این یک حقیقت است که امنیت در تکنولوژی ویپ یکی از بزرگ ترین نگرانی های مدیران سیستم های تلفنی است. مخصوصاً زمانی که کاربران بسیاری به یک شبکه متصل شده اند موضوع امنیت بسیار مهم تر می شود، زیرا هنگامی که شبکه تحت نفوذ قرار بگیرد، اطلاعات حساس همه کاربران در معرض دسترسی هکرها قرار خواهد گرفت.
خوشبختانه امن نگه داشتن یک سیستم تلفنی ویپ نیاز نیست که پیچیده و پر دردسر باشد. امروز قصد داریم که لیستی از نکات مهمی را معرفی کنیم که اگر آن ها را رعایت کنید یک سیستم تلفنی ویپ امن خواهید داشت و هیچ هکری قادر نخواهد بود اطلاعات را از آن دریافت کرده و آن ها را بخواند.
هر سیستم تلفنی ویپی که در حال فعالیت است باید این موارد را رعایت کند، در غیر این صورت با خطر از دست رفتن اطلاعات یا لو رفتن آن ها مواجه خواهد شد. اگر شما از متخصصان ویپ برای راه اندازی این سرویس استفاده می کنید، از آن ها بپرسید آیا این موارد را بر روی شبکه تعبیه کرده اند یا خیر؟ در مورد موضوع امنیت شما همیشه باید پیگیر و هوشمند باشید.
1- ارتباطات ویپ خود را با استفاده از پروتکل های SIPS و SRTP رمزگذاری کنید
برای ایمن نگه داشتن ارتباط بین سرور و کلاینت، باید دیتا را از طریق پورتکل های SIPS یا همان SIP over TLS و SRTP ارسال کنید. این پورت ها برای برقراری یک ارتباط امن توسط متخصصان به شدت توصیه شده اند.
پورتکل های SIPS و SRTP سیگنال های پیام و ترافیک صوتی را رمزگذاری می کنند تا برای هیچ هکری قابل مشاهده نباشد. هم چنین هویت دریافت کننده را مورد تایید قرار می دهند تا امنیت اطلاعات تضمین شده باشد.
استفاده از SIPS ارتباط بین سرور IP PBX و کلاینت را با استفاده از TLS یا همان Transport Layer Security ایمن سازی می کند. برای برقراری یک ارتباط یک به یک امن، یک کلید امنیتی از طریق ssl بین کلاینت و سرور رد و بدل می شود تا همیشه هویت هر دو طرف تایید شده باشد. این کلید غیر قابل کپی و دریافت برای هکر ها خواهد بود و بدون این کلید دیتا قابل خواندن نیست.
خبر خوب در مورد SIPS و SRTP این است که این دو پروتکل تمامی مراحل و اطلاعات مرتبط با تشخیص تماس، پردازش و انتقال صدا را رمزنگاری می کنند تا همه چیز از دست هکر ها دور بماند. به عنوان مثال در این پروتکل ها نه تنها صدا و دیتای مرتبط با آن رمزنگاری می شود، بلکه اطلاعات تماس مانند شناسه تماس گیرنده و دریافت کننده تماس نیز رمزنگاری شده تا از دسترس همه دور بمانند.
خبر بد در مورد SIPS و SRTP این است که برای استفاده از آن ها، تمامی تجهیزات مورد استفاده قرار گرفته در شبکه تلفنی باید این دو پروتکل را همزمان پشتیبانی کنند. در صورتی که هر دو پروتکل در تجهیزات شما موجود نباشد، این پروتکل ها فعالیت نخواهند کرد.
یک توصیه امنیتی مهم دیگر این است که برای برقراری ارتباط کامپیوتر با کامپیوتر باید از SSH استفاده کنید و برای برقراری ارتباط از طریق وب باید SSL فعال باشد. برای اطمینان از فعال بودن SSL به آدرس بار توجه کنید، در ابتدای آدرس صفحات باید https را مشاهده کنید. هم چنین بسیاری از مرورگر ها در صورت وجود اس اس ال رنگ آدرس بار را سبز خواهند کرد.
2- از پسوردهای پیچیده و یکتا در سرتاسر سیستم ویپ استفاده کنید
این بسیار مهم است که شما امنیت را به یک سطح بالاتر ارتقا دهید و از پسورد های یکتا و پیچیده در سرتاسر سیستم تلفنی خود استفاده کنید. این پیچیده بودن رمزهای عبور کمک می کند که هکرها نتواند رمز های ساده و پیش فرض را حدس بزنند و وارد سیستم تلفنی شما شوند. به عنوان مثال شما باید یک نام کاربر خاص و یک رمز عبور خاص برای ورود به قسمت های مختلف استفاده کنید و رمز ها را بین نام های کاربری مختلف به اشتراک نگذارید.
هنگامی که در حال مپینگ (mapping) شماره ها و یا پلن های مسیردهی به تماس ها هستید، از استفاده alias های پیشفررض برای E.164 خود داری کنید. حتما مطمئن شوید که E.164 ویرایش شده و کاملا یکتاست. بهترین راهکار برای افزایش امنیت این است که شما یک E.164 خاص برای هر یوزر و پسورد استفاده کنید.
برای افزایش سطح امنیت، تمامی دستگاه های ویپی که در سیستم تلفنی استفاده کنید باید پین کد های یکتا و با طول حداقل 4 عدد داشته باشند. و هم چنین هر endpoint باید یک نام alias یکتا مخصوص خود داشته باشد. اگر دو endpoint تلاش به ثبت شدن با یک نام کردند، سیستم باید ارور ایجاد کرده و مدیریت را از این موضوع خبردار کند.
3- در تنظیم پروتکل های سیگنالینگ تماس، نکات مهم امنیتی را رعایت کنید
اگر شما از پروتکل H.323 یا H.225 استفاده می کنید، این موضوع بسیار مهم است که نکات هویت سنجی ایمن را در هنگام تنظیم این دو پروتکل مد نظر قرار دهید. اولین و مهم ترین نکته که باید مد نظر داشته باشید این است که نباید از سیستم هویت سنجی استاندارد H.323 که از کد گذاری MD5 بهره می برد استفاده کنید. زیرا این روش رمزنگاری قدرتمند نیست و همیشه یک مقدار هش شده 128 بیتی را باز می گرداند و در مقابل حملاتی که به replay معروف هستند، آسیب پذیر است. به جای این کار شما باید H.225 را در تونل TLS قرار دهید تا امنیت اطلاعات تضمین شده باشد.
معمول ترین روش اعتبار سنجی (Authentication)، معروف به password hashing است که درواقع ترکیبی از پسورد هش شده MD5، یوزرنیم (آی دی H.323 یا آی دی عمومی) و timestamp (عدد منحصر به فرد تاریخ و زمان) است که یک مقدار هش شده کاملا یکتا تولید می کند.
در آخر فارغ از اینکه شما از SIP، H.323 یا IAX استفاده می کنید، مطمئن شوید در هنگامی که پروتکل های session شما می خواهند یک ایجنت کاربر یا endpoint را از حالت ثبت خارج کنند (unregister) نیاز به هویت سنجی دارند .
4- از پروتکل ها و عملیات های ایمن در شبکه تلفنی ویپ استفاده کنید
طراحی یک نقشه راهبردی برای جلوگیری از فعالیت شبکه های ضعیف و نفوذ پذیر، برای تضمین امنیت شبکه تلفنی ویپ بسیار مهم است. یک تمرین خوب برای حفظ امنیت در هنگام ادغام چند شبکه مختلف، استفاده از متود مدیریت دستگاه out-of-band از طریق یک شبکه مدیریت کننده ایزوله شده و کاملا ایمن است. این روش مدیریت، راه حلی ایجاد می کند که شبکه خود را بدون اختلال با ترافیک معمولی مدیریت کنید. اگر شما از متود مدیریت دستگاه in-band استفاده می کنید باید مطمئن شوید که مدیریت in-band شما کاملا رمزنگاری شده است.
در هنگامی که به صورت روزانه سیستم تلفنی خود را مدیریت می کنید، استفاده از نرم افزار مدیریتی که لاگ های پی در پی برای اطلاعات حساس ثبت می کند بسیار ضروری است.
برای داشتن سرور هایی که همیشه فعال هستند و اختلالی در آن ها ایجاد نمی شود، شما باید از دو DHCP سرور استفاده کنید. در هنگامی که یکی از این سرور ها از دسترس خارج می شود، دیگری وظیفه مدیریت کلاینت ها را برعهده خواهد گرفت. هم چنین تقسیم منابع بین دو سرور، فشار را از روی آن ها بر می دارد.
یک تمرین مناسب دیگر برای مدیریت پروتکل ها این است که از اس اس ال non-self-signed SSLv3/TLSv1 به همراه cipher های قدرتمند در هنگام عملیات process initiating encryption استفاده کنید. برای داشتن یک ارتباط امن، اگر سرتیفیکیت های اس اس ال تایید نشد یا اس اس ال تاریخ گذشته ارائه شد، ارتباط باید سریعا قطع شود.
یک نکته دیگر که می توانید برای افزایش امنیت مد نظر قرار دهید، غیر فعال کردن قابلیت auto-discovery برای gatekeeper های خارجی است. این کار می تواند از دسترسی های تایید نشده به سیستم مرکزی تلفنی جلوگیری کند.
در آخر قرار دادن شبکه صوتی در پشت یک فایروال و نوشتن قوانین مشخص برای دادن دسترسی به سیستم های خارجی می تواند امنیت شبکه تلفنی ویپ شما را به شدت افزایش دهد.
دیدگاه های این مطلب
هیچ نظری ارسال نشده است.