ملاحظات ویژه برای خدمات ۹۱۱

مشاهده : 155
ملاحظات ویژه برای خدمات ۹۱۱ کامپیوتر و موبایل
ملاحظات ویژه ای باید برای ارتباطات مربوط به خدمات E-911 درنظر گرفته شود، زیرا خدمات مکانیابی خودکار با سیستم VoIP در بعضی از حالتها قابل حصول نمی باشد.برخلاف اتصالات تلفنهای رایج که به یک مکان فیزیکی متصل می شوند، فناوری سوئیچ شده ی بسته های VoIP به یک شماره تلفن خاص این امکان را می […]
ملاحظات ویژه ای باید برای ارتباطات مربوط به خدمات E-911 درنظر گرفته شود، زیرا خدمات مکانیابی خودکار با سیستم VoIP
در بعضی از حالتها قابل حصول نمی باشد.
برخلاف اتصالات تلفنهای رایج که به یک مکان فیزیکی متصل می شوند، فناوری سوئیچ شده ی بسته های VoIP به
یک شماره تلفن خاص این امکان را می دهند که در هر کجا وجود داشته باشد، بعبارت بهتر با سیستم
تلفن فعلی هر گاه شما با تلفن منزل خویش تماس با یکی از دوستان خود برقرار می کنید بلافاصله مکان
شما مشخص می شود، زیرا این شماره تلفن فقط به یک مکان خاص اختصاص دارد و آن منزل شما است
ولی در سیستم VoIP موضوع فرق می کند شما از هر کجا قادرید با شماره تلفن خود تماس برقرار کنید.
این ویژگی برای کاربر بسیار مناسب است، زیرا تماسها بطور خودکار به سوی مکانی که کاربر قرار دارد هدایت می
شود، اما سبک و سنگین کردن این موضوع که آیا این سیستم های بسیار پیچیده برای خدمات E-911 مفید هستند
قدری دشوار به نظر می رسد، زیرا باید مکان تماس گیرنده برای این خدمات مشخص گردد.
اگرچه بیشتر فروشندگان VoIP راهکارهای اجرایی را برای خدمات E-911 ارائه می دهند، اما مسئولین سازمانها و فروشندگان این سیستم
ها خارج از استاندارد های تولیدکنندگان خدمات ۹۱۱ در محیط VoIP، فعالیت می کنند.
سازمانها باید با دقت موضوعات مربوط به خدمات E-911 را در مقاصد خود برای گسترش VoIP در نظر گیرند.
امنیت فیزیکی برای سیستم VoIP سازمانها باید آگاه باشند که کنترل های فیزیکی در محیط های VoIP و گسترش آنها
بسیار حائز اهمیت هستند.
مگر آنکه شبکه ی VoIP رمزگذاری شود، هر کس با دسترسی فیزیکی به شبکه ی LAN دفتر شما قادر خواهد
بود به ابزار مربوط به کنترل شبکه و دامهای خطوطی تلفن دسترسی یابد و مکالمات را شنود نماید.
اگرچه خطوط تلفنهای رایج در صورت دسترسی فیزیکی قابل شنود هستند، ولی باید اذعان داشت که بیشتر دفاتر با محیط
VoIP دارای نقاط بیشتری برای دسترسی مهاجمین می باشند تا آنها بتوانند بی هیچ سوظنی به شبکه ی LAN این
دفاتر متصل شوند.
حتی اگر شما شبکه را رمزگذاری نمایید، دسترسی فیزیکی به درگاه ها و سرورهای VoIP ممکن است به مهاجم این
امکان را بدهد تا تحلیلی از آمد و شد اطلاعات و مکالمات داشته باشد و بخشهایی را که مربوط به
ارتباطات می شوند را شناسایی نماید.
بنابراین، شما بهتر است مطمئن شوید که امنیت لازم برای عدم دسترسی فیزیکی به مکان مولفه های شبکه ی VoIP
برقرار است.
اندازه گیریهای امنیت فیزیکی که شامل موانع و سده، قفلها، دسترسی به سیستم های کنترل، و محافظ ها می شوند
خط مقدم دفاعی برای سیستم های VoIP محسوب می شوند.
سازمانها باید اطمینان حاصل کنند که این اقدامات متقابل فیزیکی خطرات بزرگی چون اعمال ردیابها یا دیگر تجهیزات کنترل شبکه
را کاهش می دهند.
در غیر اینصورت، با نصب یک ردیاب نه تنها بخش عمده ای از اطلاعات شما در دسترس مهاجمین خواهد بود
بلکه مکالمات شما نیز به راحتی شنود خواهند شد.
هزینه های سیستم های پشتیبان اضافی هزینه های مربوط به سیستم های پشتیبان برای توان اضافی، جهت حصول اطمینان از
برقراری سیستم هنگام قطع توان اصلی را ارزیابی نمایید.
اطمینان داشتن از اینکه شما توان کافی در اختیار دارید یک نوع اطمینان خاطر حین انجام عملیات در این سیستم
ها می باشد، همانگونه که وقتی با لپ تاپ خود کار می کنید و مطمئن هستید که شارژ لپ تاپ
شما پر است دیگر هیچگونه نگرانی بابت قطع برق نخواهید داشت.
هزینه های مربوط به این سیستم های پشتیبان ممکن است شامل توان الکتریکی ذخیره شده در باتریهای UPS، هزینه های
مربوط به تعمیر و نگهداری دوره ای سیستم های تولید توان ذخیره، و هزینه های مربوط به جایگزینی باتریهای UPS
باشند.
اگر توان ذخیره/ اضطراری برای بیش از چندین ساعت مورد نیاز باشد، در آنصورت ژانرهای الکتریکی مورد نیاز که به
هزینه های فوق باید هزینه ی سوخت این ژنراتورها، تاسیسات مربوط به ذخیره سازی سوخت، هزینه های مربوط به معدوم
نمودن سوخت باقی مانده هنگامی که دیگر نیازی به آن نیست.
فایروال های آماده ی VoIP و ویژگی های امنیتی VoIP فایروال های آماده ی VoIP و دیگر مکانیسم های حفاظتی
باید گسترش یابند.
سازمانها باید قادر باشند ویژگی های حفاظتی سیستم های VoIP خود را استفاده و بطور منظم آزمایش نمایند.
به خاطر وجود نقاط ضعف ذاتی (نظیر گذردهی بسته های ردیاب) که هنگام انجام عملیات تلفنی از طریق یک شبکه
ی پکت، سیستم های VoIP باید یک آرایش متحد و یکپارچه از پروتکلها و ویژگیهای امنیتی پدید آورد.
خط مشی امنیتی سازمان باید ایجاب کند که این ویژگی ها مورد استفاده ی کاربران قرار می گیرد.
اقدامات اضافی، که در این مقاله درباره ی آنها صحبت به میان آمد نیز باید به سیستم های امنیتی افزوده
شوند.
بطور خاص، فایروال هایی که برای پروتکلهای VoIP طراحی شده اند یک مولفه ی ضروری برای یک سیستم VoIP امنیتی
می باشند.
محدودیت سیستم های تلفن نرم افزاری در صورت امکان، سیستم های تلفن نرم افزاری، که با استفاده از یک کامپیوتر
شخصی، یک گوشی و میکروفون و یک نرم افزار ویژه نظیر SKYPE از سیستم VoIP بهره می گیرند، باید در
جاهایی که از نقطه نظر امنیتی، دارای ایمنی کمی هستند بکار گرفته نشوند، زیرا ویروسها، کرمها، و نرم افزارهای مخرب
همواره آماده ی حمله به کامپیوترهای شخصی هستند که به اینترنت متصل می شوند، و همانطور که می دانید دفاع
در برابر این عاملین مزاحم برای کامپیوترهای شخصی تا چه حد دشوار است.
نقاط ضعف مرورگرهای وب که به خوبی شناخته شده اند باعث می شود تا مهاجمین به راحتی بدون اینکه کاربر
متوجه شود نرم افزارهای مخرب را بر روی سیستم وی دانلود نمایند، حتی اگر کاربر کار خاصی انجام ندهد و
صرفاً از وبسایت ها دیدن کند.
نرم افزارهای مخرب پیوست شده به پیام های ایمیل می توانند بدون آنکه کاربر متوجه شود بر روی سیستم آنها
نصب شوند، در برخی حالتها حتی اگر کاربر فایلهای پیوستی را نگشاید، باز هم این نرم افزارها قادرند روی سیستم
شما نصب گردند.
این نقاط ضعف ناشی از این خطرات سبب می شوند تا استفاده از تلفنهای نرم افزاری برای ایجاد سایتهای VoIP
مورد توجه قرار نگیرند.
علاوه بر این، چون کامپیوترهای شخصی روی شبکه ی داده ها فعالیت دارند، یک سیستم تلفن نرم افزاری با نیاز
جهت جداسازی شبکه های داده و صدا برای ایجاد بیشترین فضای عملیاتی در تعارض است.
حفاظت سیستم های همراه روی سیستم VoIP اگر واحدهای همراه با سیستم VoIP مجتمع شوند، از محصولاتی استفاده کنید که
از (WPA (WiFi Protected Access)) به جای (WEP 802.11 (Wired Equivalent Privacy)) بهره می گیرند.
ویژگی های امنیتی WEP 802.11 حفاظت ضعیفی را در برابر حملات از خود نشان می دهند و گاهی در برابر
حملات شاهد عکس العملی نخواهید بود زیرا WEP به کمک نرم افزارهایی که در دسترس عموم قرار دارند به راحتی
شکسته می شود.
WPA (WiFi Protected Access) اخیر که یک تصویر لحظه ای از استاندارد ۸۰۲٫۱۱i می باشد، بهبود وضعیت گسترده ای در
بخش امنیت را عرضه می دارد، و می تواند کمک خوب برای یکپارچگی فناوری بی سیم با سیستم های VoIP
باشد.
NIST قویاً پیشنهاد می کند که ویژگی های امنیتی WPA (یا WEP در صورتیکه WPA در دسترس نباشد) بصورت بخشی
از یک استراتژی دفاعی عمقی کل بکار برده شود.
علیرغم ضعف هایشان، مکانیسم های امنیتی ۸۰۲٫۱۱ تا حدی امنیت سیستم را در برابر دسترسی های غیرمجاز و مخرب و
یا دیگر فعالیت های کاوشی برقرار سازند.
