1 مقدمه

یکی از مهم‌ترین نگرانی‌های مدیران شرکت‌ها و صاحبان کسب‌وکارها در مورد سیستم تلفنی ویپ، امنیت آن است. با وجود آن که سیستم ویپ در هزینه‌ها و عملکردها صرفه‌جویی می‌کند، اما گاهی می‌تواند نگرانی‌های امنیتی ایجاد کند. هیچ سیستم تلفنی در برابر تهدیدات امنیتی کاملا مقاوم و غیرقابل نفوذ نیست. امنیت در سیستم‌های تلفنی یک هدف متحرک است، چرا که هر روز ممکن است راه‌های نفوذ و مسائل امنیتی جدیدی کشف شود. بنابراین شما باید امنیت سیستم خود را به روش‌های مختلف به روز نگه داشته و از کنترل­های دوره­ای آن غافل نشوید تا از هک‌ها و نفوذهای احتمالی جلوگیری شود. در این مستند قصد داریم امنیت در سیستم‌های VoIP و راه‌های افزایش امنیت در سیستم ویپ را بررسی نمائیم.

2 مقایسه امنیت VoIP و تلفن‌های معمولی

امکان نقض امنیت و شنود در هر دو سیستم تلفنی معمولی و ویپ وجود دارد اما امکان شنود در سیستم تلفن معمولی نسبت به ویپ کمتر است. هک کردن و شنیدن مکالمات برای هکرها در سیستم تلفن معمولی سخت‌تر است. می‌توان سیستم ویپ را هم به نحوی تنظیم کرد که امکان شنود به صفر برسد.

دلیل اصلی امنیت ذاتیPSTN  نسبت به شبکه VoIP، تفاوت در نحوه انتقال دیتا در این دو شبکه است. تلفن‌های معمولی برای انتقال داده از Circuit Switching استفاده می‌کنند. در این روش قبل از ایجاد ارتباط و انتقال داده، یک مسیر ارتباطی بین طرفین تماس ایجاد می‌شود. به این مسیر ارتباطی یک Circuit یا مدار گفته می‌شود. این مسیر در طول تماس بسته می‌ماند تا اینکه یکی از طرفین تماس را قطع کند. بنابراین امکان نفوذ به آن خیلی کم است.

اما همانطور که گفته شد در سیستم VoIP از Packet Switching استفاده می‌شود. داده‌ها به صورت Packet در ایننرنت منتقل می‌شوند. بسته‌های داده‌ای که از اینترنت ارسال می‌شوند از چندین نقطه یا ایستگاه می‌گذرند تا به مقصد برسند. اگر بسته‌های داده به درستی ایمن‌سازی نشوند ممکن است در هر کدام از این ایستگاه‌ها دزدیده شوند یا تغییراتی روی آن‌ها اعمال شود.

3 چرا امنیت VoIP اهمیت دارد؟

حملات VoIP ممکن است ماه‌ها پنهان بماند و قابل شناسایی نباشد. پس، در انتخاب ارائه‌دهنده‌های خدمات ویپ باید چه معیارهایی را در نظر بگیرید؟ وسوسه انگیز است که فقط به هزینه نگاه کنید و سرویس ویپ با کمترین هزینه را انتخاب کنید، اما خب وقتی صحبت از امنیت می‌شود باید موارد دیگری غیر از هزینه را هم در نظر بگیرید.

امنیت برای هر شغلی ضروری است. فرقی نمی‌کند که شما یک سازمان بزرگ دارید یا کوچک، اختلال در سیستم تلفن برای کسب‌و‌کار شما فاجعه بار خواهد بود. هزینه های پایین VoIP صاحبان مشاغل را فریب می‌دهد اما باید توجه داشت که اگر به طور مداوم مراقب امنیت سیستم تلفن خود نباشید و آن را رها کنید، هکرها دوست دارند که از شبکه VoIP شما بهره‌برداری کنند.

منظور از امنیت در ویپ، فقط رمزگذاری روی تماس‌‌ها نیست، بلکه شبکه‌ای که اطلاعات صوتی،تصویری و متنی در بستر آن منتقل می‌شوند هم باید امن باشد. اگر این بستر ارتباطی امن نباشد یا دچار حمله شود قطعا کسب‌وکار شما با حملات و مشکلات بیشتری روبرو خواهد شد.

4 انواع حملات بر روی سیستم های تلفنی مبتنی بر VoIP

حملات و نفوذهای صورت گرفته بر روی سرورهای تلفنی معمولا اهداف زیر را دنبال می کنند:

4.1 سرقت خطوط تلفنی شهری و یا ترانک ها:

در حملات نوع اول که متاسفانه در کشور ما بسیار رایج است، نفوذگر از خطوط ارتباطی سیستم تلفنی براری برقراری تماس های تلفنی خارجی که پرهزینه هستند، استفاده می کند. به عبارت دیگر از طریق سیستم تلفنی هدف، با دو نقطه مختلف تماس برقرار می گردد و سپس این دو تماس را به هم متصل می کنند و از این طریق از خطوط تلفنی، سوء استفاده می گردد. حملات رایج برای این منظور عبارتند از:

  • Brute Force
  • Dictionary attack
  • SIP Registration Scan attack

4.2 آسیب رساندن به سیستم تلفنی و ایجاد توقف در سرویس دهی:

در روش دوم، هدف اصلی به خطر انداختن یک کسب و کار و ایجاد اختلال در ارتباطات تلفنی آن ها می­باشد، که معمولا کارمندان ناراضی و یا رقبا اقدام به این کار می کنند. . حملات رایج برای این منظور عبارتند از:

  • DOS
  • SSH Brute Force
  • Port Scan
  • SIP Scan
  • DDOS
  • Spam

4.3 نفوذ با هدف سرقت اطلاعات تماس و یا اطلاعات کاربران:

هکرها همچنین می‌توانند با جعل هویت کاربران، اطلاعات حساس و محرمانه یا اطلاعات مشتریان را بدست آورند. با هک کردن سیستم همچنین می‌توانند قبض‌های سنگینی را برای سیستم تلفن سازمانی شما ایجاد کنند و شما را مجبور به پرداخت مبالغ سنگینی کنند.

