امنیت ویپ (VoIP)، یک سوژه بسیار گسترده و و مهم می باشد و می تاب برای آن تعاریف مختلفی ارائه کرد؛ به طوری که هیچ یک از این تعاریف قطعی و مقاوم نخواهند بود، چراکه امنیت در وابستگی امنیت Voip با مسائلی است که هر روز در حال تغییر و دگرگونی می باشند. البته در اینجا امنیت در سیستم های تلفنی مبتنی بر VoIP مطرح می باشد.
برای کسب اطلاعات بیشتر در باره سیستم های تلفنی بر پایه VoIP می توانید به مقاله ذیل مراجعه کنید.
ویپ (VoIP) چیست؟
امنیت تنها از بین بردن دشواری ها یک المان مشخص نیست، بلکه مجموعه ای از ابزارها و فرآیندها می باشد؛ به عبارت دیگر امنیت همچون زنجیری است که اگر گرد از حلقه های آن لاغر باشد، آن زنجیر به سادگی از هم گسیخته خواهد شد.
هدف از این نوشتار برقراری ۱۰۰% امنیت در سیستم شما نیست، بلکه تنها برخی مسائل مهم و پایه ای و ابزارهای مرتبط با آن باره بررسی قرار گرفته اند. از آنجایی که هر سیستم تعاریف و طراحی مختص به خویش را دارد، هیچ مستندی نمی تواند به شما این تضمین را بدهد که امنیت کامل در سیستم شما برقرار می گردد.
نکته ی قابل توجه دیگر این است که برقراری امنیت از یک تابع نمایی فرمانبرداری می کند. به عبارت دیگر ممکن است لغایت نزدیک ۶۰ درصد امنیت سیستم خود را با انجام بعضی تنظیمات و تعریف سیاست های امنیتی، برپا کنید، بدون اینکه نیاز به تجهیزات سخت افزاری خاصی داشته باشید. اما برای آنکه این میزان را به ۹۵ درصد افزایش دهید، باید از ساز و برگ خاصی استفاده نمایید که برای شما هزینه خواهد داشت و اگر بخواهید این میزان را به ۹۹ درصد برسانید، هزینه ها به شدت افزایش خواهد یافت. نکته ی مهم سایر این است که هیچگاه به امنیت ۱۰۰ درصد دست نخواهید یافت.
با توجه به گزارشات اخیر مبنی بر حمله به سیستم های تلفنی VoIP، دپارتمان آموزش شرکت ساعیان بستگی بر آن شد تا نوشتار ای در مورد امنیت VoIP برای شما علاقمندان به این حوزه تهیه کند که در آن به بررسی آسیب پذیری ها، روش ها و ابزارهای رویارویی با این تهدیدات امنیتی بر روی سیستم های تلفنی مبتنی بر VoIP پرداخته و در سرانجام یک راه حل برای افزایش امنیت لغایت نزدیک ۹۵ درصد ارائه می شود.
سیستم های تلفنی
در این مقاله کوشش شده است تا تدبیر های ارائه شده، قابل استفاده برای اکثر سیستم های تلفنی مبتنی بر IP باشد، اما به علت رایج بودن سیستم های تلفنی بر پایه نرم افزارهای متن باز همچون Asterisk و FreeSwitch، سیستم استریسک در نمونه ها بکارگرفته شده است.
لایه های امنیتی VoIP
برقراری امنیت دارای لایه های گوناگون می باشد؛ به عبارت دیگر در جهت امن سازی یک سیستم، باید سطوح مختلفی از امنیت را پیاده سازی کرد. لایه هایی شامل فایروال، پناه دادن هویت و مانیتورینگ از جمله آن می باشد. این معماری ابتدایی ترین سطوح امنیتی را پوشش می دهد، به طوری که با پیاده سازی درست این لایه ها و تکنیک های پسندیده و مرتبط با آن ها، می طاقت امنیت سیستم را به چهره قابل توجهی شفا بخشید. چه بسا همانطور که در سرآغاز اشاره شد، برای افزایش سطح امنیت، شمار لایه ها و گونه ابزارهای مرتبط با هر لایه، تغییر خواهد کرد.
حملات داخلی و یا خارجی
یکی دیگر از مسائل مهم که کمتر به آن توجه می شود، منشا تهدیدات امنیتی است. معمولا تصور می شود که حملات فقط منشا اینترنتی و بیگانه دارند، این در صورتی است که تهدیدات امنیتی درونی نادیده گرفته می شوند؛ در حالی که از داخل، دسترسی به منابع سیستم آسان تر بوده و بسیاری از فیلترهای امنیتی هستی نخواهد داشت.
VoIP-Security-1
یکی از رایج ترین جمله هایی که شنیده می شود این است که "کارمندان ادب کافی برای نفوذ به سیستم را ندارند"؛ در حالی که نصب یک بدافزار با قابلیت ذخیره سازی نام کاربری و رمز عبور مربوط به تلفن ها، توسط کارمندی که از داخل به سیستم دسترسی دارد، امنیت سیستم تلفنی را به شدت ترسانیدن کرده و امکان نفوذ به سیستم را از بیرون افزایش میدهد. بر این اساس، باید امنیت سیستم را از درون و بیرون شبکه مورد توجه پیمان داد و همه ی سیاست های امنیتی را بر روی هر دو پهنه اعمال کرد.
VoIP-Security تازش های ویپ
انواع حملات بر روی سیستم های تلفنی مبتنی بر VoIP
حملات و نفوذهای صورت گرفته بر روی سرورهای تلفنی معمولا دو قصد را پیگیری می کنند:
سرقت خطوط تلفنی شهری و یا ترانک ها.
آسیب رساندن به سیستم تلفنی و برپایی توقف در سرویس دهی.
در حملات گونه اول که بدبختانه شوربختانه در کشور ما زیاد رایج است، نفوذگر از خطوط ارتباطی سیستم تلفنی براری برقراری تماس های تلفنی بیگانه که پرهزینه هستند، کاربرد می کند. به عبارت سایر از طریق سیستم تلفنی هدف، با دو نقطه گوناگون تماس پایدار می گردد و سپس این دو تماس را به هم متصل می کنند و از این روش از خطوط تلفنی، سوء کاربرد می گردد. حملات رایج برای این قصد عبارتند از:
SIP Registration Scan attack ،Dictionary attack ،Brute Force.
در شیوه دوم، قصد اصلی به خطر انداختن یک کسب و کار و برپایی نارسایی در ارتباطات تلفنی آن هاست، که معمولا کارمندان ناراضی و یا رقبا اقدام به این شغل می کنند. حملاتی همچون SIP Scan، Port Scan، SSH Brute Force، DoS و DDoS برای این منظور باره کاربرد پیمان می گیرند.
حملات و تهدیدات امنیتی سیستم های تلفنی به این دو شیوه ختم نمی شوند؛ به عنوان مثال ممکن است نفوذ با منظور دزدی اطلاعات تماس و یا اطلاعات کاربران یک سیستم تلفنی، و یا دست یابی به زیرساخت شبکه باشد.
همانطور که در پیشگفتار گفته شد برای جلوگیری از گونه ها این تهدیدات و رسیدن به 99 درصد امنیت، تجهیزات سخت افزاری و نرم افزاری خاصی باره احتیاج است؛ برآیند اینکه در ادامه به بررسی گذرگاه حل هایی می پردازیم که بردباری بروز حملات رایج را تفریق می دهد.
آسیب پذیری های امنیتی سیستم های تلفنی مبتنی بر VoIP
VoIP- رمز عبور و password
رمز عبور
رمزهای عبور و یا به اصطلاح Secret در دنیای VoIP، احد از مهم ترین آسیب پذیری های سیستم های تلفنی می باشد. به طوری که یک نفوذگر با یافتن یک اسم کاربری و رمز عبور آن می تواند از طریق سیستم تلفنی شما تماس رایگان استوار کند. در نتیجه، در چهره اصلاح رمزهای عبور، به میزان قابل توجهی امنیت سیستم تلفنی افزایش خواهد یافت.
معمولا کاربران از رمزهای عبور ساده برای آزمایش سیستم کاربرد می کنند و بدون رسیدگی سیستم از لحاظ امنیتی، آن را زیر بار می برند؛ و رمزهای عبور ساده و قابل تشخیص، به عنوان یک سوراخ امنیتی در سیستم باقی می مانند.
اهمیت رمزهای عبور برای هر داخلی (Extension) زمانی که کاربران راه دور و بیرونی داشته باشید، مشخص می گردد. چرا که در این چهره با یافتن رمز عبور به راحتی می طاقت از سیستم تلفنی سوء بهرهگیری شود.
یکی سایر از اشتباهات رایج تشابه رمز عبور با شماره درونی و استفاده از رمزهای عبور پیش فرض می باشد. به عنوان نمونه داخلی 201 با رمز عبور 201؛ این رمز عبور مثل این است که کاربر رمز عبوری ندارد.
رمزهای عبور باید ساختار مناسبی از لحاظ تعداد کاراکترها و گونه آن ها داشته باشند. به عنوان مثال سلسله 55178 را در عقیده بگیرید. این رمز عبور ناتوان است، چرا که ابزارهای نفوذ خیلی ابتدایی هم می توانند با چندین مرتبه آزمایش آن را پیدا کنند. یا زنجیره test123 نیز به همین چهره قابل تشخیص خواهد بود. برخی الگوهای رایج و بسیار ساده که در دقایق نخست به وسیله ابزارهای نفوذ، شکسته می شوند در سنه 2014 به چهره ذیل لیست شده اند:
123456
123456789
Password
1234
12345
1234567
12345678
abc123
Qwerty
123123
اما سلسله SE55na8tE از لحاظ شمار کاراکتر و ترکیب حروف و اعداد حائز ساختار مناسبی می باشد. البته رمزهای عبور این چنینی بسیار مشکل به خاطر سپرده می شوند، به همین علت به نگهداری نیاز دارند.
