شماره تلفن فقط به يک مکان خاص اختصاص دارد و آن منزل شما است ولي در سيستم VoIP موضوع فرق مي کند شما از هر کجا قادريد با شماره تلفن خود تماس برقرار کنيد. اين ويژگي براي کاربر بسيار مناسب است، زيرا تماسها بطور خودکار به سوي مکاني که کاربر قرار دارد هدايت مي شود، اما سبک و سنگين کردن اين موضوع که آيا اين سيستم هاي بسيار پيچيده براي خدمات E-911 مفيد هستند قدري دشوار به نظر مي رسد، زيرا بايد مکان تماس گيرنده براي اين خدمات مشخص گردد. اگرچه بيشتر فروشندگان VoIP راهکارهاي اجرايي را براي خدمات E-911 ارائه مي دهند، اما مسئولين سازمانها و فروشندگان اين سيستم ها خارج از استاندارد هاي توليدکنندگان خدمات 911 در محيط VoIP، فعاليت مي کنند. سازمانها بايد با دقت موضوعات مربوط به خدمات E-911 را در مقاصد خود براي گسترش VoIP در نظر گيرند.
امنيت فيزيکي براي سيستم VoIP
مگر آنکه شبکه ي VoIP رمزگذاري شود، هر کس با دسترسي فيزيکي به شبکه ي LAN دفتر شما قادر خواهد بود به ابزار مربوط به کنترل شبکه و دامهاي خطوطي تلفن دسترسي يابد و مکالمات را شنود نمايد. اگرچه خطوط تلفنهاي رايج در صورت دسترسي فيزيکي قابل شنود هستند، ولي بايد اذعان داشت که بيشتر دفاتر با محيط VoIP داراي نقاط بيشتري براي دسترسي مهاجمين مي باشند تا آنها بتوانند بي هيچ سوظني به شبکه ي LAN اين دفاتر متصل شوند. حتي اگر شما شبکه را رمزگذاري نماييد، دسترسي فيزيکي به درگاه ها و سرورهاي VoIP ممکن است به مهاجم اين امکان را بدهد تا تحليلي از آمد و شد اطلاعات و مکالمات داشته باشد و بخشهايي را که مربوط به ارتباطات مي شوند را شناسايي نمايد. بنابراين، شما بهتر است مطمئن شويد که امنيت لازم براي عدم دسترسي فيزيکي به مکان مولفه هاي شبکه ي VoIP برقرار است.
اندازه گيريهاي امنيت فيزيکي که شامل موانع و سده، قفلها، دسترسي به سيستم هاي کنترل، و محافظ ها مي شوند خط مقدم دفاعي براي سيستم هاي VoIP محسوب مي شوند. سازمانها بايد اطمينان حاصل کنند که اين اقدامات متقابل فيزيکي خطرات بزرگي چون اعمال رديابها يا ديگر تجهيزات کنترل شبکه را کاهش مي دهند. در غير اينصورت، با نصب يک ردياب نه تنها بخش عمده اي از اطلاعات شما در دسترس مهاجمين خواهد بود بلکه مکالمات شما نيز به راحتي شنود خواهند شد.
هزينه هاي سيستم هاي پشتيبان اضافي
فايروال هاي آماده ي VoIP و ويژگي هاي امنيتي VoIP
به خاطر وجود نقاط ضعف ذاتي (نظير گذردهي بسته هاي ردياب) که هنگام انجام عمليات تلفني از طريق يک شبکه ي پکت، سيستم هاي VoIP بايد يک آرايش متحد و يکپارچه از پروتکلها و ويژگيهاي امنيتي پديد آورد. خط مشي امنيتي سازمان بايد ايجاب کند که اين ويژگي ها مورد استفاده ي کاربران قرار مي گيرد. اقدامات اضافي، که در اين مقاله درباره ي آنها صحبت به ميان آمد نيز بايد به سيستم هاي امنيتي افزوده شوند. بطور خاص، فايروال هايي که براي پروتکلهاي VoIP طراحي شده اند يک مولفه ي ضروري براي يک سيستم VoIP امنيتي مي باشند.
محدوديت سيستم هاي تلفن نرم افزاري
نقاط ضعف مرورگرهاي وب که به خوبي شناخته شده اند باعث مي شود تا مهاجمين به راحتي بدون اينکه کاربر متوجه شود نرم افزارهاي مخرب را بر روي سيستم وي دانلود نمايند، حتي اگر کاربر کار خاصي انجام ندهد و صرفاً از وبسايت ها ديدن کند. نرم افزارهاي مخرب پيوست شده به پيام هاي ايميل مي توانند بدون آنکه کاربر متوجه شود بر روي سيستم آنها نصب شوند، در برخي حالتها حتي اگر کاربر فايلهاي پيوستي را نگشايد، باز هم اين نرم افزارها قادرند روي سيستم شما نصب گردند.
اين نقاط ضعف ناشي از اين خطرات سبب مي شوند تا استفاده از تلفنهاي نرم افزاري براي ايجاد سايتهاي VoIP مورد توجه قرار نگيرند. علاوه بر اين، چون کامپيوترهاي شخصي روي شبکه ي داده ها فعاليت دارند، يک سيستم تلفن نرم افزاري با نياز جهت جداسازي شبکه هاي داده و صدا براي ايجاد بيشترين فضاي عملياتي در تعارض است.
حفاظت سيستم هاي همراه روي سيستم VoIP
ويژگي هاي امنيتي WEP 802.11 حفاظت ضعيفي را در برابر حملات از خود نشان مي دهند و گاهي در برابر حملات شاهد عکس العملي نخواهيد بود زيرا WEP به کمک نرم افزارهايي که در دسترس عموم قرار دارند به راحتي شکسته مي شود. WPA (WiFi Protected Access) اخير که يک تصوير لحظه اي از استاندارد 802.11i مي باشد، بهبود وضعيت گسترده اي در بخش امنيت را عرضه مي دارد، و مي تواند کمک خوب براي يکپارچگي فناوري بي سيم با سيستم هاي VoIP باشد.
NIST قوياً پيشنهاد مي کند که ويژگي هاي امنيتي WPA (يا WEP در صورتيکه WPA در دسترس نباشد) بصورت بخشي از يک استراتژي دفاعي عمقي کل بکار برده شود. عليرغم ضعف هايشان، مکانيسم هاي امنيتي 802.11 تا حدي امنيت سيستم را در برابر دسترسي هاي غيرمجاز و مخرب و يا ديگر فعاليت هاي کاوشي برقرار سازند. اما، اتحاديه ي استاندارده پردازش اطلاعات (FIPS) 140-2 ، نيازمنديهاي امنيتي درخصوص حدود و ميزان رمز گذاري، براي آژانسهاي متحد که مشخص نموده اند اطلاعات بايد بوسيله ي ابزار رمزنگار محافظت گردند، اجباري است. با بررسي هاي انجام شده مشخص گرديده که نه WEP و نه WPA داراي استانداردهاي FIPS 140-2 نمي باشند. در اين حالتها، ضروري به نظر مي رسد که کاربردها و پروتکلهايي که از مرتبه ي بالاتر رمزنگاري گرديده اند، بکار برده شوند، نظير (SSH (Secure Shell))، ((TLS (Transport Level Security )) ، يا (IPsec (Internet Protocol Security)) با حدود رمزگذاري معتبر FIPS 140-2 و الگوريتمهاي مربوطه جهت حفاظت اطلاعات، بدون در نظر گرفتن اين موضوع که آيا پروتکل هاي امنيتي مرتبط با داده هاي نامعتبر مورد استفاده قرار مي گيرند يا خير.