5 تامین امنیت ویپ از طریق edge server

edge server یک سرور میانی است که بین سیستم ویپ و دنیای اینترنت قرار می‌گیرد و امنیت سیستم‌های ویپ را تامین می‌کند. این سرورها یک مدل کوچک از سیستم ویپ را درون خود import کرده و روی درگاه اینترنت قرار می گیرد. در نتیجه کسانی که قصد استفاده از سیستم ویپ را دارند به edge server متصل می‌شوند. سپس edge server با توجه به دسترسی‌ها و مسیرهایی که برای آن مشخص شده است می‌تواند تماس‌ها را هدایت و مدیریت کند. edge server پلتفرم بسیار امنی است و تا به حال گزارشی مبنی بر هک آن اعلام نشده است. این سیستم دارای تمهیدات فایروالی می‌باشد که سیستم ویپ را handle می‌کند. از طرفی دیگر با توجه به ساختار منحصر به فرد edge server در صورت بروز هک این سیستم می‌تواند ارتباط بین سیستم ویپ و افرادی که در خارج از آن قرار دارند را قطع کند. در این حالت سیستم ویپ به خوبی کار خواهد کرد، فقط امکان دسترسی از خارج به آن وجود نخواهد داشت.

6 اصول ایمن سازی سیستم VoIP (استراکچرها و پیشنیازها)

ایمن سازی سیستم ویپ بر عهده شرکت ارائه کننده خدمات نگهداری و پشتیبانی ویپ است. البته نقش اساسی‌تر را می‌توان به شرکتی که سیستم را طراحی و پیاده سازی کرده است، نسبت داد. چرا که در صورت اجرای ضعیف سیسم ویپ بودن در نظر گرفتن پیش‌نیازها، ساختارها و اصول ایمن سازی ویپ، می‌تواند صدمات جبران ناپذیری را به شما وارد کند. بنابراین در انتخاب شرکت ارائه دهنده سیستم ویپ نهایت دقت را داشت باشید. موارد زیر اصولی هستند که برای تامین امنیت VoIP باید مورد توجه قرار بگیرند:

6.1 انتخاب سیستم ویپ مناسب

انتخاب سیستم ویپ یکی از چالش‌هایی است که صاحبان کسب و کار با آن روبرو هستند. هر کدام از سیستم‌های ویپ از مکانیزم‌های مختلف امنیتی استفاده می‌کنند تا بتوانند بهترین نتیجه را برای شما رقم بزنند. برای مثال VoIP اوپن سورس را نباید مستقیما روی اینترنت قرار داد.

6.2 انتخاب درست شرکت ارایه دهنده سیسم ویپ

در بسیاری از موراد هسته سیستم ویپ مشکلی ندارد و از امنیت بالایی برخوردار است. در این موارد اجرا و پیاده سازی درست سیستم ویپ می‌تواند تا حد زیادی امنیت ما را تامین کند. بنابراین لازم است که امور را به افراد و شرکت های متبحر واگذاری کنید.

7 راه‌های تقویت امنیت VoIP

راه‌هایی که در ادامه برای افزایش امنیت VOIP بیان خواهد شد، تنها راه های موجود نیستند و مطمئنا نکات دیگری هم وجود دارد که باید به آن‌ها توجه داشته باشیم.

راه ‌های افزایش و تقویت امنیت ویپ بسیار زیاد است که برخی از آن‌ها در حیطه اختیارات شرکت ایجاد کننده سیستم ویپ قرار دارد و برخی مربوط به افراد استفاده کننده از ویپ می‌باشد:

7.1 ایمن سازی شبکه‌های ویپ

ایمن سازی شبکه ویپ به امنیت لایه Gateway مربوط می‌شود که ارتباط داخل و خارج سازمان را کنترل می‌کند. لازم است تیم فنی دسترسی از داخل به بیرون و از بیرون به داخل سرور ویپ را مدیریت کند و بر اساس نیازهای سازمان، پورت‌ها و سرورهای مجاز به سمت بیرون دسترسی داشته باشند. برای مثال سرور ویپ جزو آن دسته از سرورهایی است که نباید هیچگاه به اینترنت دسترسی داشته باشد.

7.2 لایه سیستم عامل

هر سروری که نرم افزار و سامانه‌های ویپ روی آن نصب است باید فایروال (ip table) داشته باشند. فایروال سیستم عامل می‌تواند در تامین امنیت و ایمن سازی شبکه ویپ به شما کمک کند علاوه بر فایروال سیستم عامل یک لایه امنیتی بیشتر هم برای شبکه ویپ می­توان ایجاد نمود که عبارت است از یک لایه لاگر. لایه لاگر تمام اتفاق‌های رخ داده در سیستم را نظارت می‌کند و اتفاق‌هایی که به صورت خطا بروز می‌کنند را خود به خود می‌بندد. یکی از مشکلاتی که در سیستم‌های ویپ با آن روبرو هستیم، این است که هیچ فایروال سخت افزاری نمی‌تواند پیام‌های داخل ترافیک ویپ را مشاهده کند. به همین دلیل لازم است یک سری نرم‌افزارهای کمکی مانند لاگر استفادکنیم. لاگرها یک سری نرم افزار ارتباطی هستند که در لایه واسط بین سیستم عامل و نرم افزارهای VoIP قرار می‌گیرند و لاگ‌های ایجاد شده توسط سرور ویپ را بررسی می‌کنند و در صورت بروز خطا به فایروال سیسم عامل دستور می‌دهند که IPهای مشکوک بسته شوند.

