آیا سیستم تلفنی VoIP امن است؟ | راهکار‌های افزایش امنیت VoIP

آیا سیستم تلفتی ویپ امن است؟ آیا امنیت VoIP تضمین شده است؟ چه کارهای می‌توان انجام داد تا سیستم تلفنی امنی داشته باشیم؟

آیا می‌دانید اگر سیستم تلفنی شما هک شود بار بسیار زیاد هزینه‌ای برای شما خواهد داشت؟ در اکثر حملات به این سیستم‌ها تماس‌های بین المللی با سیستم شما گرفته می‌شود که ممکن است با هزینه بسیار زیاد قبض خط خود مواجه شوید.

در این مقاله راهکار‌های ساده ای برای امن کردن ایزابل را بیان می‌کنیم که در مواقعی تعمیم دهنده به تمام سیستم‌های تلفنی از این قبیل است.

 

امنیت VoIP

قبل از شروع بحث این مورد را در نظر داشته باشید که هیچ سیستم کامپیوتری که به شبکه متصل می‌شوند به طور قطع  کامل امن نیست و چنین ادعایی که یک سیستم کاملا امن است صحیح نیست، ولی می‌توان با انجام راهکار‌هایی امنیت قابل قبولی را تامین کرد.

 

 

می‌دانیم  که استفاده از voip در سازمان بدون اینکه به اینترنت متصل باشد امن است، و صرفا امنیت وقتی مهم می‌شود که شما بخواهید داخلی خود را از طریق اینترنت همراه داشته باشید و یا بخواهید از سیستم تلفنی خود در مکانی دیگر استفاده کنید.

 

آیا سیستم شبکه‌ای شما از نظر کارآیی با کاری که روزمره انجام میدهید برابر است؟ آیا شما حاضرید صدا و اطلاعات شما در اینترنت درمعرض خطر قرار گیرد

اساسا ارسال صدا در بستر اینترنت کم و بیش از سایر برنامه‌های موجود در زیر ساخت IP امن‌تر نیست. ولی می‌تواند به اندازه سیستم تلفن سنتی امن باشد.

سیستم voip  اکنون در حال رشد جهانی است و وقتی آن را نسبت به سیستم تلفنی سنتی بررسی می‌کنیم به یک چالش امنیتی برخورد می‌کنیم.

استفاده از اینترنت برای مکالمات ایده جدیدی نیست و به دلیل ارزان بودن درسال‌های اخیر کاربرد‌های فراوانی داشته است. درزیر نمونه‌ای استفاده آن را می‌بینید

استفاده از اینترنت برای انتقال صدا نرخ عوارض را در مقایسه با استفاده از خطوط تلفن ثابت به شدت کاهش داده است و این امر یکی از مزیت‌های مهم ویپ  به حساب می‌آید.

 

راهکار‌های امنیت سیستم تلفنی

 

محدود کردن دسترسی از طریق اینترنت

حدالمقدور سیستم تلفنی را تا وقتی مجبور نشوید پشت اینترنت قرار ندهید.

 

بستن تماس های بین المللی از طریق مخابرات

اگر نیاز به تماس‌های بین الملی ندارید بهترین راهکار بستن دوصفر از طریق مخابرات یا ارائه دهنده سیستم تلفنی خود است. به این صورت اگر سیستم تلفنی شما هم هک شد هکر نمی‌تواند کاری انجام دهد و به مقصود خود که برقراری تماس خارجی است نمی‌رسد.

 

برقراری امنیت از طریق فایروال ایزابل

فایروال ایزابل در حالت پیشفرض غیر فعال است. این فایروال عملا همان فایروال لینوکس است که ایزابل برای آن را یک UI ارائه داده است.

برای فعال سازی آن مانند تصیر زیر از بخش Security وارد بخش فایروال شوید و در قسمت Firewall Rules گزینه Active firewall را انتخاب کنید. توجه داشته باشید اگر هم سیستم شما پشت اینترنت نیست باز هم پیشنهاد می‌شود که این مورد را فعال کنید.