ايجاد رضايت با قانون حفظ ثبت/ اختفا
اگر چه موضوعات قانوني مربوط به VoIP در فراسوي بحث ما قرار دارد ولي خوانندگان اين مطلب بايد آگاه باشند که قوانين و موازين حاکم بر اين سيستم ها حاکم است که کنترل و رديابي خطوط VoIP را بررسي مي نمايند و هر گونه تماس را ثبت مي نمايند، البته شايد اساس کار در اين سيستم ها کمي با سيستم هاي تلفن رايج متفاوت باشد. سازمانها بايد اين موارد را با يک مشاور قانوني و ماهر در ميان بگذارند.
ميزان نقاط ضعف VoIP
چون شبکه هاي آي پي در معرض حمله هاي خودکار و پيچيده قرار دارند، در نتيجه آمد و شد صدا روي اين شبکه ها بسيار آسيب پذير خواهد بود، اين جملات بخشي از گفته هاي ديويد فريلي (David Fraley)، نويسنده ي جنگ هاي اينترنتي ميباشد، وي همچنين اظهار داشته است که: VoIP و همگرايي آسيب پذيري را افزايش مي دهند.
در واقع، مرکز هماهنگ سازي زيرساختار ملي انگلستان (NICC: (National Infrastructure Coordination Center)) يافته هاي خود را منتشر ساخته که در آنها ذکر شده تجهيزات بسياري از فروشندگان که استاندارد پروتکل H.323 را براي تلفنهاي آيپي بکار مي برند شامل خطاها و نقص هايي است که مهاجمين به راحتي مي توانند آنها را شناسايي نمايند. (براي آگاهي از جزئيات بيشتر مي توانيد به سايت زير مراجعه فرماييد:
www.uniras.gov.uk/2004/006489/h323.htm
بر اساس آزمايش هاي انجام گرفته بوسيله ي NICC، اين نقاط ضعف مي توانند محصولاتي که با اين سيستم ها سر و کار دارند را با خطرهاي زير مواجه سازند:
حمله هاي خارج نمودن از سيستم
(Denial-of-Service:DoS)
حمله هايي که باعث پر و سر ريز شدن حافظه مي شوند
اعمال کدهاي مخرب به تجهيزاتي که توسط مهاجم کشف شده اند
بر اساس CA-2004-01 شماره مشورتي CERT (به سايت:
http://www.cert.org/advisories/ca-2004-10.html
مراجعه فرماييد)، شرکت هايي که با اين آسيب پذيريها و نقاط ضعف هنوز دست در گريبان هستند عبارتند از:
Cisco Stonesoft
CheckPoint WatchGaurd
3COM NetScreen
AT&T Nokia
D-Link Microsoft
Extreme Nortel
Foundry Avaya
Fujitsu Alcatel
Hitachi F5
Intel Secure Computing
Juniper Cybergaurd
NEC Symantec
به عنوان نمونه، Cisco به تنهايي تعداد زيادي محصول به بازار عرضه نموده است که داراي نقاط ضعف و آسيب پذير در پردازش پيامهاي H.323 مي باشند.
همه ي محصولات Cisco که نرم افزار Cisco IOS را اجرا مي نمايند و پردازش بسته هاي H.323 را پشتيباني مي نمايند.
http://www.cisco.com/warp/public/707/cisco-sa-20040113-h323.shtml#process)
عبارتند از:
IOS Firewall
IOS Network Address Transition
Call Manager
Conference Connection
7905 IP Phone
BTS 10200 Softswitch
Internet Service Node
H.323 Gateway,H.323 Gatekeeper
ATA 18x Series Analog Telephony
در برخي حالتها، Cisco تصميمي مبني بر اصلاح نقاط آسيب پذير که تاکنون در محصولات اين شرکت شناسايي شده اند، ندارد.
براي ياري رساندن به شما در ارتباط با سرشت آسيب پذير ذاتي VoIP، بايد اين نکته را يادآور شويم که تعداد تهاجم هاي موجود که در برابر يک VoIP صف آرايي کرده اند به مراتب بيشتر از تهاجمات مربوط به يک شبکه ي استاندارد مي باشد. در بخش بعدي برخي از اين تهاجمات را فهرستوار بيان مي کنيم.
