این یک حقیقت است که امنیت در فناوری ویپ گرد از بزرگ ترین نگرانی های مدیران سیستم های تلفنی است. مخصوصاً زمانی که کاربران بسیاری به یک شبکه متصل شده اند موضوع امنیت زیاد مهم تر می شود، زیرا هنگامی امنیت ویپ که شبکه تحت نفوذ پیمان بگیرد، اطلاعات دلنازک کل کاربران در معرض دسترسی هکرها قرار خواهد گرفت.
خوشبختانه امن نگه داشتن یک سیستم تلفنی ویپ نیاز نیست که پیچیده و پر دردسر باشد. امروز قصد داریم که لیستی از نکات مهمی را شناسایی کنیم که اگر آنها را رعایت کنید یک سیستم تلفنی ویپ امن خواهید داشت و هیچ هکری توانا نخواهد بود اطلاعات را متعلق به گرفتن کرده و آنها را بخواند.
هر سیستم تلفنی ویپی که در حال کار و جنبش است باید این موارد را رعایت کند، در غیر این چهره با خطر از دست رفتن اطلاعات یا لو رفتن آن ها مواجه خواهد شد. اگر شما از متخصصان ویپ برای راه اندازی این سرویس بهرهگیری می کنید، از آن ها بپرسید آیا این موارد را بر روی شبکه تعبیه کرده اند یا خیر؟ در مورد جستار امنیت شما همش باید پیگیر و هوشمند باشید.
1- ارتباطات ویپ خود را با به کارگیری پروتکل های SIPS و SRTP رمزگذاری کنید
برای ایمن نگه داشتن بستگی بین سرور و کلاینت، باید داده را از راه پورتکل های SIPS یا همان SIP over TLS و SRTP ارسال کنید. این پورت ها برای برقراری یک ارتباط امن بدست متخصصان به شدت توصیه شده اند.
پورتکل های SIPS و SRTP سیگنال های پیام و ترافیک صوتی را رمزگذاری می کنند لغایت برای هیچ هکری قابل نگریستن نباشد. همچنین هویت اخذ کننده را مورد تایید قرار می دهند الی امنیت اطلاعات تضمین شده باشد.
استفاده از SIPS بستگی بین سرور IP PBX و کلاینت را با به کارگیری TLS یا همان Transport Layer Security ایمن سازی می کند. برای برقراری یک ارتباط یک به یک امن، یک کلید امنیتی از طریق ssl بین کلاینت و سرور رد و بدل می شود تا همیشه هویت هر دو طرف تایید شده باشد. این کلید غیر قابل کپی و دریافت برای هکر ها خواهد بود و بدون این کلید دیتا قابل احضار نیست.
خبر خوب در مورد SIPS و SRTP این است که این دو پروتکل همگی مراحل و اطلاعات مرتبط با تشخیص تماس، پردازش و انتقال صدا را رمزنگاری می کنند الی کل چیز از دست هکر ها دور بماند. به عنوان نمونه در این پروتکل ها نه تنها صدا و دیتای پیوسته با آن رمزنگاری می شود، بلکه اطلاعات تماس همانند شناسه تماس گیرنده و اخذ کننده تماس نیز رمزنگاری شده لغایت از دسترس کل بعید بمانند.
خبر بد در باره SIPS و SRTP این است که برای به کارگیری آن ها، تمامی ساز و برگ مورد بهرهگیری قرار گرفته در شبکه تلفنی باید این دو پروتکل را مقارن حمایت کنند. در صورتی که هر دو پروتکل در تجهیزات شما موجود نباشد، این پروتکل ها کار و جنبش نخواهند کرد.
یک رهنمود امنیتی مهم دیگر این است که برای برقراری وابستگی رایانه با کامپیوتر باید از SSH استفاده کنید و برای برقراری ارتباط از طریق وب باید SSL پرکار باشد. برای اطمینان از پرکار بودن SSL به آدرس بار توجه کنید، در ابتدای آدرس صفحات باید https را تماشا کنید. در ضمن بسیاری از مرورگر ها در صورت هستی اس اس ال رنگ آدرس بار را سبز خواهند کرد.
2- از پسوردهای پیچیده و یکتا در سرتاسر سیستم ویپ کاربرد کنید
این بسیار مهم است که شما امنیت را به یک سطح بالاتر ارتقا دهید و از پسورد های یگانه و پیچیده در سرتاسر سیستم تلفنی خویش استفاده کنید. این پیچیده بودن رمزهای عبور کمک می کند که هکرها نتواند رمز های ساده و پیشفرض را گمان بزنند و وارد سیستم تلفنی شما شوند. به عنوان نمونه شما باید یک اسم کاربر ویژه و یک رمز عبور ویژه برای ورود به سرنوشت های گوناگون کاربرد کنید و رمز ها را بین اسم های کاربری گوناگون به اشتراک نگذارید.