7.3 تنظیمات داخلی پلتفرم ویپ

پنل‌های VoIP نیاز است که به صورت مداوم آپدیت شوند. چرا که در غیر اینصورت برخی از خطاها و مشکلات به صورت دائمی در پنل ویپ باقیمانده که هکرها ممکن است از این طریق سیستم را مورد حمله قرار دهند.

7.4 استفاده از نرم افزراهای مانیتوریتگ

نرم افزارها مانیتورینگ ویپ تمامی اتفاق‌های داخلی سیستم VoIP را در پنل‌های گرافیکی برای ما نمایش می‌دهند. از این طریق می‌توان کنش و واکنش‌های سیستم‌های داخلی را رصد کرد. نرم افزارهای مانیتورینگ معمولا نرم افزارهایی بومی هستند که هر شرکت با توجه به نیازهای مشتریان خود آن را توسعه می‌دهد.

7.5 ساختار شبکه

در ساختار شبکه معمولا سرورهای هر بخش در زون‌های جداگانه‌ای قرار داده می‌شوند و یا نهایتا سرورهایی که دسترسی مشابه دارند در یک زون قرار داده می‌شوند. در نتیجه ساختار داخلی شبکه می‌تواند تا حد زیادی مانع از هک سیستم ویپ شود. در صورتی که ساختار شبکه به صورت درستی اجرا نشده باشد امکان هک بخش‌هایی از شبکه که به اینترنت هم متصل نمی‌باشد وجود خواهد داشت. به این صورت که هکرها در مرحله اول به سیستم‌های متصل به اینترنت مانند کامپیوتر کارمندان حمله می‌کنند و در صورت موفقیت آمیز بودن حمله به ساختارهای آنلاین می توانند اجزای داخلی شبکه را هم تحت کنترل در آ‌ورند. بنابراین پیکربندی استاندارد ساختار شبکه نقش مهمی در حفظ امنیت ویپ دارد.

7.6 انتخاب رمز مناسب

سیاست‌های رمزگذاری قوی داشته باشید. رمزهای عبور قوی برای ایمن‌سازی سیستم تلفن شما ضروری است. در انتخاب رمز از ترکیبی از حروف بزرگ و کوچک، اعداد و علامت‌هایی مثل «@،#،& و…» استفاده کنید. از کارمندان خود بخواهید که رمزهای عبور را در فایل‌های متنی مثل ورد، نوت‌پد یا در بین یادداشت‌های یادآوری، ارسال و… ذخیره نکنند. همچنین لازم است به صورت دوره‌ای و هر چند وقت یکبار رمز خود را تغییر دهید. تا امنیت ویپ شما به خطر نیفتد.

7.7 آپدیت سیستم‌عامل

هر چند وقت یکبار سیستم‌عامل خود را بروزرسانی کنید. از کارمندان خود بخواهید اعلان مربوط به بروزرسانی اندروید یا iOS را در گوشی خود بپذیرند و گوشی خود را بروزرسانی کنند. یا اگر از کامپیوتر یا لپ‌تاپ شخصی برای اتصال به سیستم تماس ویپ استفاده می‌کنند آن را هم بروزرسانی کنند. این بروزرسانی‌ها می‌توانند از سیستم ویپ شما در برابر نرم‌افزارهای مخرب و سواستفاده‌ها محافظت کنند. در نتیجه امنیت سیستم VoIP شما بالاتر خواهد رفت.

 

7.8 استفاده از vpn

یک شبکه خصوصی مجازی (VPN) برای کارکنان دورکار خود تنظیم کنید. VPN بدون در نظر گرفتن محل کار کارمند می‌تواند تمام ترافیک شبکه را رمزگذاری کند. تحقیقات آکادمیک نشان داده است که VPN کیفیت تماس را پایین نمی‌آورد. در نتیجه با استفاده از VPN هم امنیت VoIP را تامین می‌کنید و هم کیفیت تماس را حفظ خواهید کرد.

7.9 رمزگذاری روی وایفای

از آنجایی که ویپ معمولا به Wifi متصل می‌شود و از این طریق ارتباط خود را تامین می‌کند به خطر افتادن امنیت وایفای می‌تواند امنیت ویپ را خدشه دار کند. برای محافظت از سیستم ویپ حتما باید وایفای خود را رمزگذاری کنید. WPA2 را در شبکه‌های بی‌سیم شرکت خود فعال کنید. به کارمندان خود یاد دهید که چگونه از این رمزگذاری روی شبکه Wi-Fi خانگی خود استفاده کنند. به عنوان یک روش مناسب می‌توانید هر سال یکبار گذرواژه Wi-Fi خود را به‌روز کنید.

7.10 محدود کردن تماس‌ها

تماس‌های خود را محدود کرده و تماس‌های خصوصی را هم مسدود کنید. تا زمانی که شرکت شما به صورت بین‌المللی کار نمی‌کند، نیازی به شماره‌گیری شماره‌های بین‌المللی نیست. فقط به افراد آشنایی که از خارج از کشور تماس می‌گیرند یا بالعکس، اجازه دسترسی به تماس‌های بین‌المللی را بدهید.