اما، اتحادیه ی استاندارده پردازش اطلاعات (FIPS) 140-2 ، نیازمندیهای امنیتی درخصوص حدود و میزان رمز گذاری، برای آژانسهای متحد
که مشخص نموده اند اطلاعات باید بوسیله ی ابزار رمزنگار محافظت گردند، اجباری است.
با بررسی های انجام شده مشخص گردیده که نه WEP و نه WPA دارای استانداردهای FIPS 140-2 نمی باشند.
در این حالتها، ضروری به نظر می رسد که کاربردها و پروتکلهایی که از مرتبه ی بالاتر رمزنگاری گردیده اند،
بکار برده شوند، نظیر (SSH (Secure Shell))، ((TLS (Transport Level Security )) ، یا (IPsec (Internet Protocol Security)) با حدود
رمزگذاری معتبر FIPS 140-2 و الگوریتمهای مربوطه جهت حفاظت اطلاعات، بدون در نظر گرفتن این موضوع که آیا پروتکل های
امنیتی مرتبط با داده های نامعتبر مورد استفاده قرار می گیرند یا خیر.
ایجاد رضایت با قانون حفظ ثبت/ اختفا نیازمندیهای قانونی را به دقت و با رعایت حفظ حق ثبت و کمک
یک مشاور قانونی، بازنگری نمایید.
اگر چه موضوعات قانونی مربوط به VoIP در فراسوی بحث ما قرار دارد ولی خوانندگان این مطلب باید آگاه باشند
که قوانین و موازین حاکم بر این سیستم ها حاکم است که کنترل و ردیابی خطوط VoIP را بررسی می
نمایند و هر گونه تماس را ثبت می نمایند، البته شاید اساس کار در این سیستم ها کمی با سیستم
های تلفن رایج متفاوت باشد.
سازمانها باید این موارد را با یک مشاور قانونی و ماهر در میان بگذارند.
میزان نقاط ضعف VoIP هرکس این موضوع را می داند که VoIP پیشرفت و رشد بسیار سریعی را تجربه کرده
است.
ممکن است باعث تعجب شما شود اگر بدانید بیش از ۳۰ درصد آمد و شدهای صوتی با فناوری VoIP (IDC)
انتقال می یابد.
توسعه ی بیشتر این فن آوری چالش های جدیدی را نیز به همراه دارد که یکی از آن موارد امنیت
شبکه ی شما می باشد.
چون شبکه های آی پی در معرض حمله های خودکار و پیچیده قرار دارند، در نتیجه آمد و شد صدا
روی این شبکه ها بسیار آسیب پذیر خواهد بود، این جملات بخشی از گفته های دیوید فریلی (David Fraley)، نویسنده
ی جنگ های اینترنتی میباشد، وی همچنین اظهار داشته است که: VoIP و همگرایی آسیب پذیری را افزایش می دهند.
در واقع، مرکز هماهنگ سازی زیرساختار ملی انگلستان (NICC: (National Infrastructure Coordination Center)) یافته های خود را منتشر ساخته که
در آنها ذکر شده تجهیزات بسیاری از فروشندگان که استاندارد پروتکل H.323 را برای تلفنهای آیپی بکار می برند شامل
خطاها و نقص هایی است که مهاجمین به راحتی می توانند آنها را شناسایی نمایند.
(برای آگاهی از جزئیات بیشتر می توانید به سایت زیر مراجعه فرمایید: www.uniras.gov.uk/2004/006489/h323.htm بر اساس آزمایش های انجام گرفته بوسیله
ی NICC، این نقاط ضعف می توانند محصولاتی که با این سیستم ها سر و کار دارند را با خطرهای
زیر مواجه سازند: حمله های خارج نمودن از سیستم (Denial-of-Service:DoS) حمله هایی که باعث پر و سر ریز شدن حافظه
می شوند اعمال کدهای مخرب به تجهیزاتی که توسط مهاجم کشف شده اند بر اساس CA-2004-01 شماره مشورتی CERT (به
سایت: http://www.cert.org/advisories/ca-2004-10.html مراجعه فرمایید)، شرکت هایی که با این آسیب پذیریها و نقاط ضعف هنوز دست در گریبان هستند عبارتند
از: Cisco Stonesoft CheckPoint WatchGaurd 3COM NetScreen AT&T Nokia D-Link Microsoft Extreme Nortel Foundry Avaya Fujitsu Alcatel Hitachi F5 Intel
Secure Computing Juniper Cybergaurd NEC Symantec به عنوان نمونه، Cisco به تنهایی تعداد زیادی محصول به بازار عرضه نموده است
که دارای نقاط ضعف و آسیب پذیر در پردازش پیامهای H.323 می باشند.
همه ی محصولات Cisco که نرم افزار Cisco IOS را اجرا می نمایند و پردازش بسته های H.323 را پشتیبانی
می نمایند.
http://www.cisco.com/warp/public/707/cisco-sa-20040113-h323.shtml#process) عبارتند از: IOS Firewall IOS Network Address Transition Call Manager Conference Connection 7905 IP Phone BTS 10200 Softswitch Internet
Service Node H.323 Gateway,H.323 Gatekeeper ATA 18x Series Analog Telephony در برخی حالتها، Cisco تصمیمی مبنی بر اصلاح نقاط آسیب
پذیر که تاکنون در محصولات این شرکت شناسایی شده اند، ندارد.
برای یاری رساندن به شما در ارتباط با سرشت آسیب پذیر ذاتی VoIP، باید این نکته را یادآور شویم که
تعداد تهاجم های موجود که در برابر یک VoIP صف آرایی کرده اند به مراتب بیشتر از تهاجمات مربوط به
یک شبکه ی استاندارد می باشد.
در بخش بعدی برخی از این تهاجمات را فهرستوار بیان می کنیم.
حمله های VoIP همیشه در نظر داشته باشید که انواع تهاجمات به سیستم VoIP شما که CVE ها می توانند
آسیب پذیر سازند شامل موارد زیر می باشند: شخص سومی در میانه ی خط ارتباطی (شنود و دگرگونی اطلاعات ارسالی)
خارج نمودن از سرویس (DoS) کشف درگاهها کشف نقاط انتهایی – جعل هویت موضوعات امنیتی و QoS کیفیت خدمات (Quality
of Service :QoS) به سرعت و شفافیتی که شما از مکالمات VoIP انتظار دارید، اشاره دارد.
حمله های QoS به نسبت دیگر حمله ها به راحتی می تواند راه خود را بگشاید و از سیستم های
دفاعی عبور کند، بدون آنکه یک هکر نیاز داشته باشد به نقاط انتهایی شبکه دسترسی یابد – دیگر نیازی نیست
هکر تمام شبکه را از کار بیاندازد، هکر فقط می تواند سرعت آمد و شد مکالمات در شبکه را پایین
آورد.
ایستادگی در برابر حمله های QoS کاری بس دشوار است: با بکارگیری اقدامات امنیتی مناسب نظیر فایروالها و رمزنگاری باز
هم VoIP شما نسبت به تأخیر و خطا در ارسال ضعف دارد.
تأخیر زمانی (Latency) تأخیر زمانی، به مدت زمانی بین ادای کلمه توسط گوینده و دریافت صدا در دیگر سوی خط
توسط شنونده، گفته می شود.
در بیشتر حالتها تأخیر زمانی بیشتر از ۱۵۰ میلی ثانیه قابل قبول نمی باشد.
خطا در ارسال (Jitter) خطا در ارسال، یک سری از تأخیرهای غیر یکنواخت پیش آمده در ارسال صدا می باشد.
این تأخیر پیش آمده به حافظه در انتهای خط و میزان ذخیره سازی عملیات ارسال و دریافت صدا بستگی دارد.
افزایش میزان اخلال در ارسال و دریافت باعث می شود مکالمه به سختی انجام پذیرد زیرا امکان از بین رفتن
بسته های حامل صوت وجود دارد و گاهی این بسته ها با تاخیر فراوان به شنونده می رسند.
از دست دادن بسته ها VoIP به شدت به از دست دادن بسته های حامل صوت حساس است.
از دست دادن حتی ۱% از کل بسته ها می تواند ارتباط را بطور کل مختل نماید.
تأخیر و اخلال در ارسال و دریافت بسته ها می تواند باعث ایجاد از دست دادن بسته های مجازی گردد
(Virtual Packet Loss)، بعبارت دیگر بسته های صوتی بعد فرجه ی زمانی در نظر گرفته شده برای آنها به مقصد
می رسند، در این حالت با اینکه بسته به مقصد رسیده است ولی اطلاعات حاوی این بسته دیگر به کار
گیرنده ی آن نمی آید، پس عملاً این بسته را می توان بعنوان یک بسته ی سوخته و به درد
نخور در نظر گرفت.
فایروال ها، مسیریاب های NAT، و رمزنگاری Old Stand-BY به آن اندازه که مورد استفاده بودند قابل اطمینان نمی باشند:
فایروال ها، مسیریاب های NAT (Network Address Translation) ، رمزنگاری فقدان موارد زیر را احساس می نمایند: نمی توانند در
یک شبکه ی VoIP بدون در نظر گرفتن تمیدات خاص استفاده شوند – مولفه های استاندارد برای الگوی آمد و
شد بسته های کوچک/ با سرعت بالا VoIP کاهش کیفیت سرویس به دلیل اخلال و تاخیر در ارسال و دریافت،
و از دست دادن بسته های صوتی آنها با ممانعت از برقراری تماس ورودی از فرآیند ایجاد تماسها جلوگیری می
کنند.
فایروال ها فایروال ها با فیلتر نمودن آمد و شدهای مخرب بر اساس یک سری از قوانین برای حفاظت از
شبکه ها از حمله های خارجی، به شدت موردنیاز هستند.
آنها همچنین از سدهای بین شبکه های صدا و داده ها حفاظت می نمایند.
فایروال ها و QoS بررسی های آمد و شدها توسط فایروال خود سبب ایجاد تاخیر در ورود و خروج بسته
ها به سیستم می شود و ترافیک سنگین داده ها می تواند سبب بروز اخلال در ارسال شود، که این
امر سبب کاهش SoQ می گردد.
برای حل این معضل، فایروال ها را با CPU های پرسرعت استفاده نمایید تا آهنگ ارسال و دریافت داده ها
بیشتر گردد.
از فایروال های سازگار با SoQ در سیستم های خود بهره جویید.
IPsec در IPsec, ESP Tunnel Mode هم از داده ها حفاظت می نماید و هم از مشخصات نقاط انتهایی.