حمله هاي VoIP
شخص سومي در ميانه ي خط ارتباطي (شنود و دگرگوني اطلاعات ارسالي)
خارج نمودن از سرويس (DoS)
کشف درگاهها
کشف نقاط انتهايي - جعل هويت
موضوعات امنيتي و QoS
ايستادگي در برابر حمله هاي QoS کاري بس دشوار است: با بکارگيري اقدامات امنيتي مناسب نظير فايروالها و رمزنگاري باز هم VoIP شما نسبت به تأخير و خطا در ارسال ضعف دارد.
تأخير زماني (Latency)
خطا در ارسال (Jitter)
از دست دادن بسته ها
فايروال ها، مسيرياب هاي NAT، و رمزنگاري
فايروال ها، مسيرياب هاي
NAT (Network Address Translation) ، رمزنگاري فقدان موارد زير را احساس مي نمايند:
نمي توانند در يک شبکه ي VoIP بدون در نظر گرفتن تميدات خاص استفاده شوند - مولفه هاي استاندارد براي الگوي آمد و شد بسته هاي کوچک/ با سرعت بالا VoIP
کاهش کيفيت سرويس به دليل اخلال و تاخير در ارسال و دريافت، و از دست دادن بسته هاي صوتي
آنها با ممانعت از برقراري تماس ورودي از فرآيند ايجاد تماسها جلوگيري مي کنند.
فايروال ها
فايروال ها و QoS
براي حل اين معضل، فايروال ها را با CPU هاي پرسرعت استفاده نماييد تا آهنگ ارسال و دريافت داده ها بيشتر گردد. از فايروال هاي سازگار با SoQ در سيستم هاي خود بهره جوييد.
IPsec
IPsec داراي مشکلاتي نيز مي باشد که آنها را بطور فهرست وار بيان مي کنيم:
رمزنگاري مي تواند براي حفاظت داده هاي صوتي بکار گرفته شود و از مسايل مربوط به فايروال ها دوري جويد
رمزنگاري خود باعث تأخير زماني و اخلال مي گردد
رمزنگاري و رمزگشايي خود باعث اتلاف وقت مي شوند
نرم افزارهايي که وظيفه ي سازمان دهي موتورهاي رمزنگار با QoS در تعارض مي باشند
راه حل هايي که براي اين مشکلات مي توان عنوان کرد بدين صورت است که طرح هاي فشرده از بسته ها که بطور عملي کارآيي را افزايش داده اند. برنامه ريزي سازگار با SoQ قبل و بعد از رمز نگاري بطرز شگفت آوري سيستم را افزايش مي دهد.
برگردان آدرس شبکه (NAT)
مشکلي که در خصوص NAT و فايروال ها وجود دارد اين است که هر دو تماس هاي ورودي را مسدود مي کنند. براي فرار از اين مشکل شما مي توانيد يکي از دو روش زير را بکار بريد:
در گاه سطح کاربرد (Application Level Gateway)
پروکسي کنترل فايروال
قطع برقراري تماس VoIP
فايروال ها مي توانند درگاه هايي که در برقراري تماس دخيل هستند را مسدود نمايند و NAT مي تواند درگاه ها/ آدرس آيپي که بصورت داخلي مورد استفاده است را تغيير دهد. در نتيجه هر دوي آنها مي توانند مانع از برقراري تماس شوند.
براي جلوگيري از چنين مشکلاتي، يک ALG يا FCP را در طراحي خود بکار بريد که بتوان برقراري ارتباط توسط داده هايي که به صورت بسته هاي کوچک يا همان Packet data هستند را کنترل نمود.
اکنون شما جه کاري بايد انجام دهيد؟
گسترش ابزار شبکه
حفاظت داده هاي صوتي
مقابله در برابر ربايندگان مشخصات
گسترش ابزار شبکه
شما بايد LAN هاي مجازي ايي را به منظور تفکيک آمد و شد داده ها و صوت در فضاي آدرس قابل تشخيص و مجزا ايجاد نماييد (شبکه هاي يگانه ي فيزيکي مورد نظر نمي باشند).
