بدون شک شرح کسانی را شنیده اید که سیستم تلفنی ویپ آنها هک شده است و مجبور به پرداخت خسارت های بسیارزیاد شده اند. تجهیزات ارتباطی و سرویس ویپ بدون در نظر گرفتن مدل یا برند، همانند هر سرویس یا سروری نیاز به پیش بینی های امنیتی دارد. امنیت تنها از بین بردن مشکلات مجموعه ای از ابزارها و فرآیندها می باشد؛ به عبارت دیگر امنیت همچون زنجیری است که اگر یکی از حلقه های آن ضعیف باشد، آن زنجیر به سادگی از هم گسیخته خواهد شد.
انواع حملات نفوذ پذیری سیستم های تلفنی ویپ
می توان حملات نفوذ پذیری سیستم های تلفنی ویپ را به سه نوع تقسیم کرد:
حملات نفوذ جهت سرقت ترافیک در VOIP
حملات نفوذ جهت سرقت ترافیک بیشتر از خارج کشور با هدف دسترسی به خطوط تلفن VOIP صورت می گیرد که به طور معمول باعث خسارت مالی سنگین می گردد. حملات نفوذ جهت سرقت ترافیک معمولا از انواع SIP Registration Scan attack، Dictionary attack، Brute Force می باشند.
حملات نفوذ جهت توقف سرویس VOIP
حملات نفوذ جهت توقف سرویس برای اختلال یا توقف در سرویس دهی کسب و کار از جانب عوامل داخلی و برخی موارد خارجی صورت می پذیرد. حملات نفوذ جهت توقف سرویس از انواع حملات نفوذ عمومی بوده و معمولا از انواع SIP Scan، Port Scan، SSH Brute Force، DoS و DDoS می باشند.
حملات نفوذ جهت سرقت اطلاعات VOIP
حملات نفوذ جهت سرقت اطلاعات جهت دسترسی به اطلاعات موجود در سیستم مانند لیست تماس ها, اطلاعات کاربران, شنود مکالمات و فایل های ضبط شده صورت می گیرد. این نوع از حملات را می توان در انواع حملات متداول امنیتی دسته بندی کرد.
امنیت ویپ و کاهش آسیب پذیری
1. محدودیت دسترسی شبکه در VOIP
محدود کردن دسترسی سرویس دهنده ویپ
محدود کردن دسترسی برای همه آی پی های بیرون شبکه به ویژه محدودکردن دسترسی برای آی پی های خارج ایران
محدود کردن دسترسی تنها به پورت های ضروری
ضروری
(SIP: 5060(TCP/UDP
(RTP: 10000-20000(UDP
(IAX2: 4569(UDP
اختیاری
با توجه به تنظیمات سرویس دهنده:Web Access
(SSH: 22 (TCP
با توجه به تنظیمات سرویس دهنده: AMI
2. تغییر پورت های دسترسی شبکه VOIP
پورت های دسترسی پیش گزینه یا متداول را تغییر دهید. این تغییر برای جلوگیری از حمله و نفوذ از سیستم های نفوذ و هک خودکار تا درصد قابل ملاحظه ای مفید می باشد. این تغییر بهتر است یک عدد تصادفی و نامعمول باشد. پورت های متداول و پیش گزینه ای که پیشنهاد می شود تعویض شود:
SSH, Web Access, SSL, SIP, IAX2
3. استفاده از NAT
از سرویسNAT استفاده کنید. سرویس دهنده ویپی که پشت سرویس NAT قرار دارد از امنیت قابل ملاحظه ای برخوردار است. استفاده از DMZ بدون هیچ امکانات دیگری می تواند بدترین گزینه انتخابی باشد که آسیب پذیری رابسیارافزایش می دهد. وقتی از سرویس NAT استفاده می کنید باید مراقب ملاحظات پروتکل SIP نیز باشید.
