رفتن به مطلب
انجمن پی سی دی
sinaweb

صدا روي پروتکل اينترنت VoIP2

پست های پیشنهاد شده

[ATTACH=CONFIG]193[/ATTACH]

مسموميت کش اي آرپي و طغيان اي آرپي

چون بيشتر سيستمها داراي اعتبار کمي هستند، يک مهاجم ممکن است قادر باشد به کامپيوتري روي بخشي از شبکه ي VoIP رخنه نمايد، و سپس دستورات اي آر پي ايي را به منظور تخريب کشهاي اي آر پي روي ارسال کننده هاي آمد و شد هاي مورد نظر شما ب??رستد. اين مهاجم سپس مي تواند آي پي را ??عال سازد. يک طغيان اي آر پي که روي سوئيچ حمله مي کند و نقاط ضع?? شبکه را در اختيار گيرد و سپس استراق سمع نمايد. هنگامي که عمل پخش ARP بيجواب بماند، آنگاه بيشتر کش هاي ARP آسيب مي بينند. با آسيب رساندن به کش اي آر پي، مهاجم اکنون مي تواند آمد و شد داده ها را به مسيرهاي مورد نظر هدايت نمايد، در نتيجه داده ها و صداها را تحت کنترل خويش در آورد. براي جلوگيري از چنين تهاجماتي، از مکانيسم ها و ساز و کارهاي مستند که داراي اعتبار هستند است??اده نماييد اين ساز وکارها تا حد امکان دسترسي به بخش هاي شبکه ي VoIP را کاهش مي دهند.

واسطه هاي سرور وب

 

هم براي سوئيچ هاي VoIP و هم براي پايانه هاي صدا احتمال اينکه داراي يک واسطه ي سرور وب براي مديريت محلي و يا راه دور باشند، وجود دارد. يک مهاجم ممکن است قادر باشد بسته هاي HTTP متون اوليه را به منظور دستيابي به اطلاعات محرمانه رديابي نمايد. براي انجام چنين کاري مهاجم نياز دارد به شبکه ي محلي سروري که به آن متصل است، دسترسي يابد. براي جلوگيري از اين نوع تهاجمات، اگر مقدور است، از سرور HTTP است??اده ننمائيد. اگر ضروري است که از يک سرور وب براي مديريت دور است??اده نماييد، از پروتکل هاي ايمنتر HTTP است??اده کنيد نظير HTTP روي SSL يا TLS.

آسيب پذيري نتماسک تل??ن آيپي

 

يک اثر مشابه با آسيب پذيري کش اي آر پي مي تواند توسط يک مهاجم که ماسک زير شبکه و آدرس مسيرياب را به تل??ن آيپي اختصاص مي دهد، سيستم تل??ن شما را تهديد نمايد. (يادداشت مترجم: نتماسک: گاهي به عنوان نام مستعار براي آدرس آيپي شناخته مي شود و گاهي به اشتباه نام ميزبان (HostName) ناميده مي شود، نتماسک يک الگوي 32 بيتي است که براي تقسيم آيپي به زيرشبکه ها و مشخص کردن ميزبانان قابل دسترس به شبکه ها است??اده مي شود. در يک نتماسک، هميشه دو بيت بطور خوکار تخصيص داده مي شود. براي نمونه در "0"255.255.255.0 آدرس شبکه ي تخصيص داده شده است، و در "255",255.255.255.255 آدرس ??ضاي انتشار تخصيص داده شده است، بايد توجه داشت که دو مقدار "0" و "255" هيچگاه مورد است??اده ي ميزبانان نخواهد بود بلکه مقادير بين اين دو عدد هميشه به کاربران واگذار مي گردد). مهاجم با اين تر??ندي که بکار مي برد آدرسها را در اختيار مي گيرد و به سوي خود متمايل مي نمايد بطوريکه بيشتر و يا همه ي بست هاي انتقال يا??ته ي تل??ني به آدرس MAC مهاجم ارسال خواهد شد. ارسال آي پي استاندارد مي تواند باعث ن??وذ به سيستم شود ولي در عين حال غيرقابل رديابي باقي بماند. با نصب يک مکانيسم ??يلترکننده ي ??ايروال مي توانيد احتمال چنين حملاتي را کاهش دهيد. دسترسي از راه دور به تل??نهاي آيپي ريسک بسيار بزرگي است.