7.11 حذف اکانت‌های غیرفعال

اکانت‌هایی که فعالیت ندارند را غیرفعال کنید. پس از آن که کارمندان محل کار را ترک کردند اکانت‌های آنان را به کمک کارمندان بخش آی‌تی و شبکه خود غیرفعال کنید تا اختلالات در محل کار را به حداقل برسانید. اکانت‌هایی که مدت‌هاست غیرفعال مانده‌اند را حذف کنید.

7.12 استفاده از SIP Proxy

این دستگاه ها مخصوص فیلتر کردن درخواست های نا متعارف روی پروتکل SIP هستند و بین سرور مودم یا روتر اینترنت قرار میگیرد و از درخواست های مشکوک و غیر متعارف جلوگیری می کند.

7.13 محدود کردن دسترسی ها

بستن دسترسی IP های بین المللی و دسترسی دادن تنها به IP های داخلی ایران روی روتر که مدیریت دسترسی به اینترنت را بر عهده دارد.

مورد بعدی ایجاد محدودیت بر روی آدرس IP مجاز برای رجیستر شدن می باشد. به عبارت دیگر برای یک داخلی که از یک آدرس ایستا و یا رنج آدرس مشخصی استفاده می کند، نباید مجوز رجیستر شدن از روی اینترنت داده شود؛ و تنها به داخلی هایی که این امکان را نیاز دارند، مجوز داده شود تا از روی اینترنت رجیستر شوند.

همچنین استفاده از fail2ban روی سرور و سیستم های تشخیص نفوذ (IDS/IPS) و بکارگیری پروتکل های امن برای جلوگیری از درخواست های غیر مجاز این روش تا حدی می تواند به ایمن شدن سرور کمک نماید.

7.14 غیر فعال کردن قابلیت ها و یا ماژول های بدون استفاده

یکی دیگر از اقداماتی که باید در حین راه اندازی سیستم های تلفنی مورد توجه قرار گیرد، غیرفعال کردن امکانات و یا ماژول هایی است که در حال حاضر از آن ها استفاده نمی شود یا به نحوی برای عملکرد اصلی سیستم، الزامی نیستند. چرا که بسیاری از این قابلیت ها نوعی درگاه ورود به سیستم محسوب می گردند و یا نفوذگر از طریق آن ها، می تواند از سیستم سوء استفاده کند.

7.15 غیر فعال کردن و یا تغییر در تنظیمات پیش فرض

علاوه بر این که توصیه می شود رمزهای عبور پیش فرض مورد استفاده قرار نگیرند، باید تنظیمات و تعاریف پیش فرض نیز تغییر کنند و یا غیر فعال شوند. چرا که اگر نفوذگر با ساختار سیستم شما آشنایی داشته باشد، از این مقادیر و تعاریف پیش فرض به راحتی به منظور رخنه به سیستم تلفنی بهره خواهد برد.

به عنوان مثال در سیستم استریسک، باید Context پیش فرض را غیر فعال کنید. به این صورت که معمولا داخل این Context عملی صورت نمی گیرد و کاملا خالی است.

7.16 حذف برخی اطلاعات از بدنه پیام های ارسالی

پیام های مربوط به پروتکل های SIP در بدنه ی خود اطلاعاتی دارند که برخی از آن ها می تواند اطلاعات مورد نیاز نفوذگران را در اختیارشان قرار دهد؛ در نتیجه توصیه می گردد تا این اطلاعات با مقادیر بی اهمیت جایگزین گردند. در حالت کلی، باید از انتشار هر گونه اطلاعاتی که ساختار و توپولوژی شبکه VoIP را نمایان می کند، جلوگیری گردد که اصطلاحا گفته می شود باید Topology hiding صورت گیرد.

 

به عنوان مثال در بدنه پیام های پروتکل SIP فیلدی به نام “:Server” وجود دارد که در سیستم های تلفنی به صورت پیش فرض حاوی برند و مدل دستگاه و یا نرم افزار می باشد؛ و از این طریق نفوذگر تشخیص می دهد که با چه سیستمی و چه نسخه و یا چه مدلی مواجه است.

7.17 تعاریف مشخص برای ترافیک های ورودی و خروجی

در سیستم های تلفنی باید به ازای تماس های ورودی و خروجی رول های مشخصی تعریف می گردد و مسیر ورودی و خروجی به درستی از هم تفکیک گردد. به طوری که ترافیک های ورودی تنها در صورت نیاز و پس از تشخیص سیستم بتوانند به بخش خروجی دسترسی داشته باشند.

در برخی از موارد شناسایی شده، نفوذگر از طریق مسیر ورودی توانسته است به مسیر خروجی دست یابد و از منابع خروجی سیستم برای اهداف شوم خود استفاده نماید.

یکی دیگر از سیاست های مهم برای ترافیک خروجی، جلوگیری از برقراری تماس های بین المللی می باشد و در صورت نیاز تنها باید برای کاربران خاص این امکان فراهم گردد.

در سیستم های تلفنی مبتنی بر استریسک، می توان دو Context مجزا برای تماس های ورودی و خروجی تعریف کرد، به طوری که نفوذگر در صورت ورود به Context ورودی نتواند به Context خروجی دست یابد.

7.18 رد درخواست های SIP دریافتی از منبع ناشناس

یکی از روش های مهم به منظور محافظت سیستم تلفنی در برابر حملات SIP Scan، عدم پذیرش درخواست های SIP با منبع ناشناس (Anonymous) می باشد.

برخی از بدافزارها با یافتن سیستم تلفنی شروع به ارسال درخواست های SIP به آن کرده و سعی می کنند با بررسی الگوهای مختلف، راه نفوذ به سیستم را بیابند. با رد این درخواست ها می توان از اینگونه حملات جلوگیری کرد.