هنگامی که در حال مپینگ (mapping) عدد ها و یا پلن های مسیردهی به تماس ها هستید، از کاربرد alias های پیشفررض برای E.164 خود داری کنید. حتما مطمئن شوید که E.164 ویرایش شده و کاملا یکتاست. بهترین تدبیر برای افزایش امنیت این است که شما یک E.164 خاص برای هر یوزر و پسورد کاربرد کنید.
برای افزایش سطح امنیت، تمامی دستگاه های ویپی که در سیستم تلفنی بهرهگیری کنید باید پین کد های گرد و با درازا کمینه 4 شماره داشته باشند. و در ضمن هر endpoint باید یک نام alias احد مخصوص خود داشته باشد. اگر دو endpoint کوشش به ثبت شدن با یک نام کردند، سیستم باید ارور ایجاد کرده و مدیریت را از این سوژه خبردار کند.
3- در تنظیم پروتکل های سیگنالینگ تماس، نکات مهم امنیتی را رعایت کنید
اگر شما از پروتکل H.323 یا H.225 استفاده می کنید، این جستار بسیار مهم است که نکات هویت سنجی ایمن را در اثناء تنظیم این دو پروتکل مد نظر پیمان دهید. نخستین و مهم ترین نکته که باید مد نظر داشته باشید این است که نباید از سیستم هویت سنجی استاندارد H.323 که از کد گذاری MD5 بهره می برد استفاده کنید. زیرا این روش رمزنگاری نیرومند نیست و همش یک مقدار هش شده 128 بیتی را باز می گرداند و در روبرو حملاتی که به replay سرشناس هستند، آفت پذیر است. به جای این شغل شما باید H.225 را در دالان TLS قرار دهید لغایت امنیت اطلاعات تضمین شده باشد.
معمول ترین طریق اعتبار سنجی (Authentication)، معروف به password hashing است که درواقع ترکیبی از پسورد هش شده MD5، یوزرنیم (آی دی H.323 یا آی دی عمومی) و timestamp (عدد منحصر به فرد تاریخ و زمان) است که یک مقدار هش شده کاملا یکتا فرآوری می کند.
در واپسین،انجام فارغ از اینکه شما از SIP، H.323 یا IAX بهرهگیری می کنید، مطمئن شوید در هنگامی که پروتکل های session شما می خواهند یک ایجنت کاربر یا endpoint را از حالت ثبت بیرون کنند (unregister) دربایستن به هویت سنجی دارند .
4- از پروتکل ها و عملیات های ایمن در شبکه تلفنی ویپ استفاده کنید
طراحی یک نقشه استراتژیک برای بازدارندگی از فعالیت شبکه های ضعیف و نفوذ پذیر، برای تضمین امنیت شبکه تلفنی ویپ بسیار مهم است. یک تمرین خوب برای حفظ امنیت در هنگام ادغام چند شبکه مختلف، به کارگیری متود مدیریت دستگاه out-of-band از طریق یک شبکه مدیریت کننده ایزوله شده و کاملا ایمن است. این شیوه مدیریت، مسیر حلی ایجاد می کند که شبکه خویش را بدون نابسامانی با شدامد معمولی مدیریت کنید. اگر شما از متود مدیریت دستگاه in-band استفاده می کنید باید مطمئن شوید که مدیریت in-band شما کاملا رمزنگاری شده است.
در هنگامی که به صورت روزانه سیستم تلفنی خویش را مدیریت می کنید، استفاده از نرم اسباب مدیریتی که لاگ های پی در پی برای اطلاعات حساس ثبت می کند زیاد ضروری است.
برای داشتن سرور هایی که همش فعال هستند و اختلالی در آن ها ایجاد نمی شود، شما باید از دو DHCP سرور استفاده کنید. در هنگامی که یکی از این سرور ها از دسترس بیرون می شود، دیگری وظیفه مدیریت کلاینت ها را برعهده خواهد گرفت. همچنین دسته منابع بین دو سرور، تنگنا را از روی آن ها بر می دارد.
یک تمرین پسندیده دیگر برای مدیریت پروتکل ها این است که از اس اس الnon-self-signed SSLv3/TLSv1 به به اتفاق cipher های نیرومند در اثناء عملیات process initiating encryption کاربرد کنید. برای داشتن یک پیوستگی امن، اگر سرتیفیکیت های اس اس ال تایید نشد یا اس اس ال تاریخ گذشته ارائه شد، وابستگی باید سریعا قطع شود.
یک نکته سایر که می توانید برای افزایش امنیت دلخواه پیمان دهید، غیر پرکار کردن قابلیت auto-discovery برای gatekeeper های بیگانه است. این شغل می تواند از دسترسی های تایید نشده به سیستم مرکزی تلفنی بازداری کند.
در واپسین،انجام پیمان دادن شبکه صوتی در پشت یک فایروال و نگارش قوانین مشخص برای دادن دسترسی به سیستم های بیگانه می تواند امنیت شبکه تلفنی ویپ شما را به شدت افزایش دهد.