شاید جالب باشد بدانید چنانچه مکانیزمی برای بلاک کردن در سیستم وجود نداشته باشد، یک بد اسباب می تواند نزدیک 30 الی 40 درخواست رجیستر در ثانیه، بر روی یک خط ADSL با پهنای باند 1Mbps، ارسال کند؛ که بر این بنیاد می تواند در طول چند ساعت یک لغت نامه را به چهره کامل تست کند. (Dictionary Attack)
در بسیاری از موارد که سیستم تلفنی مورد تاختن پیمان گرفته است، حجم پیام های ارسالی به حدی بالا بوده است که کل شبکه نیز مختل شده است و یا کیفیت سایر مکالمات تلفنی به شدت تحت کارایی پیمان گرفته است.
به عنوان نکته ی واپسین،انجام مرتبط با رمزهای عبور، باید به این نکته توجه داشت که رمز عبور فقط مربوط به درونی ها نیست بلکه در تعریف ترانک ها میانی سیستم های تلفنی و یا گیت وی های VoIP نیز باید نکات امنیتی بیان شده، رعایت شوند.
برای کسب اطلاعات اغلب در باره گیت وی VoIP می توانید به نوشتار زیر مراجعه کنید.
گیت وی VoIP و کاربردهای آن
غیر فعال کردن قابلیت ها و یا ماژول های بدون استفاده
یکی دیگر از اقداماتی که باید در حین تاسیس سیستم های تلفنی باره پروا پیمان گیرد، غیرفعال کردن امکانات و یا ماژول هایی است که در حال آماده از آن ها استفاده نمی شود یا به نحوی برای عملکرد اصلی سیستم، الزامی نیستند. چرا که بسیاری از این قابلیت ها نوعی درگاه ورود به سیستم محسوب می گردند و یا نفوذگر از راه آن ها، می تواند از سیستم سوء کاربرد کند.
به عنوان مثال در سیستم استریسک، باید ماژول pbx_spool را در صورتی که متعلق به کاربرد نمی شود، غیر پرکار کرد. این ماژول امکان عدد گیری لیستی از عدد تلفن ها را فراهم می کند که ابزاری زیاد مناسب برای نفوذگران می باشد.
غیر پرکار کردن و یا تغییر در تنظیمات پیش فرض
علاوه بر این که توصیه می شود رمزهای عبور قبل فرض مورد بهرهگیری قرار نگیرند، باید تنظیمات و تعاریف پیش فرض نیز تغییر کنند و یا غیر پرکار شوند. چرا که اگر نفوذگر با ساختار سیستم شما آشنایی داشته باشد، از این مقادیر و تعاریف پیش فرض به راحتی به قصد رخنه به سیستم تلفنی سهم خواهد برد.
VoIP-Security Default قبل فرض
به عنوان نمونه در سیستم استریسک، باید Context پیش فرض را غیر فعال کنید. به این چهره که معمولا تو این Context عملی صورت نمی گیرد و کاملا خالی است.
حذف برخی اطلاعات از بدنه پیام های ارسالی
پیام های مربوط به پروتکل های SIP در بدنه ی خود اطلاعاتی دارند که برخی از آن ها می تواند اطلاعات مورد بیچارگی نفوذگران را در اختیارشان پیمان دهد؛ در نتیجه توصیه می گردد الی این اطلاعات با مقادیر بی اهمیت جایگزین گردند. در حالت کلی، باید از انتشار هر گونه اطلاعاتی که ساختار و توپولوژی شبکه VoIP را نمایان می کند، بازدارندگی گردد که اصطلاحا گفته می شود باید Topology hiding چهره گیرد.
به عنوان مثال در بدنه پیام های پروتکل SIP فیلدی به نام ":Server" وجود دارد که در سیستم های تلفنی به چهره پیش فرض حاوی برند و مدل دستگاه و یا نرم افزار می باشد؛ و از این روش نفوذگر تشخیص می دهد که با چه سیستمی و چه نسخه و یا چه مدلی روبرو است.
در سیستم های تلفنی مبتنی بر استریسک این فیلدها را می توانید در sip.conf مقدار دهی کنید:
useragent=NotAsterisk
sdpsession=NotAsterisk
تعاریف مشخص برای ترافیک های ورودی و خروجی
در سیستم های تلفنی باید به ازای تماس های ورودی و خروجی رول های مشخصی تعریف می گردد و مسیر ورودی و خروجی به حقیقت از هم جداسازی گردد. به طوری که شدامد های ورودی فقط در صورت دربایستن و پس از تشخیص سیستم بتوانند به بخش خروجی دسترسی داشته باشند.
تماس های ورودی خروجی ویپ
در بعضی از موارد شناسایی شده، نفوذگر از طریق مسیر ورودی توانسته است به گذرگاه خروجی دست یابد و از منابع خروجی سیستم برای اهداف شوم خود استفاده نماید.
یکی دیگر از سیاست های مهم برای شدامد خروجی، ممانعت از برقراری تماس های بین المللی می باشد و در چهره احتیاج تنها باید برای کاربران ویژه این امکان فراهم گردد.
قیمت انواع جاروبرقی در بازار/ جاروبرقی ایرانی ارزانتر است یا خارجی؟