گسترش به آسيب پذيري نگاشت آدرس هاي آيپي

 

يک مهاجم به سادگي مي تواند آدرس آي پي که متناظر با هر گونه اتصال توسعه يا??ته را کش?? کند (يادداشت مترجم: در اينجا منظور از هر گونه اتصال توسعه يا??ته (Any Extension) مي باشد). تنها چيزي که مهاجم نياز دارد آن است که با بخش الحاقي يا همان خطوط گسترش يا??ته تماس برقرار کند و از آن پاسخي دريا??ت نمايد. يک تحليلگر پروتکل يا ابزار دريا??ت بسته هاي اطلاعاتي متصل شده به هاب روي تجهيزات شماره گير، مستقيماً اين بسته ها را از تجهيزات و ابزار هد?? درست در زماني که تماس پاسخ داده شود، مشاهده خواهد کرد. توانايي کش?? آدرس آيپي يک شاخه ي خاص از شبکه به خودي خود ساده و آسان نمي باشد اما سبب مي شود تا انجام ديگر تهاجمات به سيستم راحتتر صورت پذيرد. براي مثال، اگر مهاجم قادر باشد تا بسته ها را بر روي شبکه ي محليائي که از سوئيچ است??اده مي کند رهگيري نمايد، براي مهاجم بسيار ساده خواهد بود تا بسته هاي ارسالي و دريا??تي از تل??ن هد?? را بدست آورد. بدون دانستن آدرس آيپي تل??ن هد??، مهاجم به سادگي نمي تواند به مقصود خود دست يابد، و براي رسيدن به هد?? خود زمان بيشتري نياز دارد. بنابراين با طولاني شدن زمان تهاجم ??رصت کا??ي براي خنثي کردن اين نوع مزاحمتها نيز وجود خواهند داشت. هنگاميکه شما هاب روي تل??ن آيپي را از کار بياندازيد، آنگاه قادر خواهيد بود از چنين تهاجماتي در امان باشيد.

ارسال صحيح

 

منظور از ارسال صحيح اطلاعات، عدم تغيير اطلاعات بوسيله ي کاربران غيرمجا.، براي مثال، بيشتر کاربران ميخواهند مطمئن شوند که اعداد مربوط به حسابهاي بانکي آنها توسط اشخاص ديگر تغيير پيدا نمي کنند، يا کلمه هاي عبور ??قط توسط خود کاربر يا مديريت امنيتي مجاز تغيير مي يابند. سوئيچهاي ارتباطات از راه دور بايد صحت آرايش و داده هاي سيستم خود را تامين نمايند. غناي مجموعه هايي از ويژگي ها و خصيصه هاي قابل دسترس بر روي سوئيچ، ابزار خوبي را براي مهاجمان ??راهم نموده است. يک هکر که مي تواند پيکربندي سيستم را کش?? نمايد در واقع دري را بر روي ويژگي ها و خصيصه هاي گوناگون قابل هک کردن گشوده است. براي نمونه يک هکر مي تواند با اتصال به مرکز تل??ن به مکالمات گوش دهد به همان راحتي که سوپروايزرها براي کنترل کي??يت صدا گاهي به طور قانوني مکالمات را شنود مي کنند. عمل ديگري که يک مهاجم مي تواند انجام دهد تا به اطلاعاتي درباره ي شبکه ي آيپي بکار ر??ته بوسيله ي يک سوئيچ VoIP آسيب رساند و يا آنها را حذ?? نمايد، ايجاد عدم پذيرش آني يک سرويس مي باشد (يادداشت مترجم: منظور از عدم پذيرش سرويس (Denial)).

سازو کار امنيتي خود قابليت هايي را براي عدم است??اده و يا است??اده ي نادرست از سيستم مهيا مي کند. کش?? سيستم امنيتي نه تنها اجازه ي است??اده ي نادرست از سيستم را مي دهد بلکه براي سوء است??اده کنندگان از سيستم اين امکان را ??راهم مي نمايد که همه ي رده هايي که منجر به شناسايي آنها مي شود را حذ?? نمايند (پوششي بر روي تمام ردها قرار دهند)، و دريچه اي براي رخنه ي ديگر مهاجمين و يا براي استراق سمع هاي آينده ي خود ايجاد نمايند. به همين دليل، سيستم امنيتي بايد به شدت تحت نظر و مراقبت قرار گيرد. تهديدهاي مربوط به مبحث ارسال صحيح شامل تکنيک هايي هستند که در نتيجه ي آنها، داده ها و يا توابع سيستم آسيب مي بينند، اين امر يا بصورت تصاد??ي صورت مي پذيرد و يا به علت انجام يک سري عمليات خرابکارانه. بکارگيري نادرست به کاربران غيرمجاز محدود نمي شود، حتي گاهي کاربران مجاز نيز با انجام عمليات نادرست بر روي سيستم مانند يک کاربر غيرمجاز سبب بروز اخلال ميگردند.

