امنيت سيستم تلفني ويپ

اين يك حقيقت است كه امنيت در تكنولوژي ويپ يكي از بزرگ ترين نگراني‌ هاي مديران سيستم هاي تلفني است. مخصوصاً زماني كه كاربران امنيت سيستم تلفني ويپ بسياري به يك شبكه متصل شده اند موضوع امنيت بسيار مهم تر مي شود، زيرا هنگامي كه شبكه تحت نفوذ قرار بگيرد، اطلاعات حساس همه كاربران در معرض دسترسي هكرها قرار خواهد گرفت.
خوشبختانه امن نگه داشتن يك سيستم تلفني ويپ نياز نيست كه پيچيده و پر دردسر باشد. امروز قصد داريم كه ليستي از نكات مهمي را معرفي كنيم كه اگر آنها را رعايت كنيد يك سيستم تلفني ويپ امن خواهيد داشت و هيچ هكري قادر نخواهد بود اطلاعات را از آن دريافت كرده و آنها را بخواند.
هر سيستم تلفني ويپي كه در حال فعاليت است بايد اين موارد را رعايت كند، در غير اين صورت با خطر از دست رفتن اطلاعات يا لو رفتن آن ها مواجه خواهد شد. اگر شما از متخصصان ويپ براي راه اندازي اين سرويس استفاده مي كنيد، از آن ها بپرسيد آيا اين موارد را بر روي شبكه تعبيه كرده اند يا خير؟ در مورد موضوع امنيت شما هميشه بايد پيگير و هوشمند باشيد.
1- ارتباطات ويپ خود را با استفاده از پروتكل هاي SIPS و SRTP رمزگذاري كنيدبراي ايمن نگه داشتن ارتباط بين سرور و كلاينت، بايد ديتا را از طريق پورتكل هاي SIPS يا همان SIP over TLS و SRTP ارسال كنيد. اين پورت ها براي برقراري يك ارتباط امن توسط متخصصان به شدت توصيه شده اند.
پورتكل هاي SIPS و SRTP سيگنال هاي پيام و ترافيك صوتي را رمزگذاري مي كنند تا براي هيچ هكري قابل مشاهده نباشد. همچنين هويت دريافت كننده را مورد تاييد قرار مي دهند تا امنيت اطلاعات تضمين شده باشد.
استفاده از SIPS ارتباط بين سرور IP PBX و كلاينت را با استفاده از TLS يا همان shipping Layer security ايمن سازي مي كند. براي برقراري يك ارتباط يك به يك امن، يك كليد امنيتي از طريق ssl بين كلاينت و سرور رد و بدل مي شود تا هميشه هويت هر دو طرف تاييد شده باشد. اين كليد غير قابل كپي و دريافت براي هكر ها خواهد بود و بدون اين كليد ديتا قابل خواندن نيست.
خبر خوب در مورد SIPS و SRTP اين است كه اين دو پروتكل تمامي مراحل و اطلاعات مرتبط با تشخيص تماس، پردازش و انتقال صدا را رمزنگاري مي كنند تا همه چيز از دست هكر ها دور بماند. به عنوان مثال در اين پروتكل ها نه تنها صدا و ديتاي مرتبط با آن رمزنگاري مي شود، بلكه اطلاعات تماس مانند شناسه تماس گيرنده و دريافت كننده تماس نيز رمزنگاري شده تا از دسترس همه دور بمانند.
خبر بد در مورد SIPS و SRTP اين است كه براي استفاده از آن ها، تمامي تجهيزات مورد استفاده قرار گرفته در شبكه تلفني بايد اين دو پروتكل را همزمان پشتيباني كنند. در صورتي كه هر دو پروتكل در تجهيزات شما موجود نباشد، اين پروتكل ها فعاليت نخواهند كرد.
يك توصيه امنيتي مهم ديگر اين است كه براي برقراري ارتباط كامپيوتر با كامپيوتر بايد از SSH استفاده كنيد و براي برقراري ارتباط از طريق وب بايد SSL فعال باشد. براي اطمينان از فعال بودن SSL به آدرس بار توجه كنيد، در ابتداي آدرس صفحات بايد https را مشاهده كنيد. همچنين بسياري از مرورگر ها در صورت وجود اس اس ال رنگ آدرس بار را سبز خواهند كرد.
2- از پسوردهاي پيچيده و يكتا در سرتاسر سيستم ويپ استفاده كنيداين بسيار مهم است كه شما امنيت را به يك سطح بالاتر ارتقا دهيد و از پسورد هاي يكتا و پيچيده در سرتاسر سيستم تلفني خود استفاده كنيد. اين پيچيده بودن رمزهاي عبور كمك مي كند كه هكرها نتواند رمز هاي ساده و پيشفرض را حدس بزنند و وارد سيستم تلفني شما شوند. به عنوان مثال شما بايد يك نام كاربر خاص و يك رمز عبور خاص براي ورود به قسمت هاي مختلف استفاده كنيد و رمز ها را بين نام هاي كاربري مختلف به اشتراك نگذاريد.
هنگامي كه در حال مپينگ (mapping) شماره ها و يا پلن هاي مسيردهي به تماس ها هستيد، از استفاده alias هاي پيشفررض براي E.164 خود داري كنيد. حتما مطمئن شويد كه E.164 ويرايش شده و كاملا يكتاست. بهترين راهكار براي افزايش امنيت اين است كه شما يك E.164 خاص براي هر يوزر و پسورد استفاده كنيد.
براي افزايش سطح امنيت، تمامي دستگاه هاي ويپي كه در سيستم تلفني استفاده كنيد بايد پين كد هاي يكتا و با طول حداقل four عدد داشته باشند. و همچنين هر endpoint بايد يك نام alias يكتا مخصوص خود داشته باشد. اگر دو endpoint تلاش به ثبت شدن با يك نام كردند، سيستم بايد ارور ايجاد كرده و مديريت را از اين موضوع خبردار كند.
3- در تنظيم پروتكل هاي سيگنالينگ تماس، نكات مهم امنيتي را رعايت كنيداگر شما از پروتكل H.323 يا H.225 استفاده مي كنيد، اين موضوع بسيار مهم است كه نكات هويت سنجي ايمن را در هنگام تنظيم اين دو پروتكل مد نظر قرار دهيد. اولين و مهم ترين نكته كه بايد مد نظر داشته باشيد اين است كه نبايد از سيستم هويت سنجي استاندارد H.323 كه از كد گذاري MD5 بهره مي برد استفاده كنيد. زيرا اين روش رمزنگاري قدرتمند نيست و هميشه يك مقدار هش شده 128 بيتي را باز مي گرداند و در مقابل حملاتي كه به replay معروف هستند، آسيب پذير است. به جاي اين كار شما بايد H.225 را در تونل TLS قرار دهيد تا امنيت اطلاعات تضمين شده باشد.
معمول ترين روش اعتبار سنجي (Authentication)، معروف به password hashing است كه درواقع تركيبي از پسورد هش شده MD5، يوزرنيم (آي دي H.323 يا آي دي عمومي) و timestamp (عدد منحصر به فرد تاريخ و زمان) است كه يك مقدار هش شده كاملا يكتا توليد مي كند.
در آخر فارغ از اينكه شما از SIP، H.323 يا IAX استفاده مي كنيد، مطمئن شويد در هنگامي كه پروتكل هاي consultation شما مي خواهند يك ايجنت كاربر يا endpoint را از حالت ثبت خارج كنند (unregister) نياز به هويت سنجي دارند .
Four- از پروتكل ها و عمليات هاي ايمن در شبكه تلفني ويپ استفاده كنيدطراحي يك نقشه راهبردي براي جلوگيري از فعاليت شبكه هاي ضعيف و نفوذ پذير، براي تضمين امنيت شبكه تلفني ويپ بسيار مهم است. يك تمرين خوب براي حفظ امنيت در هنگام ادغام چند شبكه مختلف، استفاده از متود مديريت دستگاه out-of-band از طريق يك شبكه مديريت كننده ايزوله شده و كاملا ايمن است. اين روش مديريت، راه حلي ايجاد مي كند كه شبكه خود را بدون اختلال با ترافيك معمولي مديريت كنيد. اگر شما از متود مديريت دستگاه in-band استفاده مي كنيد بايد مطمئن شويد كه مديريت in-band شما كاملا رمزنگاري شده است.
در هنگامي كه به صورت روزانه سيستم تلفني خود را مديريت مي كنيد، استفاده از نرم افزار مديريتي كه لاگ هاي پي در پي براي اطلاعات حساس ثبت مي كند بسيار ضروري است.
براي داشتن سرور هايي كه هميشه فعال هستند و اختلالي در آن ها ايجاد نمي شود، شما بايد از دو DHCP سرور استفاده كنيد. در هنگامي كه يكي از اين سرور ها از دسترس خارج مي شود، ديگري وظيفه مديريت كلاينت ها را برعهده خواهد گرفت. همچنين تقسيم منابع بين دو سرور، فشار را از روي آن ها بر مي دارد.
يك تمرين مناسب ديگر براي مديريت پروتكل ها اين است كه از اس اس الnon-self-signed SSLv3/TLSv1 به همراه cipher هاي قدرتمند در هنگام عمليات method beginning encryption استفاده كنيد. براي داشتن يك ارتباط امن، اگر سرتيفيكيت هاي اس اس ال تاييد نشد يا اس اس ال تاريخ گذشته ارائه شد، ارتباط بايد سريعا قطع شود.يك نكته ديگر كه مي توانيد براي افزايش امنيت مد نظر قرار دهيد، غير فعال كردن قابليت auto-discovery براي gatekeeper هاي خارجي است. اين كار مي تواند از دسترسي هاي تاييد نشده به سيستم مركزي تلفني جلوگيري كند.در آخر قرار دادن شبكه صوتي در پشت يك فايروال و نوشتن قوانين مشخص براي دادن دسترسي به سيستم هاي خارجي مي تواند امنيت شبكه تلفني ويپ شما را به شدت افزايش دهد.