علاوه بر این در سیستم های تلفنی نباید برای اشتباه بودن رمزعبور و یا عدم وجود نام کاربر، Response code های مختص به آن ها را ارسال کرد؛ این کار باعث می گردد تا نفوذگر با آگاهی بیشتری درخواست های خود را ارسال نماید. به عنوان مثال در صورتی که نفوذگر با یک نام کاربری و رمز عبور فرضی درخواست های خود را به سیستم ارسال نماید، در صورتی که سیستم Response code مربوط به عدم وجود کاربری را در پاسخ ارسال نماید، نفوذگر متوجه می شود که باید یک نام کاربری دیگر را امتحان کند. اما در صورتی که سیستم تلفنی تنها در پاسخ خود عدم صحت در اطلاعات مورد نیاز جهت احراز هویت را ارسال نماید، نفوذگر نمی داند نام کاربری اشتباه است و یا رمز عبور. این کار نفوذگر را به چالش خواهد کشید.

7.19 محدود کردن آدرس های IP مجاز برای داخلی ها

یکی از ساده ترین روش هایی که می توان از رجیستر شدن کاربران به صورت غیرمجاز جلوگیری کرد، ایجاد محدودیت بر روی آدرس IP مجاز برای رجیستر شدن می باشد. به عبارت دیگر برای یک داخلی که از یک آدرس ایستا و یا رنج آدرس مشخصی استفاده می کند، نباید مجوز رجیستر شدن از روی اینترنت داده شود؛ و تنها به داخلی هایی که این امکان را نیاز دارند، مجوز داده شود تا از روی اینترنت رجیستر شوند.

7.20 تغییر پورت های پیش فرض

نفوذگران از ابزارهای مختلفی برای یافتن سیستم هدف استفاده می کنند که رایج ترین روش مورد استفاده در این ابزارها، اسکن پورت های پیش فرض پروتکل های VoIP همچون پورت 5060 برای پروتکل SIP می باشد. ابزار اسکن، هر سیستمی را که بر روی این پورت گوش می دهد را در اختیار نفوذگر قرار می دهد و پس از شناسایی سیستم هدف توسط نفوذگر، حمله صورت می پذیرد.

بر این اساس، ساده ترین راه برای در امان ماندن از ابزار های اسکن، تغییر پورت های پیش فرض سیستم با شماره های ناشناس می باشد. علاوه بر این می توان تنظیمات Port Forwarding را بر روی روتر اینترنت فعال کرد. به عبارت دیگر درخواست های ارسالی به یک پورت ناشناس بر روی روتر به سمت سیستم تلفنی با پورت پیش فرض فرستاده می شود.

7.21 فیلتر کردن ترافیک های ورودی

مهم ترین المان مورد نیاز برای شبکه های IP از جمله VoIP، فایروال ها می باشند. فایروال با فیلتر کردن ترافیک های ورودی / خروجی، آدرس های IP و پورت ها، و به صورت کلی با ایجاد یک مانع بر سر راه ترافیک های ورودی، مانع از بروز بسیاری از حملات می گردد.

 

در شبکه های بزرگ و حساس معمولا تجهیزات مستقل به عنوان فایروال شبکه، مورد استفاده قرار می گیرند این در صورتی است که در شبکه های کوچک به امکانات فایروال بر روی روترها بسنده می شود. بسیاری از سیستم های تلفنی دارای فایروال درونی می باشند که کمتر مورد استفاده قرار می گیرند و فایروال-روتر های شبکه جایگزین آن ها می گردند. به صورت کلی پیشنهاد می گردد که هر دو فایروال مورد استفاده قرار گیرند چرا که در فایروال سیستم های تلفنی، ترافیک های مرتبط به آن را بیشتر می توان تحت کنترل قرار داد.

 

فایروال-روترها قابلیت های زیر را برای شما فراهم می کند:

  • NAT: یکی از قابلیت های مهم برای استفاده از سرویس های تلفنی در محیط خارجی می باشد و به شما این امکان را می دهد تا بدون اینکه سیستم تلفنی را در محیط اینترنت قرار دهید، به آن متصل شوید.
  • Port forwarding
  • VPN
  • محدود کردن آدرس های مجاز ورودی
  • محدود کردن پورت های مورد استفاده
  • فیلترینگ پروتکل های انتقال (UDP/TCP)

مهم ترین نکته در خصوص فایروال های شبکه این است که به دلیل عدم توانایی در آنالیز بخش دیتای بسته ها، قادر به شناسایی پروتکل های VoIP نبوده و تنها بخش IP بسته های دریافتی را می توانند فیلتر کنند. این کاستی باعث می شود تا حملات مرتبط با پروتکل های VoIP در صورتی که در سرآیند IP آن ها محدودیت امنیتی وجود نداشته باشد، به شبکه وارد شوند.

در سیستم های تلفنی، استفاده از NAT، Port forwarding، تغییر پورت پیش فرض، جلوگیری از ورود ترافیک با منبع ناشناس، غیرفعال کردن Ping، محدود کردن پورت های مربوط به پروتکل RTP و اتصال کاربران راه دور از طریق VPN به سیستم، راه حل های مناسبی برای جلوگیری از نفوذ می باشند.

7.22 محدود کردن دسترسی ها بر روی سرور میزبان

یکی از مشکلات امنیتی مهمی که در سرور میزبان سیستم تلفنی نادیده گرفته می شود، اعمال مجوزهای درست به کاربران و محدود کردن دسترسی ها می باشد. به عبارت ساده تر هرکسی تنها به هر چیزی که نیاز دارد، باید دسترسی داشته باشد.