اين اقدامات پيشگيرانه هم باعث کاهش خطر رديابي داده ها در سيستم VoIP مي شود و هم IDS شما را براي داده ها و صوت بطور مجزا تنظيم مي کند.
از آرايش ها و طراحي هاي فايروال ها براي عبور و مرور VoIP استفاده نماييد.
در درگاه صدا، که با PSTN مشترک است، ارتباط H.323، SIP، يا MGCP را با شبکه ي داده ها قطع نماييد.
حفاظت داده هاي صوتي
در صورت امکان از تلفن هاي نرم افزاري که بر روي کامپيوتر شخصيتان نصب شده استفاده ننماييد.
شبکه ي صدا و داده ها را از يکديگر تفکيک کنيد
تا حد ممکن از کنترل دسترسي و رمزنگار استفاده نماييد
از IPsec و SSH براي همه ي مديريت هاي راه دور استفاده نماييد و همه ي دسترسي ها به شبکه ي خود را بازرسي نماييد
درگاه ها و مسيرياب ها را رمزنگاري کنيد، فقط به نقاط ابتدا و انتهاي شبکه اکتفا ننماييد
دفاع در برابر ربايندگان مشخصات سيستم
راه حل امنيتي مصوبه ي IETF (Internet Engineering Task Force) استفاده از ترکيب MD5 digest, TLS و کلمه هاي عبور قوي مي باشد. تمام ثبت نام ها از شبکه ي خارجي تا حد امکان بايد از کار انداخته شوند - يا حداقل به مجموعه ي کوچکي از UAهاي خارجي محدود شوند، اينکه چه کساني نياز قانوني به ثبت نام از شبکه ي خارجي دارند. Max-Forward Header Limits و ديگر تکنيک ها مي توانند براي آشکار سازي حمله هاي خارجي مورد استفاده قرار گيرند، اما اين حدود زياد متداول نيستند. از ميان موضوعات امنيتي مربوط به VoIP ربودن اطلاعات ثبت شده جديدترين مورد مي باشد. مهاجمي که با موفقيت اطلاعات ثبت شده در سازمان شما ربوده، مي تواند تماسها با سازمان يا از سازمان شما را مسدود، ضبط، و يا دستکاري نمايد. اين يک خطر بسيار جدي است که شما بايد آنرا در نظر داشته باشيد.
VoIP خود را در برابر تهاجمات مستحکم نماييد
مديريت CVE کليدي براي تحکيم VoIP و حذف کاستيها و نقصها از کامپيوتر و تجهيزات شبکه بندي شما است. سه راه حل وجود دارد که با انجام آنها VoIP شما مستحکمتر خواهد شد:
مديريت پيکربندي
مديريت دريافت اصلاحيه هاي مربوط به سيستم
مديريت نقاط ضعف
CVE ها خصوصاً براي VoIP در حال گسترش هستند. با استفاده از سيستم مديريت آسيب پذيري خودکار اين نقاط را شناسايي و ترميم نماييد، به اين روش شما مي توانيد خطرپذيري سيستم VoIP خود را در برابر تهاجمات از طريق نقاط ضعف سيستم کاهش دهيد.
اگر شما راهي را بيابيد که کمک کند اين فرآيند بطور خودکار اجرا شود، مي توانيد اطمينان حاصل کنيد که نقاط ضعف سيستم شما شناسايي و ترميم مي شوند. اگر راهي که شما انتخاب نموده ايد توسط MITRE مورد تاييد نبود، قاعدتاً با CVEهاي استاندارد سازگاري نخواهد داشت.
MITRE بوسيله ي دپارتمان امنيت کشور ايالات متحده و به منظور مديريت استانداردهاي صنعتي، پايه ريزي شد - پايگاه داده ها در همه ي کامپيوترها و تجهيزات شبکه بندي در معرض خطر قرار دارند. در اينترنت لوگوي MITRE را جستجو کنيد. اطلاعات مربوط به محصولات و خدمات را مي توانيد در سايت http://cve.mitre.org و http://nvd.nist.gov بيابيد. هر روز تعدادي CVE جديد به ليست موجود در سايت http://cve.mitre.org افزوده مي شود. صفحه ي اصلي اين سايت حاوي اطلاعاتي است که به شما کمک مي کند تا در برابر مهاجمان مقابله کنيد و خطرات مربوط به شبکه ي خود را کاهش دهيد. با دانستن اين CVEها شما مي توانيد هر CVE را بر روي شبکه ي خود پيدا کنيد و سپس مي توانيد راهي براي مسدود کردن هر مسير بازي که به مهاجمين اجازه ي نفوذ مي دهد، بيابيد.
محافظت در برابر سوء استفاده گران CVE
شناسايي آنچه به شما تعلق دارد
بررسي VoIP خود براي CVEها
درها را در برابر بهره برداري از CVEها قفل نماييد
CVEهاي خود را پاک نماييد
آنچه به شما تعلق دارد را شناسايي نماييد
بررسي VoIP شما براي CVEها
درها را در برابر بهره برداري از CVEها قفل نماييد
CVEهاي VoIP خود را پاک نماييد
اگر شما زمان کافي براي انجام اين امور نداريد، يک منشي معتمد، مشاور و يا سرويس دهندگاني که بطور روزانه اين کار را براي شما انجام دهند. پيدا کردن آنها زياد سخت نيست، اکنون شما مي دانيد دنبال چه چيزي هستيد و کجا بايد آنرا جستجو کنيد. ايده ي خوبي است که مطمئن شويد بکارگيري منشي يا سيستم مديريت نقاط ضعف نه فقط CVEها را آشکار مي کند بلکه سيستم هايي که داراي نقاط ضعف هستند را قرنطينه مي سازند تا زماني که ترميم شوند، به اينصورت سيستم VoIP شما از خطر شنود مصون خواهد ماند. سپس اين سيستم بايد با ايجاد نوعي سيستم پشتيبان به ترميم و بازسازي نقاط آسيب پذير رساند.
پيشنهادهاي CERT
مختصات پاسخها به کشف مسائل امنيتي
تشخيص تمايلات به فعاليت هاي جاسوسي و شنود
همکاري با يک کارشناس براي يافتن راه حلهاي مسائل امنيتي
انتشار اطلاعات به انجمني که با شبکه فعاليت مي کنند CERT/CC همچنين نقاط ضعف محصولات را بررسي مي نمايد، اسناد فني را منتشر مي سازد، و يک سري دوره هاي آموزشي برگزار مي کند. CERT همچنين توصيه هايي براي شرکت ها دارد تا به آنها ياري رساند شبکه ي تحت پوشش اين شرکت ها از شر مهاجميني که سعي دارند با استفاده از نقاط ضعف آنها وارد سيستم شوند، در امان بمانند.
بخشي از اين توصيه ها را به صورت خلاصه بيان مي کنيم:
دسترسي به خدمات H.323 که نيازي نيست در معرض استفاده ي همگان قرار گيرند، را مسدود نماييد
دسترسي محدود فقط به ماشين هايي که از H.323 براي اجراي امور حياتي، استفاده مي کنند
دسترسي محدود از هر نوع فقط به مکان هايي از شبکه که مورد نياز است
درنظر داشته باشيد که بازرسي لايه - کاربردي بسته هاي H.323 را بوسيله ي فايروال از کار بياندازيد
ايجاد هماهنگي مناسب بين تلفن ها، کاربردها، شبکه، و نرم افزارها جهت تشخيص و شناسايي هر گونه تهديد به هر بخش از شبکه
خلاصه
منبع:ماهنامه ي کامپيوتري بزرگراه رايانه، شماره ي 134