 

 

اگر آشنایی حدودی با فایروال و قوانین یا همان رول‌های آن داشته باشید می‌دانید که در فایروال رول‌ها از بالا به پایین اعمال می‌شوند و رولی که در بالای لیست باشد نسبت به بقیه اولویت دارد.

در فایروال ایزابل یا الستیکس یکسری رول به صورت پیشفرض وجود دارد که همگی فعال هستند. اگر دانشی در زمینه شبکه داشته باشید به راحتی می‌توانید آن را تفسیر کنید و نیازی نیست تغییری در آن‌ها در سطح عادی دهید و همه آن‌ها را در حالت Active قرار دهید.

 

قابلیت Fail2Ban

این سرویس در ایزابل به صورت پیشفرض فعال است، برای دسترسی به آن از قسمت Security گزینه Fail2Ban سپس گزینه Admin را انتخاب کنید.

این قابلیت باعث می‌شود که درخواست‌های اشتباه که از یک آی پی ارسال می‌شود بعد از یک تعدادی که قابل تنظیم است مسدود شود، و آن آی پی تا زمانی که ما تعیین می‌کنیم قادر به ورود به سیستم نباشد.

مانند تصویر زیر با ورود به این قسمت شما می‌توانید بر روی سرویس‌های مختلف قابلیت Fail2Ban را فعال کنید.

برای مثال بر روی Asterisk  که مربوط به SIP است را با گزینه View باز می‌کنیم سپس بر روی Edit  کلیک می‌کنیم. مانند تصویر زیر با گزینه Count Faile Attempts می‌توانید تعداد تلاش برای ورود قبل از بلاک شدن آی پی به خصوصی را تعیین کنید.

 

 

همچنین با استفاده از Ban Time  زمان انتظار آن آی پی برای خارج شدن از لیست بلاک را بر اساس ساعت تعیین می‌کنید.

با استفاده از گزینه Whitelist  نیز می‌توانید آی پی و یا رنج آی پی مد نظرتان را از لیست احتمالی بلاک خارج می‌کنید.

نکته جالب در Whitelist این است که می‌توانید رنج آی پی برای مثال 192.168.1.0/24  را از به صورت کلی در لیست سفید قرار دهید.

نکته بعدی اینکه اگر آی پی مسدود شده باشد می‌توانید در قسمت Banned IPs  آن را از حالت مسدودی خارج کنید.

در این قابلیت هر آی پی که بلاک می‌شود بعد از 24 ساعت به صورت خودکار از حالت مسدودی خارج می‌شود.

 

بررسی log در Audit

گزینه دیگری که در قسمت Security می‌توانید برای بحث امنیت ویپ دنبال کنید Audit است. در این قسمت لاگ‌های سیستم ذخیره می‌شود که با مطالعه آن‌ها می‌توانید منشا بروز خرابکاری را کشف کنید.

 

قابلیت Weak keys

در قسمت Security گزینه ای به نامWeak keys  وجود دارد که پسوورد‌هایی که برای داخلی‌ها اختصاص شده است را از لحاظ امنیتی چک می‌کند. از طریق این پنل نیز می‌توانید امنیت دسترسی داخلی ها را بالا ببرید.

غیر فعال کردن قابلیت  Anonymous SIP calls

این گزینه امکانی را فراهم می‌کند که تماس‌هایی از مبدا به غیر از ترانک‌هایی که فعال کرده ایم وارد ایزابل شود که در حالت عادی نیازی به آن نداریم پس از غیر فعال بودن این کزینه اطمینان حاصل کنید.

برای دسترسی به این گزینه از تب Security گزینه Advanced Settings را انتخاب کنید.

 

 

پروتکل‌های امنیتی VoIP

پروتکل SIP یا (Session Initiation Protocol) 

این پروتکل توسط  شرکت سیسکو و مایکروسافت پشتیبانی می‌شود، وبرای ایجاد یک تماس بین دو نقطه طراحی شده است.

پروتکل SIP از رمزنگاری voip از طریق PGP  و SSL  و یا S/MIME  استفاده می‌کند.

بنابراین هیچ راهی برای نفوذ شبکه‌های واسط برای سرقت اطلاعات سیستم‌های تلفنی که از این پروتکل استفاده می‌کنند نیست.

پروتکل H.323

برای پشتیبانی از داده‌های چند رسانه‌ای روی بستر وب نظیر ویدئو کنفرانس‌ها و برخی تماس‌های SIP بکار می‌رود.

از جمله توانایی‌های این پروتکل کمک به تماس‌های از بین رفته در بستر اینترنت است که موجب قطع نشدن تماس می‌شود.

ممکن است داده‌های صوتی به همان سرعت جابجا نشوند که در در  VOIP از نظر فنی این امری طبیعی است و این امر کیفیت خدمات را تحت تاثیر قرار می‌هد چرا که برای رمز نگاری این پروتکل از H.235  همراه با SSL استفاده می‌شود.

سوئیچ‌های سازمان خود بسته‌های مهمتری از بسته‌های  را در اختیار دارند که بسیار حساس تراز مکالمات هستند پس اگر این داده‌ها را ایمن کردید در حقیقت سیستم VOIP  را ایمن کرده‌اید.

البته به محیط انتقال هم بستگی دارد. انتقال پکت از طریق وایرلس خطر بیشتری نسبت به ارسال از طریق سیم مسی است.

امن‌ترین بستر انتقال فیبر نوری است که سیگنال‌های رادیو را به هیچ وجه از خود عبور نمی‌دهد.

اگر یک سیستم تلفنی سنتی در اختیار داشته باشید عملا راه آسان‌تری برای نفوذ به سیستم تلفنی وجود دارد ولی اگر از این سیستم تلفنی استفاده می‌کنید راه نفوذ را تا حد زیادی بسته‌اید.

ابتدا در نظر بگیرید برای نفوذ به یکی از سیستم تلفنی سنتی چه چیزی لازم است؟

اگر مکالمه هنوز در قالب آنالوگ صورت گیرد، متجاوز به راحتی با استفاده از سیستم (butt set) به خط ضربه می‌زند.

تلفن‌های سنتی با استفاده از multiplexing در بازه تقسیم زمان برای گروه‌های تماس استفاده می‌کند، که این بسته‌ها  از کد پالس PCM 64 KBPS استفاده می‌کنندو نفوذ به آنها بسیار آسان است.

این بستر سیستم تلفنی سنتی را با بستر سیستم VOIP مقایسه کنید. بسته‌های مکالماتی در عمق پروتکل IP  نفوذ کرده و متجاوز باید اول بداند قالب فیزیکی اطلاعات چیست.

بعد بسته‌های اترنت را رمز گشایی کند تا به یک جریان واحد بین دو نقطه دست پیدا کند. رمز گشایی پروتکل IP  در ( لایه های امنیتی VoIP ) لایه چهارم به شدت کار دشواری است چرا که متجاوز مجبور است این کار را در زمان واقعی انجام دهد.

این سختی با استفاده از IP SEC  دو چندان می‌شود و QOS سیستم تلفنی VOIP را به شدت افزایش می‌دهد.

 

جمع بندی

اگر می‌خواهید سیستم تلفنی VOIP  را در سازمان خود پیاده سازی کنید و امنیت voip را برقرار کنید حتما استاندارد‌های امنیتی که راجب آن بحث کردیم را رعایت کنید

امیدوارم تا اینجا توانسته باشیم این نگرانی را برای راه اندازی سیستم تلفی voip در سازمان خود برطرف کرده باشیم.

برای آشنایی بیشتر با  voip و درخواست مشاوره رایگان در مورد قیمت ها و نحوه راه اندازی سیستم voip و دریافت خدمات voip با ما در تماس باشید.