4. استفاده از FAIL2BAN
از سرویس Fail2Ban استفاده کنید. سرویس Fail2Ban برای جلوگیری از هک و نفوذ نام کاربری و رمز سیستم بااین روش سعی و خطا می شود. سرویس Fail2Ban دارای Log مناسب می باشد و در صورتی که نفوذ از یک منبع تکراری باشد, آی پی منبع مورد نظر تا مدت زمان دلخواه مسدود می شود.
5. محدودیت امکان ریجیستر شدن داخلی های سیستم VOIP
برای ریجیستر شدن داخلی های سیستم VOIP را به یک شبکه یا آی پی خاص محدود کنید. این امکان در سیستم های مبتنی بر استریسک با پارامترهای Permit/Deny امکان پذیر است. با این محدودیت اگر نام کاربری و رمز داخلی فاش شده و یا به سرقت برود آی پی آدرس های غیر مجاز، نمی تواند با آن داخلی رجیستر شود.
6. محافظت از OUTBOUND ROUTE
در واقع بخش با اهمیت و نگران کننده سرویس دهنده ویپ مسیر خروج تماس ها به مخابرات است. نفوذ و هک به منظوردسترسی این بخش می باشد.
در یک سیستم VOIP می توان محدودیت های ذیل را برای سخت تر شدن نفوذ در نظر گرفت:
رمز برای Outbound Route, به ویژه برای تماس های بین اللملی
محدودکردن داخلی های مشخص به Outbound Route
فعال بودن در محدوده زمانی مشخص برای Outbound Route
7. استفاده از رمزهای عبور مناسب
کلیه رمزهای عبور میبایست پیچیده, غیر قابل پیش بینی و تصادفی باشد. یک رمز قوی و مناسب کلمه ای است ترکیبی از عدد, حروف(کوچک و بزرگ), نشانه با حداقل طول 12 کاراکتر
8. محدود کردن تعداد مکالمات همزمان در VOIP
تعداد مکالمات هم زمانی را که یک داخلی می تواند انجام دهد را محدود کنید. همین طور تعداد کانال های همزمان برای ترانک را هم محدود کنید.
9. مانیتورینگ و نظارت
تنظیمات مربوط به لاگ های سیستم, نگهداری در محل مناسب و مدت مناسب و در ادامه بررسی به طور منظم و برنامه ریزی شده به پیش بینی و پیش گیری از آسیب های امنیتی و یا پوشش حفره یا خلاء امنیتی کمک می کند.
10. امنیت لایه شبکه
امنیت لایه شبکه برای تامین حداکثر امنیت پیاده سازی شبکه برای سرویس دهنده ویپ ضروری است. بهره گیری از فایروال مناسب, مانیتورینگ و . . . که توسط کارشناس مورد نظر پیاده سازی و نصب گردیده ضروری می باشد.
11. TLS/SRT
از TLS/SRTP استفاده کنید. قسمت قابل توجه موارد امنیتی فوق برای محافظت در مقابل نفوذ پذیری و هک بود برای دنبال نفوذ به سیستم و دزدیدن ترافیک هستند, استفاده از TLS/SRTP به حفاظت مکالمات ارتباطی شما از شنود کمک می کند.
12. بستر و ساختار امن
برای پیاده سازی سرویس ویپ برای سازمان هایی که دارای شعب متعدد می باشند و نیاز به ارتباط بین شعب و دفتر مرکزی از طریق بستر عمومی اینترنت می باشد, تامین و ایمن سازی با بهره گیری از سرویس های VPN ضروری و گزینه مناسبی می باشد. استفاده از VPN سخت افزاری جهت جلوگیری از کاهش پارامترهای کیفیتی بستر ارتباطی توصیه می شود.
13. محدود کردن ارتباط بین الملل
با مراجعه به مخابرات برای خطوطی که نیاز به ارتباطات بین الملل ندارد می توان درخواست مسدود کردن -00- بین الملل را داد. هر چند این راه بسیار محدود کننده است ولی راه حل موثر برای شرکت ها و سازمان هایی که ارتباط بین الملل برای کلیه خطوط خود لازم ندارند می باشد.