فرض کنید بر روی سیستم تلفنی، سرویس FTP را راه اندازی کرده اید؛ در صورتی که مجوزها به درستی داده نشود، فایل های سیستم به راحتی در دسترس خواهند بود و نفوذگر می تواند بدافزار های مورد نیاز خود را بر روی سرور نصب کند. نکته ی مهم دیگر این است که امکان نصب نرم افزار بر روی سرور، تنها باید در اختیار مدیر سیستم باشد و تنها از طریق مدیر سیستم بتوان در آن تغییر ایجاد کرد.

از دیگر آسیب پذیری های امنیتی سیستم های تلفنی مبتنی بر VoIP، نرم‌افزار های تحت وب مرتبط می باشد، چرا که عمدتا نفوذگران از طریق http راحت تر می توانند به سیستم نفوذ کنند. بنابراین توصیه می گردد که دسترسی به نرم افزارهای وب برای کاربران خارجی غیرفعال گردد و تنها از طریق VPN و یا tunneling SSH در دسترس قرار گیرند.

آسیب پذیری دیگر، فعال بودن کاربر root در سیستم می باشد. نفوذگران معمولا به دنبال یافتن رمزعبور کاربر root می باشند که با یافتن آن می توانند به راحتی سیستم را در اختیار بگیرند. بهترین راه حل برای رفع این رخنه، غیر فعال کردن کاربر root و ایجاد یک کاربر با نام کاربری متفاوت اما با دسترسی های مشابه root می باشد.

یکی دیگر از پروتکل هایی که در سرورهای تلفنی باید محدود شوند و یا امکان آن غیر فعال گردد، SSH می باشد. این پروتکل باید در فایروال و سیستم تلفنی محدود گردد و تنها به آدرس IP مشخص و کاربر مشخص مجوز آن داده شود. همچنین پیشنهاد می گردد که پورت پیش فرض آن از 22 به مقدار دیگر تغییر داده شود.

8 ارائه راه حل جامع امنیتی برای سیستم های تلفنی

با توجه به آسیب پذیری های امنیتی شناخته شده در سیستم های تلفنی VoIP، راهکارهای مختلفی برای افزایش امنیت این سیستم ها ارائه گردیده است؛ راهکارهایی که به صورت پراکنده برای رفع بخشی از این آسیب پذیری ها و افزایش امنیت بیش از پیش ارائه گردیده اند.اما همانطور که گفته شد، پراکندگی و عدم یکپارچگی این ابزارها و حتی پیچیدگی در پیاده سازی، خود می تواند آسیب پذیری های امنیتی دیگری را بر روی سیستم تلفنی ایجاد کند.

بر این اساس، یک راه حل امنیتی جامع و یکپارچه برای شبکه های VoIP با عنوان Session Border Controller یا SBC ارائه شده است.

8.1 SBC چیست؟

SBC به زبان ساده، المانی است که منحصرا به شبکه های VoIP اختصاص دارد و این که هر مکالمه یا “Session” چگونه شروع می شود، چگونه ادامه می یابد و چگونه ختم می شود، را در لبه ی ورودی شبکه “Border”، کنترل می‌کند..

SBC همچون یک روتر، میان سرویس دهنده (یک سیستم تلفنی IP-PBX، یک سیستم UC و یا ITSP) و دریافت کنندگان سرویس (کاربران و یا سیستم های دیگر) قرار می گیرد و از این طریق تنها تماس های مجاز، میان دو شبکه ی مورد اعتماد (داخلی) و شبکه ی غیر قابل اعتماد (خارجی)، برقرار خواهند شد؛ از این طریق توپولوژی و معماری شبکه VoIP که در پشت این المان قرار گرفته اند، از دید همگان مخفی خواهد ماند.

به صورت کلی SBC همچون فایروالی برای شبکه های ویپ می باشد که علاوه بر برقراری امنیت، مسیریابی و یکپارچه سازی را نیز در این شبکه ها فراهم می کند.

جایگاه قرارگیری SBC همچون فایروال های شبکه، لبه ی ورودی شبکه VoIP می باشد، که معماری رایج آن در شکل زیر نشان داده شده است.

8.2 SBC در مقابل فایروال

از آنجایی که مهم ترین علت بکارگیری SBC در شبکه های VoIP، امنیت می باشد، معمولا سوالاتی که مطرح می گردند، عبارتند:

  • از اینکه تفاوت SBC و فایروال های شبکه چیست؟
  • آیا با وجود یک فایروال در لبه ی شبکه IP، نیازی به المان دیگری همچون SBC می باشد؟
  • آیا فایروال شبکه برای برقراری امنیت شبکه ی IP و VoIP کافی نیست؟

پاسخ این سوالات ارتباط تنگاتنگی با شناخت از شبکه ی VoIP و آسیب پذیری این شبکه دارد. در ادامه با بررسی قابلیت ها و امکاناتی که یک SBC فراهم می کند، به این سوالات پاسخ داده خواهد شد.

8.2.1 SBC برای امنیت

مهم ترین وظیفه ی یک SBC در شبکه VoIP، ایجاد یک لایه ی امنیتی و حفظ سیستم تلفنی از سوء استفاده توسط هکرها و کلاه برداران تلفنی می باشد. این المان کنترل سیگنالینگ و مدیا را که جهت برقراری یک مکالمه الزامیست، بر عهده دارد. به عبارت دیگر SBC یک B2BUA یا Back to Back User Agents می باشد؛ درخواست های رسیده در لبه ی بیرونی را دریافت کرده و برای آن ها، یک درخواست جدید در طرف مقابل ایجاد می کند.

این قابلیت، به SBC اجازه می دهد تا کلیه ارتباطات VoIP را کنترل و آنالیز کرده و سیاست های امنیتی را به صورت پویا اعمال کند.

8.2.2 پنهان سازی توپولوژی (Topology Hiding)

عبور هر پیام مربوط به پروتکل سیگنالینگ SIP، از المان های مختلف شبکه VoIP، باعث می شود تا فیلدی با عنوان “Via” به آن پیام اضافه گردد. در این صورت، هر پیام در هنگام خروج از شبکه، دارای مجموعه ای از این فیلدهاست که مسیر طی شده توسط آن پیام را نشان می دهد. این اطلاعات می تواند توپولوژی و ساختار شبکه VoIP را در اختیار نفوذگران قرار دهد. SBC با استفاده از قابلیت B2BUA، این فیلدها را حذف کرده و فقط یک فیلد “Via” که آدرس خودش را در آن قرار می دهد، درخواست های رسیده را به طرف دیگر منتقل می کند؛ و در نتیجه توپولوژی شبکه VoIP داخلی برای محیط بیرونی، مخفی می ماند.

8.2.3 NAT Traversal

یکی از مهمترین دلایلی که باعث می شود تا سیستم های تلفنی به صورت مستقیم در شبکه اینترنت قرار داده شوند و از این طریق مورد حمله قرار گیرند، مشکلات مربوط به NAT Traversal می باشد؛ که از قابلیت های SBC، رفع این مشکلات می باشد. در فایروال های شبکه به دلیل آن که از بدنه پیام های پروتکل SIP، شناختی وجود ندارد، تنها فرایند NAT در سرآیند IP بسته های مربوط به ترافیک VoIP، صورت می گیرد و تغییری در بدنه پیام SIP و یا SDP مربوطه، انجام نمی شود. به همین دلیل در بسیاری از موارد حتی با انجام برخی تنظیمات NAT در سیستم تلفنی، در صورتی که مکالمات برقرار شوند، بدون صدا خواهند بود و یا انتقال صدا تنها از یک سمت صورت می پذیرد. SBC با قرار گرفتن در لبه ی شبکه و آنالیز ترافیک ها، می تواند NAT را تشخیص دهد؛ و با باز نگه داشتن پورت های مورد نیاز بر روی فایروال و اصلاح آدرس های IP در بدنه و سرآیند پیام، مشکل NAT را رفع کند.

8.2.4 تشخیص و جلوگیری از نفوذ

یکی دیگر از تفاوت های مهم SBC و فایروال، امکان تشخیص حملات و جلوگیری از بروز آن ها می باشد. SBC این قابلیت را دارد که الگوی درخواست های ارسالی را شناسایی کند و مانع از انتقال ترافیک غیر عادی به داخل و یا خارج شبکه گردد. با استفاده از این مکانیزم تشخیص، SBC این قابلیت را دارد تا حملات DoS/DDoS، اسکن SIP Registration و حتی حملات Fuzzing همچون SIP Malformed Packet (ارسال پیام هایی که ساختار درستی ندارند)، را نیز تشخیص دهد و منبع ارسال کننده را مسدود کند.

یکی دیگر از نگرانی های امنیتی درحال حاضر، در ارتباط با BYOD می باشد. بسیاری از کاربران با تجهیزات شخصی خود، به شبکه محل کار متصل می گردند و ممکن است اپلیکیشن خاصی را نصب کنند، در حالی که این اپلیکیشن، یک بدافزار بوده و قصد سوء استفاده از بستر ارتباطی را دارد. SBC از طریق مکانیزم های تشخیص، می تواند این دسته از ترافیک ها را نیز شناسایی کرده و مسدود نماید.

8.2.5 پروتکل های امن

همانطور که قبلا نیز به آن اشاره شد، یکی از روش های امن سازی ارتباطات تلفنی بر روی بسترهای عمومی همچون اینترنت، بکارگیری پروتکل های امن همچون پروتکل TLS به منظور امن سازی سیگنالینگ و پروتکل SRTP به منظور محافظت از کانال های صوتی می باشد. SBC این امکان را فراهم می کند تا با استفاده از سخت افزار مستقل، پردازش های مربوط به رمزنگاری ترافیک صورت پذیرد و از این طریق، بدون هیچ گونه خللی در توان پردازشی سیستم، به صورت کامل از ظرفیت آن بهره برد.

قابلیت های اشاره شده، از جمله مهم ترین تفاوت های میان SBC و فایروال شبکه بوده و بر همین اساس نمی توان یک SBC را با یک فایروال شبکه جایگزین کرد. چه بسا که این دو المان در کنار هم می توانند سطح قابل توجهی از امنیت را برای شبکه VoIP، ایجاد کنند. از همین رو SBC دارای یک فایروال داخلی نیز می‌باشد.

8.2.6 SBC برای مسیریابی

به دلیل قرار گرفتن SBC در لبه ی شبکه VoIP، نیاز است تا پس از آنالیز ترافیک دریافتی و اعمال سیاست های امنیتی، ترافیک مجاز به سمت مقصد مورد نظر، مسیریابی گردد. قابلیت مسیریابی تماس ها به سمت داخلی ها، سیستم تلفنی، ترانک ها و … به صورت پیشرفته، بر اساس پارامترهای مختلف، از دیگر قابلیت هایی است که SBC فراهم می کند.

قابلیت بکارگیری پارامترهای مختلف که از دیتابیس استخراج می گردند، و پارامترهای پروتکل SS7 که در پیام های SIP بسته بندی شده اند، از دیگر قابلیت هایی است که در مسیریابی تماس‌ها می توان از آن بهره برد.

ایجاد تعادل در مسیریابی تماس ها و مسیریابی کمترین هزینه بر اساس پارامترهای تعریف شده نیز از دیگر امکانات پیشرفته مسیریابی در SBC می باشد. با استفاده از این امکانات می توان میان ترافیک انتقالی بر روی ترانک ها، تعادل ایجاد کرد و یا مکالمات را از کوتاه ترین و کم هزینه ترین مسیر به سمت مقصد هدایت کرد.

