مخاطرات و راهکارهای برقراری امنیت ویپ (قسمت دوم)

مخاطرات و راهکارهای برقراری امنیت ویپ

هفده قدم تا امنیت ویپ

پیش گفتار
در قسمت قبل از سری مقالات امنیت ویپ با انواع حملات سایبری و روش عملکرد آنها آشنا شدید. یاد گرفتیم که هکر در حمله DDOS با چه روشی سرورها را از کار می اندازد، در روش Brute Force چگونه رمز ورود شما را پیدا می کند و چطور می تواند از طریق سطل آشغال اتاق کار شما به سرورهای سازمان دسترسی پیدا کند! با آشنایی و شناخت انواع حملات سایبری می توانیم با آنها مقابله و با آگاهی بیشتر امنیت ویپ خود را تضمین کنید. مخاطرات و راهکارهای برقراری امنیت ویپ (قسمت دوم)

مخاطرات و راهکارهای برقراری امنیت ویپ (قسمت اول)

در این مقاله شما را با روش های مقابله با انواع حملات سایبری در مراکز تلفن متن باز آشنا خواهید شد

1)تغییر پورت های حیاتی

معمولا اکثر حملات سایبری از طریق پورت های پیش فرض صورت می گیرد. به طور مثال زمانی که یک مهاجم قصد حمله داشته باشد اولین کاری که خواهد کرد اسکن کردن پورت های مجموعه هدف و شناسایی پروتکل ها و پورت های باز است. بنابراین اولین و مهمترین قدم در مقابله با حملات سایبری و امنیت ویپ تغییر پورت های معمول به پورت های غیرمتعارف است. در مراکز تلفن متن باز مراقب پروتکل های زیر باشید:

  • SIP 5060
  • IAX 4569
  • RTP 10000-20000
  • SSH 22
  • HTTPS 443
  • TFTP 69
  • AMI 5038

2)پیکربندی IPTabless لینوکس

با استفاده از فایروال لینوکس می توانید ترافیک ورودی و خروجی سرور مرکز تلفن تحت شبکه خود را کنترل نمایید. اگر کار با IP Tables لینوکس برای شما سخت است، به طور مثال می توانید از واسط کاربری Webmin استفاده نمایید. همچنین اگر از الستیکس استفاده می کنید نگران دشواری تنظیمات IP Tables روی لینوکس نباشید زیرا الستیکس راحت ترین رابط کاربری این فایروال را دارد! IP Tables لینوکس یکی از قدرتمند ترین فایروال های دنیا است. بهتر است بدانید Kerio Control و Mikrotik از IP Tables لینوکس استفاده می کنند.

پیکربندی IPTabless لینوکس

3)جلوگیری از Login های متعدد و غیر مجاز با استفاده از Fail2Ban

با توجه به مقاله پیشین یکی از روش های حمله سایبری Brute Force یا حدس زدن رمز است. برای جلوگیری از این حمله  به مرکزتلفن ویپ می توانید از فایروال کد باز Fail2ban جهت جلوگیری از ورودهای غیر مجاز اشتباه و متعدد استفاده کنید. به طور مثال می توانید تعریف کنید اگر کسی بیش از سه بار رمز ورود را اشتباه وارد کرد برای 2 ساعت IP او مسدود گردد. با این روش می تواند امنیت ویپ خود را تا حدی بالا ببرید.

4)استفاده از گواهینامه جهت تصدیق هویت (TLS)

یکی از مهمترین روش های جلوگیری از حملات سایبری استفاده از کلید رمزنگاری در شبکه است. این کلید به دو صورت متقارن و نامتقارن جهت امنیت پروتکل SIP با شماره پورت 5061 در شبکه توزیع و مورد استفاده کلاینت ها قرار می گیرد. به این صورت که کلید ها به هر کلاینت داده می شود و هر کلاینت در صورتی که گواهینامه مجاز را داشته باشد اجازه رجیستر شدن روی سرور را خواهد داشت. نحوه کار TLS به این صورت است که سرور گواهینامه مجاز را تولید و در اختیار کلاینت ها قرار می دهد و فقط کلاینت هایی که گواهینامه معتبر دارند امکان ارتباط با سرور را خواهند داشت.

5)استفاده از SRTP/ZRTP جهت رمزنگاری صدا

پروتکل RTP به صورت پیش فرض بدون رمزنگاری و قابل شنود است. فرض کنید شما در یک سازمانی هستید که امنیت در مکالمات شما بسیار با اهمیت است. بنابراین نیاز به Encryption صدای ارسالی و دریافتی خواهید شد. جهت رمزنگاری صدای انتقالی می توانید پروتکل RTP را با SRTP/ZRTP رمز و غیرقابل شنود کنید.

6)محدودیت برقراری تعداد کانال های خروجی

برای کانال های خروجی خود محدودیت تماس همزمانی قرار دهید. مثلا اگر چندین خط آنالوگ یا لینک ایوان دارید، به طور مثال فقط مجوز 5 تماس همزمان را به ترانکهای خروجی دهید. با این کار در صورت دسترسی غیر مجاز به سرور خسارت مالی کمتری خواهید داشت. ضمنا فراموش نکنید ممکن است مهاجم با استفاده از حملات مهندسی اجتماعی تنها مشخصات رجیستر شدن روی سرور را داشته باشد، بنابراین این راه حل نیز در این شرایط به امنیت ویپ کمک خواهد کرد.

7)محدودیت زمانی مکالمه و پایان ساعت کاری

به طور مثال اگر ساعت کاری شما تا 17:00 بعد از ظهر است، بنابراین بعد از این ساعت که هیچ کارمندی در شرکت حضور ندارد نیازی نیست همچنان خطوط خروجی شما در دسترس باشد. شما می توانید برای تماس های خروجی ساعت تعریف کنید و بعد از ساعت تعیین شده ترانک های خروجی را از دسترس خارج کنید. با این کار مهاجم در ساعات غیر اداری سازمان شما امکان برقراری تماس و سو استفاده نخواهد داشت. برای مدت زمان مکالمات نیز محدودیت قرار دهید، فرض کنید مهاجم اطلاعات اهراز هویت یک داخلی یا یک ترانک را دارد اگر مکالمه هکر بعد از سه دقیقه قطع شود نمی تواند از خطوط شما سو استفاده کند. این نکات کوچک کمک بزرگی به امنیت ویپ شما می کنند.

8)محدودیت رجیستر برای یک رنج IP خاص

غیر از IP Tables که می توانستیم به صورت تفکیک شده محدودیت های زیادی را برای کنترل ترافیک ورودی و خروجی داشته باشیم، از دو پارامتر Permit و Deny می توانیم در تنظیمات داخلی ها استفاده کنیم. البته این دو پارامتر در مراکز مبتنی بر استریسک است. با استفاده از این دو پارامتر می توانیم برای رجیستر شدن داخلی X روی سرور محدودیت رنج یا IP تعریف کنیم.

9)استفاده از فایروال های سخت افزاری / SBC

بهترین روش جهت برقراری امنیت در ویپ استفاده از فایروال سخت افزاری جهت کنترل تمام ترافیک ورودی و خروجی و همچنین استفاده از SBC جهت کنترل بیشتر روی پکت های Voice است. شما در SBC ها می توانید پکت های RTP و SIP را کنترل و رمز گذاری کنید. از حملات سایبری مثل DOS/DDOS محافظت کنید و همچنین دسترسی مستقیم به سرور را محدود و یا به صورت کلی از دید کاربران پنهان کنید. شرکت های تولید کننده تجهیزات ویپ مختلفی همچون سنگوما، الستیکس و نیوراک هستند که SBC یکی از محصولات تخصصی آنها است. البته فایروال های معروفی همچون Fortigate ،Cisco ،Juniper ،Cyberoam و … هستند که توانایی کنترل پکت های صدا را نیز دارند.

SBC

10)استفاده از نام کاربری و رمز عبور غیر متعارف و ترکیبی

یکی از ساده ترین راه های ورود غیر مجاز به سیستم تلفنی تحت شبکه استفاده از رمز های متعارف است. به طور مثال در حمله Brute Force مهاجم با استفاده از رمز های ساده و متعارف مثل 123456، admin ،000000 و… و همچنین تاریخ تولد، شماره پرسنلی و رمزهای مشابه که امکان حدس زدن وجود دارد سعی در ورود غیرمجاز می کند. بنابراین همیشه سعی کنید از رمزهای ترکیبی اعداد، کاراکتر و حروف بزرگ و کوچک استفاده کنید.حتی اگر فایل Hash چنین رمزهایی به دست مهاجم افتد امکان رمزگشایی وجود ندارد و اگر هم وجود داشته باشد ممکن است مدت خیلی زیادی طول بکشد.

11)عدم Publish کردن سرور در اینترنت

اگر می خواهید سرور خود را در فضای اینترنت عمومی کنید حتما از فایروال استفاده کنید و روی سرور مستقیما IP وارد نکنید. البته معمولا در لبه شبکه یک روتر یا یک فایروال قرار می گیرد اما در صورتی که هرکدام به درستی کانفیگ نشوند در کمترین زمان مورد حمله قرار خواهید گرفت و امنیت ویپ شما را به مخاطره خواهد انداخت. در پروژه هایی که نیاز دارید داخلی ها از بیرون روی سرور رجیستر شوند می توانید از VPN یا SBC جهت ارتباطی امن استفاده کنید.

12)جلوگیری از درخواست ها ناشناس پروتکل سیپ

در سیستم تلفنی استریسک همه درخواست های ناشناس پروتکل سیپ و همچنین درخواست کابران مهمان در مسیر ورودی سرور به سمت کانتکس پیش فرض می رود. در راستای امنیت ویپ و جلوگیری از دسترسی غیر مجاز باید دو پارامتر allow sip guests و allow anonymous inbound sip calls را در حالت No قرار دهید.

13)استفاده از پورت ناکینگ

پورت ناکینگ یک مکانیزم شرط گذاری جهت برقراری ارتباط همانند درب زدن رمزی است. فرض کنید سرور شما روی اینترنت است و تمام پورت های آن را بست اید. بنابراین در چنین شرایطی نه خود شما و نه هیچ کس دیگری قادر به نفوذ در سرور نخواهد بود. برای دسترسی به سرور باید یک شرط قرار دهید به طور مثالی اگر شخصی 2 بار با فاصله یک دقیقه پکتی با سایز 50 بایت ارسال کند پورت های از پیش تعیین شده به سمت نرم افزار داخلی شبکه باز و دسترسی از بیرون میسر خواهد شد.

پورت ناکینگ

14)مانیتورینگ سرور

معمولا بعد از اجرای یک پروژه ویپ غیر از مواقعی که سرور به مشکل می خورد هیچ توجهی به بررسی لاگ های سرور نمی شود! یکی از موارد مهم در جلوگیری از حملات سایبری مانیتورینگ و بررسی لاگ های امنیتی سرور است. با این روش می توانید IP هایی که به صورت ناشناس قصد ورود به سرور شما را داشتند بلاک کنید. حواستان به محتوای فایل های /var/log/secure (آدرس IP افرادی که ssh زده اند) و /var/log/audit/audit.log (ورود های موفق و ناموفق وب) باشد. از طریق بررسی منظم این دو فایل گزارشات خوبی خواهید گرفت.

15)بستن رنج IP های کشورهای خارجی

اکثر حملات سایبری در ویپ از کشورهای خارجی هستند. یکی از بهترین روش های پیشگیری از حملات سایبری بستن رنج IP کشورهای خارجی است. به طور مثال مثال می توانید رنج IP اسراییل، غزه، کوبا و … را ببندید.

16)گذاشتن رمز برای تماس های خروجی

جهت امنیت بیشتر تماس های خروجی می توانید برای آن رمز قرار دهید. با قرار دادن رمز در مسیر تماس های خروجی، کاربر ابتدا رمز را وارد، سپس اقدام به تماس خواهد کرد. بدیهی است که هکر در صورت نداشتن رمز عبور قادر به سو استفاده نخواهد بود.

17) فعال کردن گزینه alwaysauthreject

در صورتی که در فایل sip_general_custom.conf پارامتر alwaysauthreject را تایپ و برابر yes قرار دهید، زمانی که فردی قصد رجیستر شدن غیر مجاز داشته باشد، زمانی که رمز و نام کاربری را اشتباه وارد کند Response یکسان دریافت می کند و هنگام Bruteforce متوجه نمی شود کدام یک از پارامتر های اشتباه است. بنابراین کار مهاجم دشوارتر خواهد شد.

سخن آخر:
در این قسمت از این مقاله شما با کلیات چگونگی مقابله با حملات سایبری جهت ایجاد امنیت ویپ و علی الخصوص مراکز تلفن کد باز آشنا شدید. در مقالات بعدی به صورت عملی روش کانفیگ هر یک از موارد گفته شده آموزش خواهد داده شد.

مخاطرات و راهکارهای برقراری امنیت ویپ (قسمت دوم)

این مقاله اولین بار در سال 95 در این سایت منتشر شده است

من هومن حیدری هستم. دانشجوی رشته MBA گرایش بازاریابی. 8 سال سابقه فعالیت در زمینه سخت افزار و فناوری اطلاعات دارم و از این مدت 4 سال هست که به عنوان کارشناس فنی و فروش در زمینه سیستم های تلفنی مبتنی بر استریسک و سخت افزارهای مرتبط فعالیت میکنم. مشاوره در زمینه راه کارهای ویپ، امور مرتبط با مارکتینگ و تولید محتوای صوتی، تصویری، متنی و آموزش از علاقه مندی های من هست. تجربه هایی در زمینه مستند سازی سازی و ارائه دیاگرام زیرساخت شبکه، VMS و تجهیزات مدار بسته، پسیو شبکه، طراحی اتاق سرور و مانیتورینگ و مدیریت شبکه های کامپیوتری کوچک دارم و بسیار علاقه مند به فراگیری مباحث جدید در حوزه کسب و کار، فناوری اطلاعات و علاقه مند به کسب و کارهای خلاق هستم.

دیدگاه خود را بنویسید:

آدرس ایمیل شما نمایش داده نخواهد شد.

سایدبار کشویی