14. غیر فعال کردن قابلیت ها و یا ماژول های بدون استفاده
حداقل سرویس ها و ماژول های لازم در سیستم فعال باشند و سایر سرویس ها, قابلیت ها و ماژول ها غیر فعال گردد. این موارد مانند pbx_spool, AMI,…. در سرور استریسک و یا FTP,SAMBA,… بر روی سرور لینوکس باشد.
15. تغییرپیش فرض
کلیه تنظیمات پیش فرض اعم از پسورد ها ,ماژول ها, … در سیستم از حالت پیش فرض خارج شود.
16. TECHNOLOGY HIDING
این روش در واقع حذف و تغییر اطلاعات اضافی غیر ضروری که در تبادل داده ها می باشد. به عنوان نمونه پیام های SIP دارای فیلد داده ای است به نام “Server:” که به صورت پیش فرض اطلاعات تولیدکننده, مدل دستگاه و یا نرم افزار را دارد این به شخصی یا سیستم نفوذ کننده قدرت تشخیص نوع و مدل سیستم را می دهد. می توان در سیستم های تلفنی مبتنی بر استریسک این فیلدها را در sip.conf تغییر داد:
Useragent = NotAsterisk
Sdpsession = NotAsterisk
17. پاسخ ناشناس
برخی سیستم های اتوماتیک باارسال درخواست SIP سعی در پیدا کردن یک راه نفوذ به سیستم هستند و اگر سیستم در پاسخ به درخواست آنها کد response code دقیق و صحیح را ارسال کند سیستم نفوذگر اطلاعاتی دریافت می کند که مسیر یافتن نفوذ را برای آن کوتاه تر می کند. به عنوان نمونه در سیستم های تلفنی نباید برای اشتباه بودن رمزعبور و یا عدم وجود نام کاربر، Response code های مختص به آن ها را ارسال کرد, این کار باعث می گردد تا سیستم حمله کننده با اطلاعات بیشتری درخواست های خود را ارسال نماید. در سیستم های تلفنی مبتنی بر استریسک، می توان در sip.conf این تغییرات را اعمال کرد.
Allowguest = no
Alwaysauthreject = yes
18. سیستم عامل
کنترل, نظارت و محدود کردن دسترسی ها بر روی سیستم عامل سرویس دهنده از نکات مهم و بسیار قابل توجه می باشد زیرا در صورتی که این امر رعایت نشود کلیه ملاحظات امنیتی دیگر بدون اثر می گردد. این مورد امنیتی می بایست توسط یک کارشناس حرفه ای پیاده سازی و نظارت گردد.
19. فایروال VOIP
فایروال راه حلی جامع برای امنیت سرویس های ویپ Session Border Controller یا SBC می باشد. SBC نرم افزار یا سخت افزاری است ویژه سرویس های ویپ و بر چگونگی شروع, ادامه و ختم مکالمه “Session” نظارت می کند. SBC مانند یک فایروال، میان سرویس دهنده(IPPBX, UCM, ITSP) و دریافت کنندگان سرویس قرار می گیرد. می توان SBC را همانند فایروالی برای سرویس های ویپ در نظر گرفت که علاوه بر برقراری امنیت، مسیریابی و یکپارچه سازی را نیز در این شبکه ها فراهم می کند.
20. سخت افزار VOIP
تمام پیش بینی های امنیتی برای تضمین حداکثری برقراری سرویس می باشد. جهت این پیاده سازی بهره گیری از سخت افزار های مناسب و قابل اطمینان درکنار شرایط محیط مناسب می توانند به کارشناس حرفه ای در این پیاده سازی کمک کند.
برای مطالعه مقالات بیشتر درباره ویپ به آموزش های ما مراجعه نمایید