8.2.7 SBC برای یکپارچه سازی

گسترش سیستم های تلفنی و بهره مندی از تکنولوژی های مختلف در ارتباطات، باعث شده است تا یکپارچه سازی این راه حل ها، از مهم ترین نیازمندی های هر سازمان تلقی گردد. بسیاری از سازمان ها، سیستم تلفنی IP-PBX را به همراه تجهیزات آنالوگ و یا دیجیتال VoIP برای ارتباط با شبکه مخابرات، مورد استفاده قرار می دهند؛ این در صورتی است که اگر نیاز به راه اندازی سیستم های UC همچون ماکروسافت Lync پدید آید، یکپارچه کردن این راه حل ها، به دلایل گوناگون همچون ناسازگاری پروتکل های انتقال و یا کدک ها، پیچیده خواهد بود.

یکی دیگر از قابلیت هایی که SBC فراهم می کند، یکپارچه کردن کلیه سیستم های مرتبط به شبکه VoIP می باشد. از طریق این المان در شبکه VoIP، می توان تجهیزات مختلف همچون گیت وی ها، IP-PBX و سیستم UC را به هم متصل کرده و یک سیستم واحد از دید کاربر، ایجاد کرد. به عبارت بهتر، SBC با قابلیت تعریف ترانک های مختلف، مسیریابی، پشتیبانی از پروتکل های مختلف انتقال همچون UDP ،TCP و TLS، و تبدیل کدک های متفاوت به هم، برقراری ارتباط میان تمامی اجزای شبکه VoIP را به بهترین نحو فراهم می کند

ارتباط میان سیستم های تلفنی پراکنده در نقاط مختلف و یا دسترسی کاربران به صورت راه دور، یکی دیگر از نمونه های رایج یکپارچه سازی است. با قرار گرفتن SBC در نقطه ی مرکزی و یا در هر یک از نقاط ارتباطی، می توان یک سیستم تلفنی یکپارچه، امن و با سطح کیفیت بالا ایجاد کرد و از مزایای تکنولوژی VoIP به صورت کامل بهره برد. در شکل زیر، نمونه ای از نحوه ی برقراری ارتباط میان سیستم های تلفنی در نقاط مختلف و کاربران راه دور، نشان داده شده است.

 

8.2.8 SBC برای مانیتورینگ

کنترل ترافیک های ورودی و یا خروجی شبکه VoIP و مانیتورینگ لحظه ای و آنلاین آن ها، از جمله روش هایی است که به منظور برقراری امنیت در شبکه VoIP، بر آن تاکید می شود. متاسفانه بسیاری از سیستم های تلفنی این قابلیت را ندارند و برای مدیران سیستم دشوار است که Log های سیستم را به صورت مداوم چک کنند.

SBC به دلیل عملکرد در لایه های مختلف، این امکان را فراهم می کند تا به صورت آنلاین و در لحظه، بتوان ترافیک تلفنی جاری را مانیتور کرد. همچنین با فراهم کردن جزییات تماس (CDR) که قابلیت یکپارچه شدن با سرور Radius را نیز دارد، می توان تماس ها را به صورت دقیق‌تر مورد بررسی قرار داد.

از دیگر امکانات کنترلی که SBC فراهم می کند، گزارشات مربوط به RTCP می باشد. به عبارت دیگر، خروجی این پروتکل کنترلی توسط SBC ثبت شده و آمار مربوطه در اختیار مدیر سیستم قرار داده می شود که با استفاده از آن می توان کیفیت ترافیک را سنجید.

SBC کیفیت سرویس (QoS) را با امکان تعریف ToS و یا DSCP نیز فراهم می کند و از این طریق، مانیتورینگ کیفیت سرویس در سطح IP را در اختیار قرار می دهد. در شکل زیر نحوه ی اعمال QoS بر روی ترافیک شبکه، نشان داده شده است.

9 نتیجه­ گیری

با توسعه تکنولوژی VoIP و افزایش سوء استفاده از آسیب پذیری های آن، برقراری امنیت و جلوگیری از نفوذ به این شبکه ها، از موضوعات حساس برای کاربران آن می باشد. در سال های اخیر، اخبار گوناگونی از حملات صورت گرفته به سیستم های تلفنی کسب و کارها، شنیده می شود؛ این که نفوذگران قبض های تلفن میلیونی را برای آن ها به یادگار گذاشته‌اند. در همین راستا، برای برقراری امنیت در شبکه های VoIP و جلوگیری از بروز آسیب های جبران ناپذیر، المانی با عنوان Session Border Controller یا SBC معرفی شده است.

 

SBC همچون فایروال شبکه های IP، در لبه ی شبکه VoIP قرار می گیرد و از این طریق کلیه ترافیک ورودی/خروجی را کنترل و آنالیز می کند. این المان، با اعمال مکانیزم های مختلف، حملات را تشخیص داده و مانع از بروز آن ها می شود. همانطور که در ابتدا اشاره شد، برای افزایش امنیت به میزان قابل توجه، علاوه بر روش های رایج، نیاز به تجهیزات خاصی می باشد که برای این منظور طراحی شده اند. SBC از جمله این تجهیزات می باشد، که برای این منظور ارائه گردیده است. با بکارگیری این المان و همچنین نکاتی که در بخش اول این مقاله ارائه گردید، می توان امنیت شبکه های VoIP را به میزان بسیار زیادی تامین کرد.

 

بازگشت به لیست
قدیمی‌تر سافت فون چیست ؟ / مزایا و کاربردهای سافت فون ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *