مسمومیت کش ای آرپی و طغیان ای آرپی

مشاهده : 137
مسمومیت کش ای آرپی و طغیان ای آرپی کامپیوتر و موبایل
چون بیشتر سیستمها دارای اعتبار کمی هستند، یک مهاجم ممکن است قادر باشد به کامپیوتری روی بخشی از شبکه ی VoIP رخنه نماید، و سپس دستورات ای آر پی ایی را به منظور تخریب کشهای ای آر پی روی ارسال کننده های آمد و شد های مورد نظر شما بفرستد.این مهاجم سپس می تواند آی […]
چون بیشتر سیستمها دارای اعتبار کمی هستند، یک مهاجم ممکن است قادر باشد به کامپیوتری روی بخشی از شبکه ی
VoIP رخنه نماید، و سپس دستورات ای آر پی ایی را به منظور تخریب کشهای ای آر پی روی ارسال
کننده های آمد و شد های مورد نظر شما بفرستد.
این مهاجم سپس می تواند آی پی را فعال سازد.
یک طغیان ای آر پی که روی سوئیچ حمله می کند و نقاط ضعف شبکه را در اختیار گیرد و
سپس استراق سمع نماید.
هنگامی که عمل پخش ARP بیجواب بماند، آنگاه بیشتر کش های ARP آسیب می بینند.
با آسیب رساندن به کش ای آر پی، مهاجم اکنون می تواند آمد و شد داده ها را به مسیرهای
مورد نظر هدایت نماید، در نتیجه داده ها و صداها را تحت کنترل خویش در آورد.
برای جلوگیری از چنین تهاجماتی، از مکانیسم ها و ساز و کارهای مستند که دارای اعتبار هستند استفاده نمایید این
ساز وکارها تا حد امکان دسترسی به بخش های شبکه ی VoIP را کاهش می دهند.
واسطه های سرور وب هم برای سوئیچ های VoIP و هم برای پایانه های صدا احتمال اینکه دارای یک واسطه
ی سرور وب برای مدیریت محلی و یا راه دور باشند، وجود دارد.
یک مهاجم ممکن است قادر باشد بسته های HTTP متون اولیه را به منظور دستیابی به اطلاعات محرمانه ردیابی نماید.
برای انجام چنین کاری مهاجم نیاز دارد به شبکه ی محلی سروری که به آن متصل است، دسترسی یابد.
برای جلوگیری از این نوع تهاجمات، اگر مقدور است، از سرور HTTP استفاده ننمائید.
اگر ضروری است که از یک سرور وب برای مدیریت دور استفاده نمایید، از پروتکل های ایمنتر HTTP استفاده کنید
نظیر HTTP روی SSL یا TLS.
آسیب پذیری نتماسک تلفن آیپی یک اثر مشابه با آسیب پذیری کش ای آر پی می تواند توسط یک مهاجم
که ماسک زیر شبکه و آدرس مسیریاب را به تلفن آیپی اختصاص می دهد، سیستم تلفن شما را تهدید نماید.
(یادداشت مترجم: نتماسک: گاهی به عنوان نام مستعار برای آدرس آیپی شناخته می شود و گاهی به اشتباه نام میزبان
(HostName) نامیده می شود، نتماسک یک الگوی ۳۲ بیتی است که برای تقسیم آیپی به زیرشبکه ها و مشخص کردن
میزبانان قابل دسترس به شبکه ها استفاده می شود.
در یک نتماسک، همیشه دو بیت بطور خوکار تخصیص داده می شود.
برای نمونه در “۰”۲۵۵٫۲۵۵٫۲۵۵٫۰ آدرس شبکه ی تخصیص داده شده است، و در “۲۵۵”,۲۵۵٫۲۵۵٫۲۵۵٫۲۵۵ آدرس فضای انتشار تخصیص داده شده
است، باید توجه داشت که دو مقدار “۰” و “۲۵۵” هیچگاه مورد استفاده ی میزبانان نخواهد بود بلکه مقادیر بین
این دو عدد همیشه به کاربران واگذار می گردد).
مهاجم با این ترفندی که بکار می برد آدرسها را در اختیار می گیرد و به سوی خود متمایل می
نماید بطوریکه بیشتر و یا همه ی بست های انتقال یافته ی تلفنی به آدرس MAC مهاجم ارسال خواهد شد.
ارسال آی پی استاندارد می تواند باعث نفوذ به سیستم شود ولی در عین حال غیرقابل ردیابی باقی بماند.
با نصب یک مکانیسم فیلترکننده ی فایروال می توانید احتمال چنین حملاتی را کاهش دهید.
دسترسی از راه دور به تلفنهای آیپی ریسک بسیار بزرگی است.
گسترش به آسیب پذیری نگاشت آدرس های آیپی یک مهاجم به سادگی می تواند آدرس آی پی که متناظر با
هر گونه اتصال توسعه یافته را کشف کند (یادداشت مترجم: در اینجا منظور از هر گونه اتصال توسعه یافته (Any
Extension) می باشد).
تنها چیزی که مهاجم نیاز دارد آن است که با بخش الحاقی یا همان خطوط گسترش یافته تماس برقرار کند
و از آن پاسخی دریافت نماید.
یک تحلیلگر پروتکل یا ابزار دریافت بسته های اطلاعاتی متصل شده به هاب روی تجهیزات شماره گیر، مستقیماً این بسته
ها را از تجهیزات و ابزار هدف درست در زمانی که تماس پاسخ داده شود، مشاهده خواهد کرد.
توانایی کشف آدرس آیپی یک شاخه ی خاص از شبکه به خودی خود ساده و آسان نمی باشد اما سبب
می شود تا انجام دیگر تهاجمات به سیستم راحتتر صورت پذیرد.
برای مثال، اگر مهاجم قادر باشد تا بسته ها را بر روی شبکه ی محلیائی که از سوئیچ استفاده می
کند رهگیری نماید، برای مهاجم بسیار ساده خواهد بود تا بسته های ارسالی و دریافتی از تلفن هدف را بدست
آورد.
بدون دانستن آدرس آیپی تلفن هدف، مهاجم به سادگی نمی تواند به مقصود خود دست یابد، و برای رسیدن به
هدف خود زمان بیشتری نیاز دارد.
بنابراین با طولانی شدن زمان تهاجم فرصت کافی برای خنثی کردن این نوع مزاحمتها نیز وجود خواهند داشت.
هنگامیکه شما هاب روی تلفن آیپی را از کار بیاندازید، آنگاه قادر خواهید بود از چنین تهاجماتی در امان باشید.
ارسال صحیح منظور از ارسال صحیح اطلاعات، عدم تغییر اطلاعات بوسیله ی کاربران غیرمجا.، برای مثال، بیشتر کاربران میخواهند مطمئن
شوند که اعداد مربوط به حسابهای بانکی آنها توسط اشخاص دیگر تغییر پیدا نمی کنند، یا کلمه های عبور فقط
توسط خود کاربر یا مدیریت امنیتی مجاز تغییر می یابند.
سوئیچهای ارتباطات از راه دور باید صحت آرایش و داده های سیستم خود را تامین نمایند.
غنای مجموعه هایی از ویژگی ها و خصیصه های قابل دسترس بر روی سوئیچ، ابزار خوبی را برای مهاجمان فراهم
نموده است.
یک هکر که می تواند پیکربندی سیستم را کشف نماید در واقع دری را بر روی ویژگی ها و خصیصه
های گوناگون قابل هک کردن گشوده است.
برای نمونه یک هکر می تواند با اتصال به مرکز تلفن به مکالمات گوش دهد به همان راحتی که سوپروایزرها
برای کنترل کیفیت صدا گاهی به طور قانونی مکالمات را شنود می کنند.
عمل دیگری که یک مهاجم می تواند انجام دهد تا به اطلاعاتی درباره ی شبکه ی آیپی بکار رفته بوسیله
ی یک سوئیچ VoIP آسیب رساند و یا آنها را حذف نماید، ایجاد عدم پذیرش آنی یک سرویس می باشد
(یادداشت مترجم: منظور از عدم پذیرش سرویس (Denial)).
سازو کار امنیتی خود قابلیت هایی را برای عدم استفاده و یا استفاده ی نادرست از سیستم مهیا می کند.
کشف سیستم امنیتی نه تنها اجازه ی استفاده ی نادرست از سیستم را می دهد بلکه برای سوء استفاده کنندگان
از سیستم این امکان را فراهم می نماید که همه ی رده هایی که منجر به شناسایی آنها می شود
را حذف نمایند (پوششی بر روی تمام ردها قرار دهند)، و دریچه ای برای رخنه ی دیگر مهاجمین و یا
برای استراق سمع های آینده ی خود ایجاد نمایند.
به همین دلیل، سیستم امنیتی باید به شدت تحت نظر و مراقبت قرار گیرد.
تهدیدهای مربوط به مبحث ارسال صحیح شامل تکنیک هایی هستند که در نتیجه ی آنها، داده ها و یا توابع
سیستم آسیب می بینند، این امر یا بصورت تصادفی صورت می پذیرد و یا به علت انجام یک سری عملیات
خرابکارانه.
بکارگیری نادرست به کاربران غیرمجاز محدود نمی شود، حتی گاهی کاربران مجاز نیز با انجام عملیات نادرست بر روی سیستم
مانند یک کاربر غیرمجاز سبب بروز اخلال میگردند.
همانطور که گفتیم، یک کاربر مجاز ممکن است با اجرای نادرست دستورات و یا توابع، یا با انجام یک عملیات
غیرمجاز سبب تعدیل نادرست و زیانبار، تخریب، حذف، یا افشا داده ها و نرم افزار سوئیچ شود.
در ایجاد اینگونه آسیبها و تهدیدات عوامل متعددی دخیل هستند که از جمله ی آنها می توان به میزان اجازه
ی دسترسی اعطا شده به یک کاربر، اشاره داشت.
گاهی اجازه ی دسترسی یک کاربر بیشتر از میزانی است که وی نیاز دارد تا بعنوان مجری باقی بماند.
تهاجم چندین تهدید تهاجمی وجود دارد که یک مهاجم قادر به انجام آن است.
یک مهاجم می تواند خود را بعنوان یک کاربر مجاز جا بزند و با این روش به درگاه عملیاتهای سوئیچ
دست یابد.
یا یک مهاجم ممکن است با استفاده از سطح اجازه ی یک کاربر مجاز استفاده نماید و عملیات مخرب توابع
زیر را صورت دهد: افشا اطلاعات محرمانه سبب از بین رفتن سرویس بوسیله ی تغییر و تبدیل نرم افزار سوئیچ
شود.
درهم شکستن سوئیچ حذف تمام ردهای مربوط به تهاجم، بوسیله ی اصلاح لاگ امنیتی حالت ناامن زمان هایی وجود دارد
که سوئیچ در آن برهه آسیب پذیر خواهد بود، زیرا در حالت ایمن قرار ندارد.
برای نمونه: بعد از شروع مجدد یا به اصطلاح ری استارت سیستم، ممکن است ویژگی های امنیتی قدیمی به تنظیمات
غیر ایمن برگردانده شده باشد و ویژگی های امنیتی جدید هنوز فعال نشده باشند (برای مثال، همه ی کلمه های
عبور پیش فرض برگردانده شده باشند، زیرا کلمه های عبور جدید هنوز اعمال نشده اند).
اتفاق مشابهی ممکن است هنگام ریکاوری نادرست انجام گیرد.
هنگام نصب سوئیچ امکان ورود صدمه و آسیب به سیستم وجود دارد تا زمانی که ویژگی های امنیتی پیش فرض
جایگزین شده باشند.
حمله ی الحاق سرور DHCP اغلب این امکان وجود دارد آرایش و پیکربندی تلفن هدف با بهره گیری از سرعت
پاسخ DHCP هنگامیکه تلفن آی پی راه اندازی می شود، تغییر یابد.
به همان سرعتی که تلفن آی پی یک پاسخ DHCP را درخواست مینماید، همانطور هم یک سرور DHCP مهاجم قادر
است یک پاسخ با حوزه های از داده ها که شامل اطلاعات نادرست است را اعمال نماید.
این حمله معمولاً توسط افرادی که در تهاجمهای میانی روی درگاه IP-Media و تلفنهای آیپی شرکت دارند، صورت می گیرد.
روشهای زیادی وجود دارد که به هکر این امکان را می دهد تا این تلفنها را از راه دور دوباره
راه اندازی نماید، برای نمونه، استفاده از مهندسی اجتماعی Ping Flood, (Social Engineering)، ترفند و حقه های MAC (احتمالاً تله
های SNMP و نظیر آنها).
استراتژی بازدارنده برای اینگونه تهاجمها، در صورت امکان، استفاده از آیپی ایستا برای تلفنهای آیپی می باشد.
اجرای چنین راهکاری شما را در استفاده از یک سرور DHCP بی نیاز می سازد.
علاوه بر این، با استفاده از سیستم آشکارساز شنود حالت محور (State based intrusion detection system) شما قادر خواهید بود
بسته های سرور DHCP را از درگاه های تلفن آیپی غیر مجاز فیلتر نمایید.
و فقط آمد و شد بسته های اطلاعاتی مربوط به سرورهای مجاز و قانونی انجام گیرد.
حمله ی تعبیه شده ی سرور TFTP این امکان برای یک هکر وجود دارد که پیکربندی تلفن هدف را بوسیله
ی سرعت پاسخ پروتکل انتقال فایل جزئی (File Transfer Protocol (TFTP Trivial) تغییر دهد.
یک سرور TFTP مزاحم می تواند اطلاعات جعلی را ایجاد نماید قبل از آنکه سرور قانونی قادر به پاسخ باشد.
این حمله به مهاجم این اجازه را می دهد پیکربندی تلفن آیپی را تغییر دهد.
با استفاده از سیستم آشکار ساز شنود حالت محور بسته های اطلاعاتی از درگاه های تلفن آیپی فیلتر می شوند،
و چنین آمد و شدهایی صرفاً از سرورهای مجاز انجام می شوند.
سازمان هایی که به دنبال گسترش سیستم های VoIP هستند باید در نظر داشته باشند که تجهیزات تلفن آیپی ای
را خریداری نمایند که قادر است فایلهای باینری تضمین شده را دانلود نمایند.
در دسترس بود و عدم پذیرش سرویس در دسترس بودن به این نکته اشاره دارد که اطلاعات و خدمات هنگامیکه
شما به آنها نیاز دارید قابل استفاده هستند.
همان طور که حدس زده اید در دسترس بودن برای سوئیچ خطر بزرگی محسوب می شود.
حمله ها با شناسایی نقاط آسیب پذیر نرم افزار سوئیچ و یا پروتکل ممکن است باعث تخریب و از بین
رفتن خدمات گردند یا حتی باعث رد پذیرش سرویس یا عدم پذیرش برخی از وظایف سوئیچ گردند.
برای نمونه: اگر دسترسی غیرمجاز به همه ی شعبات کانال های ارتباطی (نظیر لینک CCS یا لینک TCP/IP) بتواند بنا
نهاده شود، ممکن است با ارسال بیشمار پیام های جعلی، سبب تخریب و زوال سرویس (احتمالاً خارج کردن از سرویس)
گردند.
حتی ممکن است یک صدا در بستر سیستم آیپی هنگامیکه اتصال به اینترنت برقرار می شود، آسیب پذیر باشد.
زیرا سیستم آشکارساز شنود (IDS) قادر به رهگیری درصد زیادی از تهاجمات اینترنتی نخواهد بود، درنتیجه مهاجمین قادر خواهند بود
IDS را به راحتی در دام خود اسیر نمایند، این امکان هست که آنها قادر باشند سیستم های VoIP را
با بکار گیری نقاط ضعف پروتکل های اینترنت و سرویسها از پای درآرند و زمین زنند.
هر شبکه می تواند به سادگی با ارسال بسته های اطلاعاتی بیش از حد ظرفیت سیستم تبدیل به یک شبکه
ی خارج از سرویس شود.
این امر برای سیستم های VoIP معضل بزرگی است، زیرا به این طریق خطر از دست دادن بسته های اطلاعاتی
و یا تاخیر ورود و خروج این بسته ها وجود دارد.
حمله به منبع تغذیه CPU بدون داشتن هیچ اطلاعات اکانت یک مهاجم که با پایانه ی راه دور به سرور
دسترسی داشته باشد این امکان را دارد تا سیستم را مجبور به راه اندازی مجدد نماید (خاموش نمودن همه/ شروع
مجدد همه).
برای انجام این کار مهاجم بیشترین تعداد کاراکترها را برای بافرهای کلمه ی عبور و ورود به سیستم چند زمانه
بطور متوالی ایجاد می نماید.
با این نوع تهاجم تلفنهای آی پی ممکن است بطور خودکار از نو راه اندازی گردند.
علاوه بر ایجاد سیستمی که برای مدتی از کار افتاده، شروع مجدد سیستم ممکن است تغییراتی را که قبل از
خاموش شدن سیستم ایجاد شده بودند ولی هنوز ثبت نگردیده بودند را بازنگرداند، در برخی حالتها ممکن است کلمه های
عبور پیش فرض به جای کلمه های عبور جدید بازگردانده شوند، این امر سبب ایجاد آسیب پذیری سیستم می گردد
و مهاجم قادر به شنود خواهد بود.
اولین قدم برای مقابله با چنین تهدیداتی آرایش و تنظیم مناسب فایروال است تا از ارتباط با شبکه های غیر
ضروری و یا ورود بسته های اطلاعاتی از شبکه های ناشناس جلوگیری نماید.
اما، هنوز این امکان برای یک مهاجم وجود دارد تا با جعل آدرس آیپی و MAC خود، فایروال شما را
به دام اندازد.
آسیب پذیری کلمه عبور پیش فرض درست به همان صورتی که سوئیچها دارای مجموعه کلمه عبور/ ورود به سیستم پیش
فرض هستند، تلفنهای VoIP اغلب دارای یک سری کلید می باشند که جهت باز نمودن شبکه و تصحیح اطلاعات شبکه
به کار می روند.
این آسیب پذیری دورنمایی را پیش چشمان ما قرار می دهد که یک مهاجم از راه دور کنترل موقعیت یابی
شبکه را بدست می گیرد، در نتیجه نه تنها قادر خواهد بود سیستم را از سرویس خارج نماید بلکه می
تواند حمله ی انعکاسی درگاه را به مکان مهاجم تکمیل نماید.
بلکه می تواند حمله ی انعکاسی به هکر این اجازه را می دهد تا هر مکالمه ای که بر روی
سوئیچ یکسان انجام می گیرد را ردیابی نماید.
علاوه بر این، سوئیچ ممکن است یک واسطه ی سرور وب داشته باشد که هکر می تواند از آن براری
از هم گسیختن شبکه بهره گیرد بدون آنکه نیاز به دانش زیادی درباره ی عملیات سوئیچ و دستورات آن داشته
باشد.
در بیشتر سیستمها، تلفنها داده های پیکربندی را با استفاده از TFTP و پروتکلهای مشابه روی استارتاپ دانلود می کنند.
این پیکربندی آدرسهای آی پی را برای گره های مدیریت تماس (Call Manager) مشخص می کند، بنابراین یک مهاجم می
تواند آدرس آیپی متفاوت را به مدیریت تماس دیگر اختصاص دهد و به این صورت خواهد توانست آمد و شد
مکالمات را بررسی نماید و به راحتی شنود داشته باشد.
بنابراین با توجه به نکاتی که برشمردیم تغییر دادن کلمه ی عبور پیش فرض ضروری به نظر می رسد.
از کار انداختن واسطه ی کاربر گرافیکی نیز سبب می شود تا از رهگیری نشستهای مدیریت متون اولیه جلوگیری شود.
نقص های نرم افزار قابل استفاده مانند انواع دیگر نرم افزارها، سیستم های VoIP نیز بواسطه ی سرریز شدن بافر
و دستکاری سربرگ (Header) بسته های معیوب، دارای نقاط ضعف و آسیب پذیر می باشد.
این نقصها نوعاً به این دلیل رخ می دهند که نرم افزار صحت قانونی اطلاعات حیاتی را به درستی تایید
نمیکند.
برای نمونه، یک عدد درست و کوتاه ممکن است بصورت یک اندکس جدول استفاده شود بدون آنکه بررسی شود که
آیا این پارامتر عبوری به تابع اجرایی از ۲۳۷۶۷ تجاوز می کند یا خیر.
در نتیجه باعث می شود تا دسترسی به حافظه با خطا روبرو شود یا سیستم از کار افتد.
نقصهای نرم افزار قابل استفاده نوعاً به علت دو ضعف عمده می باشد: خارج بودن از سرویس آشکار سازی پارامترهای
سیستم بحرانی یک مهاجم می تواند از راه دور عدم پذیرش سرویس و یا همان خارج بودن از سیستم را
از راه دور اجرا نماید، برای این کار مهاجم کافی است بستهای را با سربرگ ساختگی که سبب می شود
نرم افزار دچار خطا گردد و از کار افتد.
هدف آن است تا سیستم از بطور کل کار کند و از سرویس خارج گردد.
همچنین یک ذخیره از حافظه تهیه شود تا مهاجم با جستجو در آن آدرس های آیپی گره های سیستم بحرانی،
کلمه های عبور، و یا اطلاعات امنیتی را بیابد.
علاوه بر این، پر شدن و سرریز حافظه ی موقت که بوسیله ی آن یک مهاجم می تواند وجود کدهای
نامناسب را در نرم افزار VoIP معرفی نماید، درست به همان صورت که در دیگر کاربردها وجود دارند.
این امر نیازمند حرکتی از سوی فروشندگان نرم افزار مورد نظر می باشد و همچنین توزیع تصحیحات نرم افزاری به
مدیریتهایی که از این نرم افزارها استفاده می نمایند.
مهاجمان باهوش همیشه درصدر موضوع قرار دارند، آنها مرتب اطلاعیه های راجع نقاط ضعف را کنترل می کنند، آنها می
دانند که بسیاری از سازمانها روزها و یا هفته ها نیاز دارند تا نرم افزارهای خویش را به روز رسانی
کنند.
بنابراین اگر شما در سازمان خویش از چنین نرم افزارهایی استفاده می کنید که باید مرتب به روز رسانی شود،
اطمینان حاصل کنید که این امر به طور مرتب صورت پذیرد و تصحیحات انجام گرفته بر روی نرم افزار از
سوی شرکت طراح آن همواره به نرم افزار نصب شده بر روی سیستم افزوده گردد، در این صورت می توانید
نقاط ضعف نرم افزار خویش را به حداقل رسانید.
مدیریت تصحیح برنامه بطور خودکار می تواند کمک خوبی در کاهش احتمال دستیابی مهاجمین به نقاط ضعف نرم افزارها می
باشد.
برهه های زمانی که طی آنها سازمانها آسیب پذیر هستند را شکاف آسیب پذیری (Vulnerability Gap) می نامند – این
شکاف همه ی سازمان ها را می توان با به روز رسانی تصحیحات مسدود نمود که برای اینکار معمولاً از
سیستم ها خودکار استفاده می شود.
نقاط ضعف مسدود کردن یک اکانت نقاط ضعف مسدود کردن یک اکانت وضعیتی است که در آن مهاجم با استفاده
از یک شبکه ی راه دور و به وسیله ی کلمه عبور نادرست تلاش می کند تا به یک اکانت
دست یابد، همان طور که می دانید معمولاً چنین سیستم هایی برای حفاظت از اکانتها، با وارد کردن چندین بار
کلمه عبور نادرست آن اکانت را برای یک دوره ی مشخص مسدود می نمایند، هنگامیکه اکانت مسدود گردید برای یک
دوره ی زمانی مشخص دیگر کسی قادر به دسترسی به آن اکانت نمی باشد.
به این صورت اکانت خارج از سرویس خواهد بود.
مزیت ویژگی که پیشتر درباره ی آن توضیح دادیم این است که فرصت دستیابی به کلمه ی عبور صحیح توسط
مهاجم را از او می گیرد.
اگر شما با چنین حمله هایی مواجه شدید و دیگر به اکانت خود از طریق شبکه دسترسی نداشتید تنها راه
حل ممکن کنترل دسترسی فیزیکی به حساب یا همان اکانت خویش می باشد.
ایمن سازی VoIP خود ایمن سازی VoIP خود بطور مناسب روی سیستم آیپی فرآیند پیچیده های است زیرا VoIP مجموعه
ای از داده ها و صدا درون یک شبکه ی منفرد می باشد.
شبکه ی شما ممکن است بطور روزانه در معرض حمله ی مهاجمین، ویروسها، و کرم ها قرار گیرد.
شما با سیستم تلفنهای قدیمی هیچگاه نگران چنین تهدیداتی نخواهید بود.
نه گام اساسی وجود دارد که موسسه ی ملی استانداردها (NIST) پیشنهاد می کند، تا به این وسیله امنیت شبکه
ی VoIP خود را افزایش دهید: گسترش ساختار شبکه ی مناسب برای ارتباطات صدا و داده ها خطر پذیری VoIP
را برای ارتباطات صدا آزمایش نمایید پیش بینی های لازم برای اطمینان از تماس ضروری مانند خدمات ۹۱۱ (E-911) گسترش
کنترل های فیزیکی در امنیت VoIP از اهمیت به سزایی برخوردار هستند در نظر گرفتن توان پشتیبان اضافی جهت حصول
اطمینان از برقراری VoIP برای هنگامی که توان اصلی از کار افتاده باشد یافتن، ارزیابی نمودن، و گسترش فایروال های
آماده ی VoIP دوری جستن از تلفنهای نرم افزاری زیرا مدیریت و ایجاد امنیت برای آنها دشوار می باشد اگر
تجهیزات همراه بخشی از گسترش VoIP شما را تشکیل می دهند، با استفاده از WPA اطمینان حاصل کنید که آنها
ایمن هستند، توجه داشته باشید که از WEP استفاده ننمایید و همه ی آدرس های MAC را قفل نمایید و
کلیه ی قطعات متصل را محدود نمایید.
بازنگری نیازمندیهای منظم با توجه به اختفا و حفظ رکوردها توسعه ی طراحی شبکه ی مناسب اگر امکان دارد با
قرار دادن هر یک از سیستم های صوتی و داده های روی شبکه های جداگانه، این دو سیستم را از
یکدیگر جدا سازید.
زیر شبکه های متفاوت با جداسازی قالبهای آدرس RFC 1918 برای آمد و شد داده و صدا و با جداسازی
سرورهای DHCP برای هر یک از سیستمها آشکارسازی شنودها و حفاظت فایروال VoIP تسهیل می گردد.
در درگاه صدا، که با PSTN ارتباط دارند، SIP, H323، یا پروتکلهای VoIP دیگر برای داده های شبکه مسدود نمایید
از تاییدیه ی قوی استفاده نمایید و به کنترل روی سیستم درگاه صدا دسترسی داشته باشید، همانطور که به دیگر
مؤلفه های شبکه ی بحرانی دسترسی دارید.
تاییدیه ی قوی کاربران به سوی یک درگاه اغلب دشواری هایی را به همراه دارد، خصوصاً در مدیریت کلید.
اینجا، دسترسی به مکانیسم کنترل و اجرا خط مشی ممکن است کمک خوبی محسوب شود.
مکانیسمی برای اجازه ی عبور و مرور VoIP از میان فایروال ضروری به نظر می رسد.
راه حلهای وابسته و مستقل به پروتکل های گوناگون وجود دارد، از این دست از پروتکلها، در صورت تکمیل، می
توان به درگاه هایی از درجه ی کاربردی Application Level Gateway) (ALG)) برای پروتکل های VoIP، کنترل کننده های حاشیه
ی نشستها (Session Border Controller)، یا راه حل های استاندارد محور دیگر، اشاره نمود.
فیلتر نمودن بسته ها با حالت های گوناگون میتواند ردی از حالت ارتباطات، بسته هایی که پذیرفته نشده اند و
به عنوان بخشی از تماس اصلی محسوب نمی شوند را در اختیار گذارد.
(ممکن است این موضوع عملی نباشد هنگامیکه امنیت ذاتی پروتکل مولتی مدیا یا امنیت لایه ی پایینتر بکار برده شود،
برای نمونه H.235 Annex D برای تأمین صحت و درستی یا TLS برای حفاظت از ارسال علامت SID).
برای همه ی مدیریتهای از راه دور و دسترسی به بررسی موقعیت سیستم از IP sec یا SSH) Secure Shell)
استفاده نمایید.
اگر مقدور است، از مدیریت از راه دور بطور کل چشم پوشی نمایید و دستیابی IP PBX از سیستم امنیتی
فیزیکی را مد نظر قرار دهید.
اگر کارایی برای شما اهمیت دارد، در مسیریاب و درگاه های دیگر از رمزگذاری استفاده کنید، البته نه در دو
سوی انتهای مسیر، به اینصورت می توانید تونل IP sec ایجاد نمایید.
چون بعضی از نقاط انتهای VoIP از نظر محساباتی به اندازه ی کافی توانمند نیستند تا رمزگذاری را تکمیل نمایند،
این امر در نقطه ی مرکزی انجام می پذیرد تا اطمینان حاصل شود آمد و شد VoIP ناشی از شبکه
ی سازمان یافته، رمزگذاری گردیده اند.
تلفن های آیپی جدیدتر قادرند سیستم رمزگذاری پیشرفته (Advanced Encryption System (AES) ) با هزینه های معقولی را فراهم کنند.
توجه کنید که استاندارد پردازش اطلاعات فدرال ۱۴۰-۲ (Federal Information Processing Standard (FIPS)، نیازمندیهای امنیتی برای مدلهای رمزگشایی و رمزدار
کردن، قابل بکارگیری به همه ی آژانسهای فدرال می باشد که از سیستم های امنیتی رمزدار محور برای محافظت از
اطلاعات حساس در کامپیوتر و سیستم های ارتباطات از راه دور (شامل سیستم های صدا) بصورت بخشی تعریف شده در
بخش ۵۱۳۱ اصلاحیه ی مدیریت فناوری اطلاعات ۱۹۹۶، قانون عمومی ۰۶-۱۰۴، استفاده می کنند.
خطرپذیری در حوزه ی گسترش VoIP را آزمایش نمایید بسیار مهم است که شما گسترش VoIP خود را چک نمایید
تا مطمئن شوید که سازمان بطور قابل قبولی قادر به مدیریت و کاهش خطرهای مربوط به اطلاعات، عملیات سیستم، و
پیوستگی عملیات ضروری هنگام گسترش سیستم های VoIP می باشد.
یک محیط امنیتی چالش انگیز ویژه هنگامیکه فناوری های نوین گسترش می یابند، خلق می شود.
خطرها اغلب بطور کامل درک نمی شوند، مدیریتها هنوز تجربه ی کافی در زمینه ی فن آوری جدید به دست
نیاورده است، و کنترل های امنیتی و خط مشی ها باید به روزرسانی شوند.
بنابراین، سازمانها باید به دقت موضوعاتی از قبیل سطح دانش منابع انسانی خود و همچنین آموزش آنها را مد نظر
داشته باشند.
کمال و کیفیت تمرینهای امنیتی، کنترلها، خط مشی ها، طراحیها، و درک خطرپذیری های ما بسته به این فن آوریها
همه باید همواره تحت نظر مدیریت سازمان باشد.
VoIP می تواند خدمات قابل انعطاف بیشتری را با هزینه ی کمتر ارائه دهد، اما باید همواره سبک و سنگین
کرد و همه ی جوانب را در نظر داشت.
شما می توانید انتظار داشته باشید سیستم های VoIP نسبت به سیستم های تلفن رایج آسیب پذیر تر باشند،خصوصاً اینکه
آنها به شبکه ی داده ها گره خورده اند، در نتیجه علاوه بر ضعف امنیتی آنها در معرض تهاجم نیز
قرار دارند.
قابلیت اطمینان و پنهان سازی در سیستم های VoIP در معرض خطر می باشد مگر آنکه از کنترلهای قوی استفاده
گردد.
نگرانی دیگر این است که ناپایداری فن آوری VoIP نسبت سیستم های تلفن فعلی می باشند.
امروزه، سیستم های VoIP هنوز در حال تکمیل هستند، و استانداردهای پذیرفته شده هنوز یکپارچه نشده اند به عبارت بهتر
هنوز یک سیستم استاندارد جامع برای این فناوری تهیه و تنظیم نشده است.
این ناپایداری ناشی از استناد VoIP به شبکه های پکت، به عنوان محیط انتقال داده می باشد (یادداشت مترجم: شبکه
های پکت عبارتند از شبکه هایی گسترده برای ارسال داده، که در این روش ارسال داده ها به صورت بسته
های کوچک ارسال می گردند ولی در مرحله ی دریافت بسته ها در جای مناسب خود قرار می گیرند).
شبکه ی تلفنهای سوئیچ شده عمومی فوق العاده قابل اطمینان هستند.
خدمات اینترنت از قابلیت اطمینان کمتری برخوردارند، و VoIP نمی تواند بدون اتصال به اینترنت انجام وظیفه نماید، به جز
در مواردی که یک اتحاد بزرگ صورت می گیرد و یا چند کاربر بطور خصوصی تشکیل یک شبکه را می
دهند.
خدمات تلفنهای ضروری اگر بر اساس VoIP هستند در معرض خطر بزرگتری قرار دارند مگر آنکه به دقت طرح ریزی،
گسترش و پشتیبانی شوند.
منبع:ماهنامه ی کامپیوتری بزرگراه رایانه
2011-06-24 / گردآوری:
گزارش خطا در خبر
نظر خود را بنویسید - نظرات کاربران (۰)
فیلم پرشین وی
برای رشد کسب و کار خود، فالوور بخرید !! برای رشد کسب و کار خود، فالوور بخرید !!
خرید فالوور اینستاگرام، بهترین روش برای افزایش فالوور ارزان
سوژه های روز رو این جا ببینید !
فال روزانه
تعبیر خواب
با دنیای بی نظیر و پر از خلاقیت گوشی های موبایل همراه شوید
گوشی دست دوم بخریم یانه؟ (نکات مهم خرید گوشی دست دوم)
کمی در رابطه با تاریخچه و اطلاعات گوگل کروم بخوانیم
کیفیت و وضوح بالای تلویزیون ۵۵ اینچ سونی به همراه قیمت
تجربه فروش بیشتر با طراحی سایت فروشگاهی
اندروید ۱۰ جدیدترین سیستم عامل گوشی های هوشمند را بیشتر بشناسید
دوربین آیفون ۱۱ را بیشتر بشناسیم
سونی اکسپریا ۵ پرچم دار کوچک سونی
نحوه فهمیدن آنفالو شدن در اینستاگرام توسط سایر کاربران
آیپد پروی جدید و ویژگی های منحصربفردش
آیفون ۱۱ چه چیزهایی برای موفقیت لازم دارد؟
حذف شدن کیبورد گوشی ها با هوش مصنوعی
تعداد لایک در اینستاگرام نمایش داده شود یا نه؟
راه‌ رفتن معلولین با آسانی با شورت ورزشی رباتیک
اسم آیفون آیا از گوشی های اپل حذف خواهد شد؟
بازی‌های رایگان iOS مخصوص فصل تابستان
logo-samandehi