امنیت ویپ در 20 گام

دراین مقاله آموزشی”امنیت ویپ در 20 گام” را آماده کردیم امیدواریم از این مقاله آموزشی نهایت استفاده را ببرید.

ویپ و آسیب پذیر

بدون شک تا به حال به افرادی برخورد کردید و یا شرح حال آن ها را شنیدید که سیستم تلفنی ویپ آنها هک شده است و مجبور به پرداخت خسارت های بسیار زیاد شده اند. تجهیزات ارتباطی و سرویس ویپ بدون در نظر گرفتن مدل یا برند خاصی همانند هر سرویس یا سرور دیگری نیاز به پیش بینی های امنیتی دارد.

بسیاری از نفوذ ها به سیستم های تلفنی توسط روبات ها صورت می گیرند و این ربات ها با سیستم های تلفنی مختلف آشنایی و سازگاری کاملی دارند. در صورتی که سیستم تلفنی را بر روی اینترنت قرار بدهید نیازی به بد شانسی برای هک نیست! در یک بازه زمانی مناسب توسط این ربات ها مورد حمله قرار خواهید گرفت. سرویس تلفنی بدون پیش بینی ها و نکات امنیتی ریسک بسیار بالایی برای نفوذ دارد. نصب سیستم توسط افراد غیر حرفه ای بیشترین علت این نفوذ ها و آسیب پذیری ها می باشد.

امنیت VOIP

امنیت در سیستم ها و سرویس دهنده های ویپ (VoIP) ، یک موضوع بسیار پیچیده , گسترده و با اهمیت می باشد. برای محدوده این امنیت و نیاز کاربران می توان تعاریف مختلفی ارائه کرد. علاوه بر این که شرایط و نیاز کاربران موجب تفاوت در نیاز های امنیتی می گردد تغییرات تکنولوژی و بستر های ارتباطی نیز باعث می گردد که امنیت و پارامتر های آن شناور و در حال تغییر باشند.

هرگز نمی توان قطعیت 100 درصدی برای امنیت و عدم نفوذ پذیری را برای یک سیستم یا یک مجموعه تعریف کرد ولی در این جستار به مواردی که می توان به کاربران, پیاده کنندگان سیستم ها و سرویس دهنده های ویپ کمک کند تا حد امکان به این قطعیت کامل نزدیک شوند.

به ابزارها, فرآیند ها و ضروریات امنیتی می بایست به صورت یک مجموعه نگریست, هر گونه لغزش در یکی از این موارد می تواند اثر بخشی بقیه را تحت تاثیر قرار دهد. داشتن دقت, حوصله و حتی وسواس در کنار تجهیزات مناسب می تواند از ویژگی های مناسب و ضروری کارشناس حرفه ای در این زمینه امنیت باشد.

محدوده

حوزه مورد پوشش این مستند برای سیستم های تلفنی تحت شبکه –ویپ- مناسب برای سازمان های کوچک و متوسط می باشد که از سیستم های ویپ متن باز استفاده می کنند.

انواع حملات نفوذ پذیری سیستم های تلفنی ویپ

به طور معمول تصور می شود که تهدیدات امنیتی دارای یک منشا خارجی می باشد, این پیش فرض در هنگام پیاده سازی امنیت برای یک سیستم می تواند باعث افزایش امکان آسیب پذیری سیستم شود. با توجه به محدودیت کمتر برای سیستم داخلی تهدیدات داخلی می تواند آسان تر و مخرب تر باشند.

می توان حملات نفوذ پذیری سیستم های تلفنی ویپ را به سه نوع تقسیم کرد:

حملات نفوذ جهت سرقت ترافیک

حملات نفوذ جهت سرقت ترافیک بیشتر از خارج از کشور و با هدف دسترسی به خطوط تلفن صورت می گیرد که به طور معمول باعث خسارت های مالی سنگین می گردد.

حملات نفوذ جهت سرقت ترافیک معمولا از انواع SIP Registration Scan attack، Dictionary attack، Brute Force. می باشند.

حملات نفوذ جهت توقف سرویس

حملات نفوذ جهت توقف سرویس به طور معمول برای اختلال یا توقف در سرویس دهی یک کسب و کار از جانب عوامل داخلی و برخی موارد خارجی صورت می پذیرد.

حملات نفوذ جهت توقف سرویس از انواع حملات نفوذ عمومی بوده و معمولا از انواع SIP Scan، Port Scan، SSH Brute Force، DoS و DDoS می باشند.

حملات نفوذ جهت سرقت اطلاعات

حملات نفوذ جهت سرقت اطلاعات جهت دسترسی به اطلاعات موجود در سیستم مانند لیست تماس ها, اطلاعات کاربران, شنود مکالمات و فایل های ضبط شده صورت می گیرد.

این نوع از حملات را می توان در انواع حملات متداول امنیتی دسته بندی کرد.

امنیت ویپ و کاهش آسیب پذیری در بیست گام

پیشنهاد ها, توصیه ها, پیش بینی ها و نکات کلیدی ذیل جهت تامین امنیت سرویس ها و سیستم های ویپ در مقابل آسیب پذیری و نفوذ می باشند.

یکم: محدودیت دسترسی شبکه

محدود کردن دسترسی سرویس دهنده ویپ

محدود کردن دسترسی برای همه آی پی های بیرون شبکه و دسترسی گروه خاص از آی پی های مورد نیاز.

به ویژه محدود کردن دسترسی برای آی پی های خارج از ایران

محدود کردن دسترسی تنها به پورت های ضروری

ضروری

(SIP: 5060(TCP/UDP

(RTP: 10000-20000(UDP

(IAX2: 4569(UDP

اختیاری

با توجه به تنظیمات سرویس دهنده:Web Access

(SSH: 22 (TCP

با توجه به تنظیمات سرویس دهنده: AMI

دوم: تغییر پورت های دسترسی شبکه

پورت های دسترسی پیش گزینه یا متداول را تغییر دهید. این تغییر برای جلوگیری از حمله و نفوذ از سیستم های نفوذ و هک خودکار تا درصد قابل ملاحظه ای مفید می باشد. این تغییر بهتر است یک عدد تصادفی و نا معمول باشد.

پورت های متداول و پیش گزینه ای که پیشنهاد می شود تعویض شود:

SSH, Web Access, SSL, SIP, IAX2

سوم: استفاده از NAT

از سرویس NAT استفاده کنید. سرویس دهنده ویپی که پشت سرویس NAT قرار دارد از امنیت قابل ملاحظه بیشتری برخوردار است. استفاده از DMZ بدون هیچ امکانات دیگری می تواند بدترین گزینه انتخابی باشد که آسیب پذیری را بسیار افزایش می دهد. وقتی از سرویس NAT استفاده می کنید باید مراقب ملاحظات پروتکل SIP نیز باشید.

چهارم: استفاده از FAIL2BAN

از سرویس Fail2Ban استفاده کنید. سرویس Fail2Ban برای جلوگیری از هک و نفوذ نام کاربری و رمز سیستم با روش سعی و خطا می شود. سرویس Fail2Ban دارای Log مناسب می باشد و در صورتی که نفوذ از یک منبع تکراری باشد, آی پی منبع مورد نظر تا مدت زمان دلخواه مسدود می شود.

پنجم: محدودیت امکان ریجیستر شدن داخلی های سیستم

امکان ریجیستر شدن داخلی های سیستم را به یک شبکه خاص و یا آی پی خاص محدود کنید. این امکان در سیستم های مبتنی بر استریسک با پارامترهای Permit/Deny امکان پذیر است.

با این محدودیت اگر نام کاربری و رمز داخلی فاش شده و یا به سرقت برود آی پی آدرس های غیر مجاز، نمی تواند با آن داخلی رجیستر شود.

ششم: محافظت از OUTBOUND ROUTE

در واقع بخش با اهمیت و نگران کننده سرویس دهنده ویپ مسیر خروج تماس ها به مخابرات است. نفوذ و هک به منظور دسترسی به این بخش صورت می گیرد.

در یک سیستم می توان محدودیت های ذیل را برای سخت تر شدن نفوذ در نظر گرفت:

رمز برای Outbound Route, به ویژه برای تماس های بین اللملی (00).

محدودکردن داخلی های مشخص به Outbound Route

فعال بودن در محدوده زمانی مشخص برای Outbound Route

هفتم: استفاده از رمزهای عبور مناسب

کلیه رمزهای عبور مناسب می بایست پیچیده, غیر قابل پیش بینی, تصادفی. یک رمز قوی و مناسب کلمه ای است ترکیبی از عدد, حروف(کوچک و بزرگ), نشانه با حداقل طول 12 کاراکتر.

هشتم: محدود کردن تعداد مکالمات همزمان

تعداد مکالمات هم زمانی را که یک داخلی می تواند انجام دهد را محدود کنید. همین طور تعداد کانال های همزمان برای ترانک را هم محدود کنید.

نهم: مانیتورینگ و نظارت

تنظیمات مربوط به لاگ های سیستم, نگهداری در محل مناسب و مدت مناسب و در ادامه بررسی به طور منظم و برنامه ریزی شده به پیش بینی و پیش گیری از آسیب های امنیتی و یا پوشش حفره یا خلاء امنیتی کمک می کند.

دهم: امنیت لایه شبکه

برای تامین امنیت حداکثری پیاده سازی شبکه ای با ساختار امن و مطمئن برای سرویس دهنده ویپ ضروری است. بهره گیری از فایروال مناسب, مانیتورینگ و….. که توسط کارشناس مورد نظر پیاده سازی و نصب گردیده ضروری به نظر می رسد.

یازدهم: TLS/SRTP

از TLS/SRTP استفاده کنید. قسمت قابل توجه موارد امنیتی فوق برای محافظت در مقابل نفوذ پذیری و هک بود برای دنبال نفوذ به سیستم و دزدیدن ترافیک هستند, استفاده از TLS/SRTP به حفاظت مکالمات ارتباطی شما از شنود کمک می کند.

دوازدهم: بستر و ساختار امن

برای پیاده سازی سرویس ویپ برای سازمان هایی که دارای شعب متعدد می باشند و نیاز به ارتباط بین شعب و دفتر مرکزی از طریق بستر عمومی اینترنت می باشد, تامین و ایمن سازی بستر با بهره گیری از سرویس های VPN ضروری و گزینه مناسبی می باشد.

استفاده از VPN های سخت افزاری جهت جلوگیری از کاهش پارامترهای کیفیتی بستر ارتباطی توصیه می شود.

سیزدهم: محدود کردن ارتباط بین الملل

با مراجعه به مخابرات برای خطوطی که نیاز به ارتباطات بین الملل ندارد می توان درخواست مسدود کردن -00- بین الملل را داد. هر چند این راه بسیار محدود کننده است ولی راه حل موثر برای شرکت ها و سازمان هایی که ارتباط بین الملل برای کلیه خطوط خود لازم ندارند می باشد.

چهاردهم: غیر فعال کردن قابلیت ها و یا ماژول های بدون استفاده

تنها حداقل سرویس ها و ماژول های لازم در سیستم فعال باشند و سایر سرویس ها, قابلیت ها و ماژول ها غیر فعال گردد. این موارد مانند pbx_spool, AMI,…. در سرور استریسک و یا FTP,SAMBA,… بر روی سرور لینوکس باشد.

پانزدهم: تغییرپیش فرض

کلیه تنظیمات پیش فرض اعم از پسورد ها ,ماژول ها, …… در سیستم از حالت پیش فرض خارج شود.

شانزدهم: TECHNOLOGY HIDING

این روش در واقع حذف و تغییر اطلاعات اضافی غیر ضروری که در تبادل داده ها می باشد. به عنوان نمونه پیام های SIP دارای فیلد داده ای است به نام “Server:” که به صورت پیش فرض اطلاعات تولیدکننده, مدل دستگاه و یا نرم افزار را دارد این به شخصی یا سیستم نفوذ کننده قدرت تشخیص نوع و مدل سیستم را می دهد. می توان در سیستم های تلفنی مبتنی بر استریسک این فیلدها را در sip.conf تغییر داد:

Useragent = NotAsterisk

Sdpsession = NotAsterisk

هفدهم: پاسخ ناشناس

برخی سیستم های اتوماتیک با ارسال درخواست های SIP سعی در پیدا کردن یک راه نفوذ به سیستم می باشند و در این موارد اگر سیستم در پاسخ به درخواست آنها کد response code دقیق و صحیح را ارسال کند سیستم نفوذگر اطلاعاتی دریافت می کند که مسیر یافتن نفوذ را برای آن کوتاه تر می کند. به عنوان نمونه در سیستم های تلفنی نباید برای اشتباه بودن رمزعبور و یا عدم وجود نام کاربر، Response code های مختص به آن ها را ارسال کرد, این کار باعث می گردد تا سیستم حمله کننده با اطلاعات بیشتری و در نتیجه آگاهی درخواست های جدید خود را ارسال نماید. به عنوان مثال در صورتی که سیستم حمله کننده با یک نام کاربری و رمز عبور فرضی درخواستی به سیستم نماید و سیستم Response code مربوط به عدم وجود کاربری را در پاسخ ارسال کند، سیستم حمله کننده تشخیص می دهد که نام کاربری دیگری را باید انتخاب کند. اما اگر سیستم تلفنی تنها در پاسخ عدم صحت در اطلاعات جهت احراز هویت را ارسال کند، سیستم حمله کننده نمی تواند تشخیص دهد نام کاربری اشتباه است و یا رمز عبور. این امر مسیر نفوذ را طولانی تر و امنیت را افزایش می دهد. در سیستم های تلفنی مبتنی بر استریسک، می توان در sip.conf این تغییرات را اعمال کرد.

Allowguest = no

Alwaysauthreject = yes

هجدهم: سیستم عامل

کنترل, نظارت و محدود کردن دسترسی ها بر روی سیستم عامل سرویس دهنده از نکات مهم و بسیار قابل توجه می باشد زیرا در صورتی که این امر رعایت نشود کلیه ملاحظات امنیتی دیگر بدون اثر می گردد. این مورد امنیتی می بایست توسط یک کارشناس حرفه ای پیاده سازی و نظارت گردد.

نوزدهم : فایروال ویپ

یک راه حل یکپارچه و جامع امنیتی برای سرویس های ویپ Session Border Controller یا SBC می باشد. SBC نرم افزار یا سخت افزاری است ویژه سرویس های ویپ و بر هر ارتباط یا مکالمه “Session” نظارت می کند که چگونه شروع, ادامه و ختم می شود. SBC مانند یک فایروال یا روتر، میان سرویس دهنده(IPPBX, UCM, ITSP) و دریافت کنندگان سرویس قرار می گیرد. می توان SBC را همانند فایروالی برای سرویس های ویپ در نظر گرفت که علاوه بر برقراری امنیت، مسیریابی و یکپارچه سازی را نیز در این شبکه ها فراهم می کند.

بیستم : سخت افزار

تمام پیش بینی های امنیتی و ملاحظات پیچیده برای تضمین حداکثری برقراری سرویس می باشد. جهت این پیاده سازی بهره گیری از سخت افزار های مناسب و قابل اطمینان درکنار شرایط محیط مناسب می توانند به کارشناس حرفه ای در این پیاده سازی کمک کند.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *