اساس امنیت صدا VoIP
اساس امنیت صدا VoIP
امنیت برای سیستم های صوتی به عنوان مجموعه ای از معیارها در سطح وسیعی رتبه بندی می شود. چنانچه یک شرکت TDM سنتی (مالتی پلکسینگ بر مبنای تقسیم بندی زمان) بر مبنای سیستم تلفنی تحت IP یا PBX را گسترش دهد، پرسنل IT و مدیران صدا باید تمهیدات مناسبی جهت پیشگیری از تهدیداتی نظیر استراق سمع و ضررهای ناشی از نفوذ به شبکه برگزینند.سیستم های مخابراتی سیسکو می توانند از لحاظ امنیتی همانند سیستم های سنتی PBX ویا حتی امن تر از آنها باشند. ترافیک صوتی بر بستر همان شبکه ای که شرکت ها برای ترافیک داده از آن استفاده می کنند حرکت می کند و بنابراین یک شرکت که شبکه ای ایمن با زیرساخت Infra را گسترش داده، از قبل نیزسرمایه زیادی که برای محافظت از سیستم صوتی شان نیاز دارد، تقبل کرده است. در آزمایشات جداگانه توسط Miercom، راهکارهای تلفنی Cisco از لحاظ امنیتی بالاترین جایگاه در صنعت را از آن خود کرده است.
انواع تهدیدات صوتی:
نفوذ به سیستم کنترل تماس (Toll Fraud)
Toll Fraud به کاربران داخلی یا خارجی که از سیستم تلفن شرکتی برای قرار دادن تماس های تلفنی خارج شهری غیرمجاز استفاده می کنند، اشاره دارد.
عدم پذیرش سرویس (Denial of Service)
در اینگونه حملات موسوم به Dos، هاکرها از ابزارهایی خودکار برای ارسال سیلی از ترافیک مزاحم به IP Phones، سرورهای پردازشگر تماس یا اجزا infra structure استفاده می کنند. هدف آن ها تخلیه منابع شبکه است بطوریکه تماس ها مرتبا قطع شده یا نمی توانند مورد پردازش قرار گیرند. یک انگیزه معمول، سردرگم کردن اعضای گروه IT به منظور اجرای حملات دیگر است.
جعل هویت (Spoofing)
در این شاهکار، یک هاکر مشخصات و هویت قانونی کاربر را می دزد بطوریکه تماس های تلفنی هاکر به گونه ای که از طرف کاربر دیگری است ظاهر می شود. به عنوان مثال، ممکن است شخصی وانمود کند که یکی از کارمندان گروه IT است و به یک شرکت مجری برای درخواست رمز، تلفن کند. اگر یک شماره تلفن به ظاهر مجاز به عنوان caller ID، نمایش داده شود که به آسانی، هم با TDM یا سیستم های تلفنی IP انجام می شود، قربانی ممکن است فریب بخورد. هاکرها می توانند یک IP و همچنین سرور DHCP که IP تولید می کند را دور بزنند.
استراق سمع (Eavesdropping)
در اینگونه حملات یک کاربر داخلی، IP یک router یا کامپیوتر شخصی را برای جاسوسی روی ترافیک صوتی، در حالیکه داده ها نظیر رمزها در حین مکالمه تلفنی به شماره گیر تلفن وارد می شوند هک می کند. پس از کپی کردن سریع اطلاعات، کاربر ترافیک صوتی را به مقصد مورد نظر ارسال می کند بنابراین نه فرستنده و نه گیرنده نمی فهمند که مکالمه شنود شده است. انگیزه ها نوعا جاسوسی یا آزار و اذیت است. استراق سمع به دلیل ابزارهای شنود اطلاعات که به طور گسترده ای در دسترس هستند، آسانتر شده است. همچنین پیشگیری از این امر نیز نسبتا آسان است.