همانطور که گ??تيم، يک کاربر مجاز ممکن است با اجراي نادرست دستورات و يا توابع، يا با انجام يک عمليات غيرمجاز سبب تعديل نادرست و زيانبار، تخريب، حذ??، يا ا??شا داده ها و نرم ا??زار سوئيچ شود. در ايجاد اينگونه آسيبها و تهديدات عوامل متعددي دخيل هستند که از جمله ي آنها مي توان به ميزان اجازه ي دسترسي اعطا شده به يک کاربر، اشاره داشت. گاهي اجازه ي دسترسي يک کاربر بيشتر از ميزاني است که وي نياز دارد تا بعنوان مجري باقي بماند.

تهاجم

 

چندين تهديد تهاجمي وجود دارد که يک مهاجم قادر به انجام آن است. يک مهاجم مي تواند خود را بعنوان يک کاربر مجاز جا بزند و با اين روش به درگاه عملياتهاي سوئيچ دست يابد. يا يک مهاجم ممکن است با است??اده از سطح اجازه ي يک کاربر مجاز است??اده نمايد و عمليات مخرب توابع زير را صورت دهد:

ا??شا اطلاعات محرمانه

سبب از بين ر??تن سرويس بوسيله ي تغيير و تبديل نرم ا??زار سوئيچ شود.

درهم شکستن سوئيچ

حذ?? تمام ردهاي مربوط به تهاجم، بوسيله ي اصلاح لاگ امنيتي

حالت ناامن

 

زمان هايي وجود دارد که سوئيچ در آن برهه آسيب پذير خواهد بود، زيرا در حالت ايمن قرار ندارد. براي نمونه:

بعد از شروع مجدد يا به اصطلاح ري استارت سيستم، ممکن است ويژگي هاي امنيتي قديمي به تنظيمات غير ايمن برگردانده شده باشد و ويژگي هاي امنيتي جديد هنوز ??عال نشده باشند (براي مثال، همه ي کلمه هاي عبور پيش ??رض برگردانده شده باشند، زيرا کلمه هاي عبور جديد هنوز اعمال نشده اند). ات??اق مشابهي ممکن است هنگام ريکاوري نادرست انجام گيرد.

هنگام نصب سوئيچ امکان ورود صدمه و آسيب به سيستم وجود دارد تا زماني که ويژگي هاي امنيتي پيش ??رض جايگزين شده باشند.

حمله ي الحاق سرور DHCP

 

اغلب اين امکان وجود دارد آرايش و پيکربندي تل??ن هد?? با بهره گيري از سرعت پاسخ DHCP هنگاميکه تل??ن آي پي راه اندازي مي شود، تغيير يابد. به همان سرعتي که تل??ن آي پي يک پاسخ DHCP را درخواست مينمايد، همانطور هم يک سرور DHCP مهاجم قادر است يک پاسخ با حوزه هاي از داده ها که شامل اطلاعات نادرست است را اعمال نمايد.

اين حمله معمولاً توسط ا??رادي که در تهاجمهاي مياني روي درگاه IP-Media و تل??نهاي آيپي شرکت دارند، صورت مي گيرد. روشهاي زيادي وجود دارد که به هکر اين امکان را مي دهد تا اين تل??نها را از راه دور دوباره راه اندازي نمايد، براي نمونه، است??اده از مهندسي اجتماعي Ping Flood, (Social Engineering)، تر??ند و حقه هاي MAC (احتمالاً تله هاي SNMP و نظير آنها).

استراتژي بازدارنده براي اينگونه تهاجمها، در صورت امکان، است??اده از آيپي ايستا براي تل??نهاي آيپي مي باشد. اجراي چنين راهکاري شما را در است??اده از يک سرور DHCP بي نياز مي سازد. علاوه بر اين، با است??اده از سيستم آشکارساز شنود حالت محور (State based intrusion detection system) شما قادر خواهيد بود بسته هاي سرور DHCP را از درگاه هاي تل??ن آيپي غير مجاز ??يلتر نماييد. و ??قط آمد و شد بسته هاي اطلاعاتي مربوط به سرورهاي مجاز و قانوني انجام گيرد.

حمله ي تعبيه شده ي سرور TFTP

 

اين امکان براي يک هکر وجود دارد که پيکربندي تل??ن هد?? را بوسيله ي سرعت پاسخ پروتکل انتقال ??ايل جزئي (File Transfer Protocol (TFTP Trivial) تغيير دهد. يک سرور TFTP مزاحم مي تواند اطلاعات جعلي را ايجاد نمايد قبل از آنکه سرور قانوني قادر به پاسخ باشد. اين حمله به مهاجم اين اجازه را مي دهد پيکربندي تل??ن آيپي را تغيير دهد. با است??اده از سيستم آشکار ساز شنود حالت محور بسته هاي اطلاعاتي از درگاه هاي تل??ن آيپي ??يلتر مي شوند، و چنين آمد و شدهايي صر??اً از سرورهاي مجاز انجام مي شوند. سازمان هايي که به دنبال گسترش سيستم هاي VoIP هستند بايد در نظر داشته باشند که تجهيزات تل??ن آيپي اي را خريداري نمايند که قادر است ??ايلهاي باينري تضمين شده را دانلود نمايند.

در دسترس بود و عدم پذيرش سرويس

 

در دسترس بودن به اين نکته اشاره دارد که اطلاعات و خدمات هنگاميکه شما به آنها نياز داريد قابل است??اده هستند. همان طور که حدس زده ايد در دسترس بودن براي سوئيچ خطر بزرگي محسوب مي شود. حمله ها با شناسايي نقاط آسيب پذير نرم ا??زار سوئيچ و يا پروتکل ممکن است باعث تخريب و از بين ر??تن خدمات گردند يا حتي باعث رد پذيرش سرويس يا عدم پذيرش برخي از وظاي?? سوئيچ گردند. براي نمونه: اگر دسترسي غيرمجاز به همه ي شعبات کانال هاي ارتباطي (نظير لينک CCS يا لينک TCP/IP) بتواند بنا نهاده شود، ممکن است با ارسال بيشمار پيام هاي جعلي، سبب تخريب و زوال سرويس (احتمالاً خارج کردن از سرويس) گردند. حتي ممکن است يک صدا در بستر سيستم آيپي هنگاميکه اتصال به اينترنت برقرار مي شود، آسيب پذير باشد.

زيرا سيستم آشکارساز شنود (IDS) قادر به رهگيري درصد زيادي از تهاجمات اينترنتي نخواهد بود، درنتيجه مهاجمين قادر خواهند بود IDS را به راحتي در دام خود اسير نمايند، اين امکان هست که آنها قادر باشند سيستم هاي VoIP را با بکار گيري نقاط ضع?? پروتکل هاي اينترنت و سرويسها از پاي درآرند و زمين زنند. هر شبکه مي تواند به سادگي با ارسال بسته هاي اطلاعاتي بيش از حد ظر??يت سيستم تبديل به يک شبکه ي خارج از سرويس شود. اين امر براي سيستم هاي VoIP معضل بزرگي است، زيرا به اين طريق خطر از دست دادن بسته هاي اطلاعاتي و يا تاخير ورود و خروج اين بسته ها وجود دارد.

حمله به منبع تغذيه CPU بدون داشتن هيچ اطلاعات اکانت

 

يک مهاجم که با پايانه ي راه دور به سرور دسترسي داشته باشد اين امکان را دارد تا سيستم را مجبور به راه اندازي مجدد نمايد (خاموش نمودن همه/ شروع مجدد همه). براي انجام اين کار مهاجم بيشترين تعداد کاراکترها را براي با??رهاي کلمه ي عبور و ورود به سيستم چند زمانه بطور متوالي ايجاد مي نمايد. با اين نوع تهاجم تل??نهاي آي پي ممکن است بطور خودکار از نو راه اندازي گردند.