IPsec یک رشته ی رمزنگاری استاندارد برای پروتکل اینترنت است و بطور کامل در IPv6 پشتیبانی می گردد.
IPsec دارای مشکلاتی نیز می باشد که آنها را بطور فهرست وار بیان می کنیم: رمزنگاری می تواند برای حفاظت
داده های صوتی بکار گرفته شود و از مسایل مربوط به فایروال ها دوری جوید رمزنگاری خود باعث تأخیر زمانی
و اخلال می گردد رمزنگاری و رمزگشایی خود باعث اتلاف وقت می شوند نرم افزارهایی که وظیفه ی سازمان دهی
موتورهای رمزنگار با QoS در تعارض می باشند راه حل هایی که برای این مشکلات می توان عنوان کرد بدین
صورت است که طرح های فشرده از بسته ها که بطور عملی کارآیی را افزایش داده اند.
برنامه ریزی سازگار با SoQ قبل و بعد از رمز نگاری بطرز شگفت آوری سیستم را افزایش می دهد.
برگردان آدرس شبکه (NAT) برگردان آدرس شبکه (NAT) به این منظور استفاده می گردد که به پایانه های چندگانه اجازه
دهد تا یک آدرس آی پی را بطور مشارکتی استفاده نمایند.
این امر سبب می شود اقدامات امنیتی در مسیریاب NAT تقویت گردند و اطلاعات ساختار شبکه ی داخلی مخفی باقی
بماند.
مشکلی که در خصوص NAT و فایروال ها وجود دارد این است که هر دو تماس های ورودی را مسدود
می کنند.
برای فرار از این مشکل شما می توانید یکی از دو روش زیر را بکار برید: در گاه سطح کاربرد
(Application Level Gateway) پروکسی کنترل فایروال قطع برقراری تماس VoIP دو پروتکل متناقض برای برقراری تماس های VoIP عبارتند از
H.323 و SID.
پروتکل H.323 متشکل از چندین پروتکل ویژه است.
آن از درگاه های پویا و رمزنگاری دو دوئی استفاده می نماید.
SID یک پروتکل ساده تراست که روی یک درگاه اجرا می شود که نحوه ی کارکرد آن بصورت علامت دادن
سه مرحله ای است (Three Way Handshake).
این پروتکل فقط از یک درگاه استفاده می نماید و متون را رمزنگاری می نماید.
فایروال ها می توانند درگاه هایی که در برقراری تماس دخیل هستند را مسدود نمایند و NAT می تواند درگاه
ها/ آدرس آیپی که بصورت داخلی مورد استفاده است را تغییر دهد.
در نتیجه هر دوی آنها می توانند مانع از برقراری تماس شوند.
برای جلوگیری از چنین مشکلاتی، یک ALG یا FCP را در طراحی خود بکار برید که بتوان برقراری ارتباط توسط
داده هایی که به صورت بسته های کوچک یا همان Packet data هستند را کنترل نمود.
اکنون شما جه کاری باید انجام دهید؟ کاری که شما باید انجام دهید حفاظت سیستم VoIP خود می باشد که
موارد ذیل را شامل می شود: گسترش ابزار شبکه حفاظت داده های صوتی مقابله در برابر ربایندگان مشخصات گسترش ابزار
شبکه شما باید LAN های مجازی ایی را به منظور تفکیک آمد و شد داده ها و صوت در فضای
آدرس قابل تشخیص و مجزا ایجاد نمایید (شبکه های یگانه ی فیزیکی مورد نظر نمی باشند).
این اقدامات پیشگیرانه هم باعث کاهش خطر ردیابی داده ها در سیستم VoIP می شود و هم IDS شما را
برای داده ها و صوت بطور مجزا تنظیم می کند.
از آرایش ها و طراحی های فایروال ها برای عبور و مرور VoIP استفاده نمایید.
در درگاه صدا، که با PSTN مشترک است، ارتباط H.323، SIP، یا MGCP را با شبکه ی داده ها قطع
نمایید.
حفاظت داده های صوتی بهترین راه برای حفاظت از داده های صوتی زمانی که درون شبکه ی VoIP سیر می
کنند، هدایت این داده ها می باشد: در صورت امکان از تلفن های نرم افزاری که بر روی کامپیوتر شخصیتان
نصب شده استفاده ننمایید.
شبکه ی صدا و داده ها را از یکدیگر تفکیک کنید تا حد ممکن از کنترل دسترسی و رمزنگار استفاده
نمایید از IPsec و SSH برای همه ی مدیریت های راه دور استفاده نمایید و همه ی دسترسی ها به
شبکه ی خود را بازرسی نمایید درگاه ها و مسیریاب ها را رمزنگاری کنید، فقط به نقاط ابتدا و انتهای
شبکه اکتفا ننمایید دفاع در برابر ربایندگان مشخصات سیستم اولین دفاع در برابر ربایندگان مشخصات استفاده از سیستم معتبر و
قانونی و بکارگیری فایروال هایی است که برای سیستم های VoIP طراحی شده اند تا حمله ها را شناسایی و
مسدود نماید.
حداقل، همه ی ثباتها نیازمند تایید MD5 digest می باشند و برای آنها کلمه عبور مناسبی را اختیار کنید.
دقت کنید که کلمه های عبور نباید بطور خودکار انتخاب شوند (نظیر نام با یک پسوند و یا پیشوند، شاید
توجه کرده باشید هنگام ثبت نام کاربری برای ساخت ایمیل، گاهی نام کاربری که شما انتخاب کرده اید از سوی
سیستم رد می شود و نام دیگری توسط سیستم به شما پیشنهاد می شود که برگرفته شده از نام کاربری
است که شما ابتدا وارد نمودید به علاوه ی یک پسوند یا پیشوند).
این ترفندها به شما کمک می کند تا از حمله های Dictionary-Style در امان باشید (یادداشت مترجم: Dictionary-Style attack عبارت
است تکنیکی برای از کار انداختن مکانیسم تشخیص هویت بوسیله ی تلاشهای مکرر برای تعیین عبارت عبور و یا آشکارسازی
دکمه هایی که کلمه عبور با آنها تایپ می شود، در این روش مهاجم سعی می کند با استفاده از
واژه هایی که در اختیار دارد، کلمه عبور را پیدا کند).
ثباتها باید از پروتکل ها با سندیت بسیار قوی استفاده نمایند نظیر آنچه TLS فراهم کرده است.
(یادداشت مترجم: TLS عبارت است از Transport Layer Security لایه ای است برای رمزگزاری و ارائه ی خدمات معتبر که
می تواند هنگام فاز راه اندازی بیشتر پروتکل ها مانند: POP3, IMAP, LDAP, SMTP مورد بحث و بررسی قرار گیرد).
راه حل امنیتی مصوبه ی IETF (Internet Engineering Task Force) استفاده از ترکیب MD5 digest, TLS و کلمه های عبور
قوی می باشد.
تمام ثبت نام ها از شبکه ی خارجی تا حد امکان باید از کار انداخته شوند – یا حداقل به
مجموعه ی کوچکی از UAهای خارجی محدود شوند، اینکه چه کسانی نیاز قانونی به ثبت نام از شبکه ی خارجی
دارند.
Max-Forward Header Limits و دیگر تکنیک ها می توانند برای آشکار سازی حمله های خارجی مورد استفاده قرار گیرند، اما
این حدود زیاد متداول نیستند.
از میان موضوعات امنیتی مربوط به VoIP ربودن اطلاعات ثبت شده جدیدترین مورد می باشد.
مهاجمی که با موفقیت اطلاعات ثبت شده در سازمان شما ربوده، می تواند تماسها با سازمان یا از سازمان شما
را مسدود، ضبط، و یا دستکاری نماید.
این یک خطر بسیار جدی است که شما باید آنرا در نظر داشته باشید.
VoIP خود را در برابر تهاجمات مستحکم نمایید بازسازی مداوم نقاط ضعف معمول و نقاط باز (CVE) آزمایشی است که
نشان می دهد همه ی اطلاعات امنیتی مربوط به حرفه ی شما تا چه حد در شبکه ی VoIP حفاظت
می شوند.
ترمیم نقاط ضعف به شما کمک می نماید که همچنان در استفاده از قوانین مربوطه شامل، E-Sign, 21CFR FDA11, HIPPA,
GLBA و SOX-404 راسخ باشید.
مدیریت CVE کلیدی برای تحکیم VoIP و حذف کاستیها و نقصها از کامپیوتر و تجهیزات شبکه بندی شما است.
سه راه حل وجود دارد که با انجام آنها VoIP شما مستحکمتر خواهد شد: مدیریت پیکربندی مدیریت دریافت اصلاحیه های
مربوط به سیستم مدیریت نقاط ضعف CVE ها خصوصاً برای VoIP در حال گسترش هستند.
با استفاده از سیستم مدیریت آسیب پذیری خودکار این نقاط را شناسایی و ترمیم نمایید، به این روش شما می
توانید خطرپذیری سیستم VoIP خود را در برابر تهاجمات از طریق نقاط ضعف سیستم کاهش دهید.
اگر شما راهی را بیابید که کمک کند این فرآیند بطور خودکار اجرا شود، می توانید اطمینان حاصل کنید که
نقاط ضعف سیستم شما شناسایی و ترمیم می شوند.
اگر راهی که شما انتخاب نموده اید توسط MITRE مورد تایید نبود، قاعدتاً با CVEهای استاندارد سازگاری نخواهد داشت.
MITRE بوسیله ی دپارتمان امنیت کشور ایالات متحده و به منظور مدیریت استانداردهای صنعتی، پایه ریزی شد – پایگاه داده
ها در همه ی کامپیوترها و تجهیزات شبکه بندی در معرض خطر قرار دارند.
در اینترنت لوگوی MITRE را جستجو کنید.
اطلاعات مربوط به محصولات و خدمات را می توانید در سایت http://cve.mitre.org و http://nvd.nist.gov بیابید.
هر روز تعدادی CVE جدید به لیست موجود در سایت http://cve.mitre.org افزوده می شود.
صفحه ی اصلی این سایت حاوی اطلاعاتی است که به شما کمک می کند تا در برابر مهاجمان مقابله کنید
و خطرات مربوط به شبکه ی خود را کاهش دهید.
با دانستن این CVEها شما می توانید هر CVE را بر روی شبکه ی خود پیدا کنید و سپس می
توانید راهی برای مسدود کردن هر مسیر بازی که به مهاجمین اجازه ی نفوذ می دهد، بیابید.
محافظت در برابر سوء استفاده گران CVE چهار نکته ی کلیدی وجود دارد که با انجام آنها می توانید از
سیستم خود در برابر مهاجمینی که از CVEها استفاده می کنند محافظت نمایید: شناسایی آنچه به شما تعلق دارد بررسی
VoIP خود برای CVEها درها را در برابر بهره برداری از CVEها قفل نمایید CVEهای خود را پاک نمایید آنچه
به شما تعلق دارد را شناسایی نمایید آیا شما خط مشی و سیستم هایی را تعبیه کرده اید که همه
ی دارایی های شما روی شبکه را شناسایی نماید؟ شما باید خط مشی ای داشته باشید که نشان دهد آیا
شما اجازه می دهید لپ تاپ ها در درون و بیرون از دفتر شما به سیستم شما متصل شوند یا
خیر.
برای نمونه، شما ممکن است نیاز داشته باشید که همه ی لپ تاپ ها روی شبکه ی متعلق به شرکت
اجازه ی کار داشته باشند، به جای آنکه یک کامپیوتر شخصی از منزل به شبکه ی شما متصل شود.
آیا همه ی میزبانان به فایروال، آنتی ویروس، آنتی اسپایویر و فایل های اصلاحیه ی مربوط به شبکه و همچنین
فایلهایی که به روز رسانی شده اند، نیاز دارند؟ در خصوص مسیریابهای بی سیم و LANهای بی سیم ad hoc
وضعیت به چه گونه است؟ آیا شما درگاه ها را بررسی می نمایید تا مطلع شوید که تجهیزات بی سیم
جدید و یا حتی سرورها به شبکه ی شما متصل شده اند یا خیر؟ پاسخ های شما به این سوالات
برای حفاظت سیستم در برابر کسانی که از CVEها ضد شما استفاده می کنند، بسیار حیاتی است.
بررسی VoIP شما برای CVEها ابزاری مانند Google Security NAC wall بیابید، یا با استفاده از کلمات کلیدی مشابه شما
شرکتها محصولاتی در این زمینه خوهید یافت.
ارزیابی ای را بین محصولات تجاری و برنامه هایی که کدهای اصلی آن بطور رایگان در اختیار عموم قرار دارد
(به آن دسته از برنامه ها که کدهای اصلی آن بطور رایگان در اختیار کاربران قرار می گیرد Open Source
می گویند در اینجا ما به اختصار این برنامه ها را با نماد OS نشان می دهیم).
اگر شما فایروال خود را از سیستم های برنامه نویسی پیشرفته ساختید، به دنبال نرم افزارهای OS باشید، در غیر
اینصورت یک شرکت که بتوانید به آنها اطمینان کنید را انتخاب نمایید و از شبکه ی شرکت مذکور استفاده نمایید.
ضمناً اطمینان حاصل کنید ابزاری که در اختیار گرفته اید به هیچوجه به بخشهای آفلاین شما کاری ندارد و اینکه
مرتب سیستم را اسکن نمایند و گزارشی از CVEهای جدید در اختیار شما قرار دهند.
درها را در برابر بهره برداری از CVEها قفل نمایید فایروال شما بهترین ابزار پیشگیری از ورود مهاجمان است.
فهرست مربوط به فایروال را بازنگری کنید – به دنبال آمد و شدهای مشکوک باشید.
همچنین مطمئن شوید که واسطه ی VPN به درستی نصب شده باشد و بدانید چه کسی از آن استفاده می
نماید، آیا کاربری که وارد شبکه شده از یک مسیر حفاظت شده آمده است یا از طریق یک کامپیوتر نامطمئن
به شبکه پیوسته است.
با پیکربندی جدول قوانین خود در ارتباط با بهره برداری از CVE، شما می توانید یک قدم از هکرها جلوتر
باشید.
برای مثال، چرا شما آمد و شدها مربوط به درگاه هایی را که هیچگاه استفاده نمی کنید مسدود نمی نمایید
– درگاه ۴۴۵ مورد استفاده MSBlast و Sasser هستند.
آیا شما نیاز دارید که این درگاه در فایروال شما باز باشد؟ به کامپیوترهایی که CVE دارند نگاهی بیاندازید –
چه مدت طول می کشد تا CVEهای آنها مرتفع گردند و چه درگاه هایی باید باز بماند؟ جدول خود را
به روزرسانی نمایید.
به همه فایروال های اصلاحیه اعتماد نکنید.
سیستم VoIP خود را مجدداً برای CVEهای مشابه و جدید بازرسی نمایید و این فرآیند را هر روز تکرار کنید.
CVEهای VoIP خود را پاک نمایید آیا فروشندگانی که این سیستم ها را به شما عرضه کرده اند فایل های
اصلاحیه را نیز به شما پیشنهاد می کنند؟ آیا این اصلاحیه ها CVEهای موجود در سیستم شما را رفع کرد؟
اگر جواب مثبت است، باید گفت خیلی عالی است، و اگر جواب منفی است پس چرا دریافت اینگونه خدمات را
که خود به نوعی مامنی برای CVEها هستند را متوقف نمی سازید.
برخی از CVEها می توانند اصلاح شوند در حالیکه برخی دیگر نیازمند باز آرایی هوشمندانه هستند.
اطلاعات مربوط به نقاط ضعف سیستم را از روی سیستم هایی که از امنیت کمتری برخوردارند و احتمال حمله ی
مهاجمین به آنها وجود دارد پاک نمایید.
مانند مرحله ی قبل هر روز این مراحل را تکرار کنید.
اگر شما زمان کافی برای انجام این امور ندارید، یک منشی معتمد، مشاور و یا سرویس دهندگانی که بطور روزانه
این کار را برای شما انجام دهند.
پیدا کردن آنها زیاد سخت نیست، اکنون شما می دانید دنبال چه چیزی هستید و کجا باید آنرا جستجو کنید.
ایده ی خوبی است که مطمئن شوید بکارگیری منشی یا سیستم مدیریت نقاط ضعف نه فقط CVEها را آشکار می
کند بلکه سیستم هایی که دارای نقاط ضعف هستند را قرنطینه می سازند تا زمانی که ترمیم شوند، به اینصورت
سیستم VoIP شما از خطر شنود مصون خواهد ماند.
سپس این سیستم باید با ایجاد نوعی سیستم پشتیبان به ترمیم و بازسازی نقاط آسیب پذیر رساند.
پیشنهادهای CERT دانشگاه کارنگی ملون (Carngie Mellon University) به عنوان مرکز هماهنگی CERT فعالیت می کند، مرکز خبری بزرگ برای
مشکلات امنیتی اینترنت.
CERT بوسیله ی آژانس پروژه های تحقیقاتی پیشرفته ی دفاعی (DARPA :(Defense Advanced Research Projects Agency) ایجاد شد، این مرکز
پیشنهاد می کند: مختصات پاسخها به کشف مسائل امنیتی تشخیص تمایلات به فعالیت های جاسوسی و شنود همکاری با یک
کارشناس برای یافتن راه حلهای مسائل امنیتی انتشار اطلاعات به انجمنی که با شبکه فعالیت می کنند CERT/CC همچنین نقاط
ضعف محصولات را بررسی می نماید، اسناد فنی را منتشر می سازد، و یک سری دوره های آموزشی برگزار می
کند.
CERT همچنین توصیه هایی برای شرکت ها دارد تا به آنها یاری رساند شبکه ی تحت پوشش این شرکت ها
از شر مهاجمینی که سعی دارند با استفاده از نقاط ضعف آنها وارد سیستم شوند، در امان بمانند.
بخشی از این توصیه ها را به صورت خلاصه بیان می کنیم: دسترسی به خدمات H.323 که نیازی نیست در
معرض استفاده ی همگان قرار گیرند، را مسدود نمایید دسترسی محدود فقط به ماشین هایی که از H.323 برای اجرای
امور حیاتی، استفاده می کنند دسترسی محدود از هر نوع فقط به مکان هایی از شبکه که مورد نیاز است
درنظر داشته باشید که بازرسی لایه – کاربردی بسته های H.323 را بوسیله ی فایروال از کار بیاندازید ایجاد هماهنگی
مناسب بین تلفن ها، کاربردها، شبکه، و نرم افزارها جهت تشخیص و شناسایی هر گونه تهدید به هر بخش از
شبکه خلاصه امنیت VoIP نیازمند سازگار شدن اقدامات امنیتی شبکه ی رایج برای سرعت های بالا، و محیط های پویاتر.
منبع:ماهنامه ی کامپیوتری بزرگراه رایانه
2011-06-24 / گردآوری:
گزارش خطا در خبر
نظر خود را بنویسید - نظرات کاربران (۰)
فیلم پرشین وی
برای رشد کسب و کار خود، فالوور بخرید !! برای رشد کسب و کار خود، فالوور بخرید !!
خرید فالوور اینستاگرام، بهترین روش برای افزایش فالوور ارزان
سوژه های روز رو این جا ببینید !
فال روزانه
تعبیر خواب
با دنیای بی نظیر و پر از خلاقیت گوشی های موبایل همراه شوید
گوشی دست دوم بخریم یانه؟ (نکات مهم خرید گوشی دست دوم)
کمی در رابطه با تاریخچه و اطلاعات گوگل کروم بخوانیم
کیفیت و وضوح بالای تلویزیون ۵۵ اینچ سونی به همراه قیمت
تجربه فروش بیشتر با طراحی سایت فروشگاهی
اندروید ۱۰ جدیدترین سیستم عامل گوشی های هوشمند را بیشتر بشناسید
دوربین آیفون ۱۱ را بیشتر بشناسیم
سونی اکسپریا ۵ پرچم دار کوچک سونی
نحوه فهمیدن آنفالو شدن در اینستاگرام توسط سایر کاربران
آیپد پروی جدید و ویژگی های منحصربفردش
آیفون ۱۱ چه چیزهایی برای موفقیت لازم دارد؟
حذف شدن کیبورد گوشی ها با هوش مصنوعی
تعداد لایک در اینستاگرام نمایش داده شود یا نه؟
راه‌ رفتن معلولین با آسانی با شورت ورزشی رباتیک
اسم آیفون آیا از گوشی های اپل حذف خواهد شد؟
بازی‌های رایگان iOS مخصوص فصل تابستان
logo-samandehi