موارد زیر مجموعه ای است از تکنولوژی های ایمن infrastructure که به ویژه برای محافظت سیستم های صوتی مفید می باشند:
شبکه مجازی (Virtual LAN)
تکنولوژی شبکه مجازی Cisco که داخل Cisco routers، switches Catalyst Cisco و Cisco Aironet Wireless access points گنجانده شده، شبکه فیزیکی را به چندین شبکه منطقی مجزا می کند. به عنوان مثال تفکیک شبکه یک شرکت به بخش های منابع انسانی، فروش، بازاریابی، مهندسی و مالی. یک تکنیک اساسی برای امنیت صدا ایجاد یک شبکه مجزای مجازی برای صداست. یک حسن آن این است که ترافیکی که بر بستر شبکه مجازی صدا فرستاده می شود برای افراد در داخل ویا خارج شبکه که به داده های شبکه متصل هستند قابل رؤیت نیست و ترافیک داده ها نمی تواند از شبکه مجازی صوتی بگذرند. امتیاز دیگرآن این است که IT می تواند یک کلاس منحصربه فرد سرویس برای شبکه مجازی صوتی اختصاص دهد تا مطمئن شود که ترافیک صوتی بر ترافیک داده اولویت دارد.
موارد زیر روش هایی هستند که شبکه های مجازی از طریق آن سیستم صوتی را از تهدیدات امنیتی محافظت می کند:
• پیشگیری از نفوذ به سیستم کنترل تلفن – شرکت ها می توانند سیاست های متفاوت برای کنترل دسترسی به شبکه مجازی صوتی خود اعمال کنند. به عنوان مثال دادن اختیار به کارمندان بخش صنعتی برای دسترسی به بخش داده نه بخش صدا. همچنین دایر کردن یک شبکه مجازی مجزا، مانع سعی کارکنان برای استفاده از شبکه بخش های دیگر برای تماس های خارج شهری به منظور اجتناب از افزایش صورت حساب تماس هایشان می شود.
• پیشگیری از حملات DoS– بیشتر این حملات از یک کامپیوتر شخصی ناشی می شوند بنابراین نمی توانند بر IP Phones و سرورهای پردازش تماس که به شبکه مجازی صوتی مجزا متصل هستند تاثیر گذارند.
• پیشگیری از استراق سمع و نفوذ در شبکه –هاکرها نوعا روی مکالمات با استفاده از یک کامپیوتر به همراه یک نرم افزار ویژه برای اتصال به همان شبکه صوتی استفاده می کنند. اگر شرکت کنندگان در مکالمات صوتی به طور منطقی در شبکه مرزبندی شوند، یک هاکر نمی تواند به شبکه مجازی با یک کامپیوتر نفوذ کند.
جاسوسی در DHCP
در یکی از انواع شنودها، یک کاربر به منظور هدایت کل ترافیک شبکه از طریق ابزاری تحت کنترل کاربر شبکه، هویت سرور DHCP را جعل می کند. انگیزه این کار می تواند استراق سمع یا اجرای حملات DoS باشد. برای پیشگیری از آن، شرکت ها می توانند از ویژگی سوئیچ های Catalyst شرکت Cisco برای تعریف پورت های مطمئن استفاده کنند که می تواند درخواست ها و پیغام های مبنی بر دریافت صحیح اطلاعات(acknowledgements) سرور DHCP را منتقل کند، درحالیکه پورت های نامطمئن فقط می توانند درخواست های DHCP را ارسال کنند.
اگر یک کاربر خرابکار تلاش کند تا از طریق پورتی نامطمئن یک DHCP acknowledgement را به داخل شبکه بفرستد، به این درخواست مجوز داده نمی شود و بدین ترتیب تلاش برای جاسوسی بی نتیجه می ماند.
مدیریت امنیت
سازمان هایی با شبکه های امن تحت IP برای ثبت تماس ها، هشدارها وبازبینی ترافیک، از نرم افزار مدیریت استفاده می کنند.همچنین سازمان ها در آینده می توانند وضع امنیتی خود را با محفاظت ابزار مدیریتی ازآسیب توسط مهاجمان، بهبود ببخشند. در غیراینصورت، مهاجمان باهوش که به ابزار مدیریتی دستیابی پیدا می کنند می توانند با فرستادن اولین ترافیک که به وضوح غیرمجازاست، تجاوزها و حملات را مبهم و نامفهوم کنند وبه دنبال آن با درخواست چندین مدخل ورودی و هشدارها می توانند توجه IT را از حمله واقعی منحرف کنند.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.