علاوه بر ايجاد سيستمي که براي مدتي از کار ا??تاده، شروع مجدد سيستم ممکن است تغييراتي را که قبل از خاموش شدن سيستم ايجاد شده بودند ولي هنوز ثبت نگرديده بودند را بازنگرداند، در برخي حالتها ممکن است کلمه هاي عبور پيش ??رض به جاي کلمه هاي عبور جديد بازگردانده شوند، اين امر سبب ايجاد آسيب پذيري سيستم مي گردد و مهاجم قادر به شنود خواهد بود. اولين قدم براي مقابله با چنين تهديداتي آرايش و تنظيم مناسب ??ايروال است تا از ارتباط با شبکه هاي غير ضروري و يا ورود بسته هاي اطلاعاتي از شبکه هاي ناشناس جلوگيري نمايد. اما، هنوز اين امکان براي يک مهاجم وجود دارد تا با جعل آدرس آيپي و MAC خود، ??ايروال شما را به دام اندازد.

آسيب پذيري کلمه عبور پيش ??رض

 

درست به همان صورتي که سوئيچها داراي مجموعه کلمه عبور/ ورود به سيستم پيش ??رض هستند، تل??نهاي VoIP اغلب داراي يک سري کليد مي باشند که جهت باز نمودن شبکه و تصحيح اطلاعات شبکه به کار مي روند.

اين آسيب پذيري دورنمايي را پيش چشمان ما قرار مي دهد که يک مهاجم از راه دور کنترل موقعيت يابي شبکه را بدست مي گيرد، در نتيجه نه تنها قادر خواهد بود سيستم را از سرويس خارج نمايد بلکه مي تواند حمله ي انعکاسي درگاه را به مکان مهاجم تکميل نمايد. بلکه مي تواند حمله ي انعکاسي به هکر اين اجازه را مي دهد تا هر مکالمه اي که بر روي سوئيچ يکسان انجام مي گيرد را رديابي نمايد. علاوه بر اين، سوئيچ ممکن است يک واسطه ي سرور وب داشته باشد که هکر مي تواند از آن براري از هم گسيختن شبکه بهره گيرد بدون آنکه نياز به دانش زيادي درباره ي عمليات سوئيچ و دستورات آن داشته باشد.

در بيشتر سيستمها، تل??نها داده هاي پيکربندي را با است??اده از TFTP و پروتکلهاي مشابه روي استارتاپ دانلود مي کنند. اين پيکربندي آدرسهاي آي پي را براي گره هاي مديريت تماس (Call Manager) مشخص مي کند، بنابراين يک مهاجم مي تواند آدرس آيپي مت??اوت را به مديريت تماس ديگر اختصاص دهد و به اين صورت خواهد توانست آمد و شد مکالمات را بررسي نمايد و به راحتي شنود داشته باشد. بنابراين با توجه به نکاتي که برشمرديم تغيير دادن کلمه ي عبور پيش ??رض ضروري به نظر مي رسد. از کار انداختن واسطه ي کاربر گرا??يکي نيز سبب مي شود تا از رهگيري نشستهاي مديريت متون اوليه جلوگيري شود.

نقص هاي نرم ا??زار قابل است??اده

 

مانند انواع ديگر نرم ا??زارها، سيستم هاي VoIP نيز بواسطه ي سرريز شدن با??ر و دستکاري سربرگ (Header) بسته هاي معيوب، داراي نقاط ضع?? و آسيب پذير مي باشد. اين نقصها نوعاً به اين دليل رخ مي دهند که نرم ا??زار صحت قانوني اطلاعات حياتي را به درستي تاييد نميکند. براي نمونه، يک عدد درست و کوتاه ممکن است بصورت يک اندکس جدول است??اده شود بدون آنکه بررسي شود که آيا اين پارامتر عبوري به تابع اجرايي از 23767 تجاوز مي کند يا خير. در نتيجه باعث مي شود تا دسترسي به حا??ظه با خطا روبرو شود يا سيستم از کار ا??تد.

نقصهاي نرم ا??زار قابل است??اده نوعاً به علت دو ضع?? عمده مي باشد:

خارج بودن از سرويس

آشکار سازي پارامترهاي سيستم بحراني

يک مهاجم مي تواند از راه دور عدم پذيرش سرويس و يا همان خارج بودن از سيستم را از راه دور اجرا نمايد، براي اين کار مهاجم کا??ي است بستهاي را با سربرگ ساختگي که سبب مي شود نرم ا??زار دچار خطا گردد و از کار ا??تد. هد?? آن است تا سيستم از بطور کل کار کند و از سرويس خارج گردد. همچنين يک ذخيره از حا??ظه تهيه شود تا مهاجم با جستجو در آن آدرس هاي آيپي گره هاي سيستم بحراني، کلمه هاي عبور، و يا اطلاعات امنيتي را بيابد. علاوه بر اين، پر شدن و سرريز حا??ظه ي موقت که بوسيله ي آن يک مهاجم مي تواند وجود کدهاي نامناسب را در نرم ا??زار VoIP معر??ي نمايد، درست به همان صورت که در ديگر کاربردها وجود دارند. اين امر نيازمند حرکتي از سوي ??روشندگان نرم ا??زار مورد نظر مي باشد و همچنين توزيع تصحيحات نرم ا??زاري به مديريتهايي که از اين نرم ا??زارها است??اده مي نمايند.

مهاجمان باهوش هميشه درصدر موضوع قرار دارند، آنها مرتب اطلاعيه هاي راجع نقاط ضع?? را کنترل مي کنند، آنها مي دانند که بسياري از سازمانها روزها و يا ه??ته ها نياز دارند تا نرم ا??زارهاي خويش را به روز رساني کنند. بنابراين اگر شما در سازمان خويش از چنين نرم ا??زارهايي است??اده مي کنيد که بايد مرتب به روز رساني شود، اطمينان حاصل کنيد که اين امر به طور مرتب صورت پذيرد و تصحيحات انجام گر??ته بر روي نرم ا??زار از سوي شرکت طراح آن همواره به نرم ا??زار نصب شده بر روي سيستم ا??زوده گردد، در اين صورت مي توانيد نقاط ضع?? نرم ا??زار خويش را به حداقل رسانيد. مديريت تصحيح برنامه بطور خودکار مي تواند کمک خوبي در کاهش احتمال دستيابي مهاجمين به نقاط ضع?? نرم ا??زارها مي باشد. برهه هاي زماني که طي آنها سازمانها آسيب پذير هستند را شکا?? آسيب پذيري (Vulnerability Gap) مي نامند - اين شکا?? همه ي سازمان ها را مي توان با به روز رساني تصحيحات مسدود نمود که براي اينکار معمولاً از سيستم ها خودکار است??اده مي شود.

نقاط ضع?? مسدود کردن يک اکانت

 

نقاط ضع?? مسدود کردن يک اکانت وضعيتي است که در آن مهاجم با است??اده از يک شبکه ي راه دور و به وسيله ي کلمه عبور نادرست تلاش مي کند تا به يک اکانت دست يابد، همان طور که مي دانيد معمولاً چنين سيستم هايي براي ح??اظت از اکانتها، با وارد کردن چندين بار کلمه عبور نادرست آن اکانت را براي يک دوره ي مشخص مسدود مي نمايند، هنگاميکه اکانت مسدود گرديد براي يک دوره ي زماني مشخص ديگر کسي قادر به دسترسي به آن اکانت نمي باشد. به اين صورت اکانت خارج از سرويس خواهد بود. مزيت ويژگي که پيشتر درباره ي آن توضيح داديم اين است که ??رصت دستيابي به کلمه ي عبور صحيح توسط مهاجم را از او مي گيرد. اگر شما با چنين حمله هايي مواجه شديد و ديگر به اکانت خود از طريق شبکه دسترسي نداشتيد تنها راه حل ممکن کنترل دسترسي ??يزيکي به حساب يا همان اکانت خويش مي باشد.

ايمن سازي VoIP خود

 

ايمن سازي VoIP خود بطور مناسب روي سيستم آيپي ??رآيند پيچيده هاي است زيرا VoIP مجموعه اي از داده ها و صدا درون يک شبکه ي من??رد مي باشد. شبکه ي شما ممکن است بطور روزانه در معرض حمله ي مهاجمين، ويروسها، و کرم ها قرار گيرد. شما با سيستم تل??نهاي قديمي هيچگاه نگران چنين تهديداتي نخواهيد بود.

نه گام اساسي وجود دارد که موسسه ي ملي استانداردها (NIST) پيشنهاد مي کند، تا به اين وسيله امنيت شبکه ي VoIP خود را ا??زايش دهيد:

گسترش ساختار شبکه ي مناسب براي ارتباطات صدا و داده ها

خطر پذيري VoIP را براي ارتباطات صدا آزمايش نماييد

پيش بيني هاي لازم براي اطمينان از تماس ضروري مانند خدمات 911 (E-911)

گسترش کنترل هاي ??يزيکي در امنيت VoIP از اهميت به سزايي برخوردار هستند

در نظر گر??تن توان پشتيبان اضا??ي جهت حصول اطمينان از برقراري VoIP براي هنگامي که توان اصلي از کار ا??تاده باشد

يا??تن، ارزيابي نمودن، و گسترش ??ايروال هاي آماده ي VoIP

دوري جستن از تل??نهاي نرم ا??زاري زيرا مديريت و ايجاد امنيت براي آنها دشوار مي باشد

اگر تجهيزات همراه بخشي از گسترش VoIP شما را تشکيل مي دهند، با است??اده از WPA اطمينان حاصل کنيد که آنها ايمن هستند، توجه داشته باشيد که از WEP است??اده ننماييد و همه ي آدرس هاي MAC را ق??ل نماييد و کليه ي قطعات متصل را محدود نماييد.

بازنگري نيازمنديهاي منظم با توجه به اخت??ا و ح??ظ رکوردها

توسعه ي طراحي شبکه ي مناسب

 

اگر امکان دارد با قرار دادن هر يک از سيستم هاي صوتي و داده هاي روي شبکه هاي جداگانه، اين دو سيستم را از يکديگر جدا سازيد. زير شبکه هاي مت??اوت با جداسازي قالبهاي آدرس RFC 1918 براي آمد و شد داده و صدا و با جداسازي سرورهاي DHCP براي هر يک از سيستمها آشکارسازي شنودها و ح??اظت ??ايروال VoIP تسهيل مي گردد.

در درگاه صدا، که با PSTN ارتباط دارند، SIP, H323، يا پروتکلهاي VoIP ديگر براي داده هاي شبکه مسدود نماييد از تاييديه ي قوي است??اده نماييد و به کنترل روي سيستم درگاه صدا دسترسي داشته باشيد، همانطور که به ديگر مؤل??ه هاي شبکه ي بحراني دسترسي داريد. تاييديه ي قوي کاربران به سوي يک درگاه اغلب دشواري هايي را به همراه دارد، خصوصاً در مديريت کليد. اينجا، دسترسي به مکانيسم کنترل و اجرا خط مشي ممکن است کمک خوبي محسوب شود. مکانيسمي براي اجازه ي عبور و مرور VoIP از ميان ??ايروال ضروري به نظر مي رسد. راه حلهاي وابسته و مستقل به پروتکل هاي گوناگون وجود دارد، از اين دست از پروتکلها، در صورت تکميل، مي توان به درگاه هايي از درجه ي کاربردي Application Level Gateway) (ALG)) براي پروتکل هاي VoIP، کنترل کننده هاي حاشيه ي نشستها (Session Border Controller)، يا راه حل هاي استاندارد محور ديگر، اشاره نمود. ??يلتر نمودن بسته ها با حالت هاي گوناگون ميتواند ردي از حالت ارتباطات، بسته هايي که پذير??ته نشده اند و به عنوان بخشي از تماس اصلي محسوب نمي شوند را در اختيار گذارد. (ممکن است اين موضوع عملي نباشد هنگاميکه امنيت ذاتي پروتکل مولتي مديا يا امنيت لايه ي پايينتر بکار برده شود، براي نمونه H.235 Annex D براي تأمين صحت و درستي يا TLS براي ح??اظت از ارسال علامت SID).

براي همه ي مديريتهاي از راه دور و دسترسي به بررسي موقعيت سيستم از IP sec يا SSH) Secure Shell) است??اده نماييد. اگر مقدور است، از مديريت از راه دور بطور کل چشم پوشي نماييد و دستيابي IP PBX از سيستم امنيتي ??يزيکي را مد نظر قرار دهيد. اگر کارايي براي شما اهميت دارد، در مسيرياب و درگاه هاي ديگر از رمزگذاري است??اده کنيد، البته نه در دو سوي انتهاي مسير، به اينصورت مي توانيد تونل IP sec ايجاد نماييد. چون بعضي از نقاط انتهاي VoIP از نظر محساباتي به اندازه ي کا??ي توانمند نيستند تا رمزگذاري را تکميل نمايند، اين امر در نقطه ي مرکزي انجام مي پذيرد تا اطمينان حاصل شود آمد و شد VoIP ناشي از شبکه ي سازمان يا??ته، رمزگذاري گرديده اند. تل??ن هاي آيپي جديدتر قادرند سيستم رمزگذاري پيشر??ته (Advanced Encryption System (AES) ) با هزينه هاي معقولي را ??راهم کنند.

توجه کنيد که استاندارد پردازش اطلاعات ??درال 140-2 (Federal Information Processing Standard (FIPS)، نيازمنديهاي امنيتي براي مدلهاي رمزگشايي و رمزدار کردن، قابل بکارگيري به همه ي آژانسهاي ??درال مي باشد که از سيستم هاي امنيتي رمزدار محور براي محا??ظت از اطلاعات حساس در کامپيوتر و سيستم هاي ارتباطات از راه دور (شامل سيستم هاي صدا) بصورت بخشي تعري?? شده در بخش 5131 اصلاحيه ي مديريت ??ناوري اطلاعات 1996، قانون عمومي 06-104، است??اده مي کنند.

خطرپذيري در حوزه ي گسترش VoIP را آزمايش نماييد

 

بسيار مهم است که شما گسترش VoIP خود را چک نماييد تا مطمئن شويد که سازمان بطور قابل قبولي قادر به مديريت و کاهش خطرهاي مربوط به اطلاعات، عمليات سيستم، و پيوستگي عمليات ضروري هنگام گسترش سيستم هاي VoIP مي باشد.

يک محيط امنيتي چالش انگيز ويژه هنگاميکه ??ناوري هاي نوين گسترش مي يابند، خلق مي شود. خطرها اغلب بطور کامل درک نمي شوند، مديريتها هنوز تجربه ي کا??ي در زمينه ي ??ن آوري جديد به دست نياورده است، و کنترل هاي امنيتي و خط مشي ها بايد به روزرساني شوند. بنابراين، سازمانها بايد به دقت موضوعاتي از قبيل سطح دانش منابع انساني خود و همچنين آموزش آنها را مد نظر داشته باشند. کمال و کي??يت تمرينهاي امنيتي، کنترلها، خط مشي ها، طراحيها، و درک خطرپذيري هاي ما بسته به اين ??ن آوريها همه بايد همواره تحت نظر مديريت سازمان باشد.

VoIP مي تواند خدمات قابل انعطا?? بيشتري را با هزينه ي کمتر ارائه دهد، اما بايد همواره سبک و سنگين کرد و همه ي جوانب را در نظر داشت. شما مي توانيد انتظار داشته باشيد سيستم هاي VoIP نسبت به سيستم هاي تل??ن رايج آسيب پذير تر باشند،خصوصاً اينکه آنها به شبکه ي داده ها گره خورده اند، در نتيجه علاوه بر ضع?? امنيتي آنها در معرض تهاجم نيز قرار دارند. قابليت اطمينان و پنهان سازي در سيستم هاي VoIP در معرض خطر مي باشد مگر آنکه از کنترلهاي قوي است??اده گردد.

نگراني ديگر اين است که ناپايداري ??ن آوري VoIP نسبت سيستم هاي تل??ن ??علي مي باشند. امروزه، سيستم هاي VoIP هنوز در حال تکميل هستند، و استانداردهاي پذير??ته شده هنوز يکپارچه نشده اند به عبارت بهتر هنوز يک سيستم استاندارد جامع براي اين ??ناوري تهيه و تنظيم نشده است. اين ناپايداري ناشي از استناد VoIP به شبکه هاي پکت، به عنوان محيط انتقال داده مي باشد (يادداشت مترجم: شبکه هاي پکت عبارتند از شبکه هايي گسترده براي ارسال داده، که در اين روش ارسال داده ها به صورت بسته هاي کوچک ارسال مي گردند ولي در مرحله ي دريا??ت بسته ها در جاي مناسب خود قرار مي گيرند). شبکه ي تل??نهاي سوئيچ شده عمومي ??وق العاده قابل اطمينان هستند. خدمات اينترنت از قابليت اطمينان کمتري برخوردارند، و VoIP نمي تواند بدون اتصال به اينترنت انجام وظي??ه نمايد، به جز در مواردي که يک اتحاد بزرگ صورت مي گيرد و يا چند کاربر بطور خصوصي تشکيل يک شبکه را مي دهند. خدمات تل??نهاي ضروري اگر بر اساس VoIP هستند در معرض خطر بزرگتري قرار دارند مگر آنکه به دقت طرح ريزي، گسترش و پشتيباني شوند.

منبع:سایت راسخون

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری

×
×
  • جدید...