Bảo mật điện thoại IP. Điện thoại IP rất dễ bị lỗi. Giao tiếp với thế giới bên ngoài

Trong thế giới hiện đại, thông tin là một trong những nguồn tài nguyên quý giá nhất nên việc bảo vệ nó là một nhiệm vụ quan trọng. Cuộc trò chuyện qua điện thoại đóng một vai trò quan trọng trong công việc của một tổ chức ở mọi cấp độ. Do sự phổ biến ngày càng tăng của điện thoại IP, vấn đề đảm bảo an ninh nói chung và Tính bảo mật của cuộc trò chuyệnđặc biệt.

Biết được các nguồn nguy hiểm chính đối với mạng điện thoại IP, cũng như hiểu cách loại bỏ các mối đe dọa này, sẽ giúp bảo toàn danh tiếng và nguồn tài chính của công ty. Mặc dù thực tế là bài viết mô tả các giải pháp cho nền tảng Asterisk miễn phí nhưng vấn đề này vẫn có liên quan đến bất kỳ nền tảng điện thoại IP nào khác.

Các loại mối đe dọa chính đối với mạng VoIP:

• Chặn và thao tác dữ liệu

Lỗ hổng phổ biến nhất trong mạng điện thoại, đặc biệt nguy hiểm đối với điện thoại IP. Khi sử dụng điện thoại IP, kẻ tấn công không cần truy cập vật lý vào đường truyền dữ liệu. Có gì bên trong Mạng lưới công ty Thiết bị đánh chặn rất có thể bị phát hiện; việc nghe lén từ bên ngoài gần như không thể theo dõi được. Ngoài ra, dữ liệu hoặc giọng nói bị chặn có thể được truyền đi xa hơn khi có những thay đổi. Trong những trường hợp như vậy, toàn bộ luồng giọng nói không được mã hóa phải được coi là không an toàn.

• Thay thế và hack dữ liệu người dùng

Việc từ chối sử dụng hoặc đơn giản hóa các cơ chế xác thực và ủy quyền trong điện thoại IP sẽ mở ra khả năng cho kẻ tấn công truy cập trái phép vào hệ thống bằng cách thay thế dữ liệu người dùng bằng dữ liệu của chính chúng. Cũng có thể hack thông tin xác thực của người dùng thông qua vũ lực hoặc nghe lén các kênh liên lạc không bảo mật. Lỗ hổng như vậy có thể được sử dụng để thực hiện các cuộc gọi đắt tiền với chi phí của nạn nhân, phủ nhận tất cả lợi ích có thể có từ việc sử dụng điện thoại IP. Ngoài ra, lỗ hổng bảo mật này có thể được sử dụng để nhận các cuộc gọi có ý định bị tấn công hoặc ghi lại các cuộc gọi bị chặn trên phương tiện của kẻ tấn công nhằm sử dụng thông tin này cho lợi ích cá nhân.

• Giới hạn sẵn có

Một loại tấn công là Từ chối dịch vụ (DoS). Cuộc tấn công này nhằm mục đích vượt quá Tải cuối cùngđến hệ thống có số lượng lớn các cuộc gọi ngắn hoặc rác thông tin. Nếu không liên tục theo dõi các dấu hiệu của các cuộc tấn công như vậy và sử dụng các biện pháp bảo vệ thụ động, điều này dẫn đến thực tế là các máy chủ điện thoại IP không thể đối phó với tải tăng lên và không thể phục vụ các thuê bao được kết nối.

Bảo mật điện thoại IP – một cách tiếp cận tích hợp!

Khi thiết kế bất kỳ hệ thống thông tin liên lạc nào, điều quan trọng là phải hiểu rằng không có giải pháp bảo mật kỹ thuật độc lập nào có thể cung cấp được. bảo vệ tuyệt đối khỏi mọi mối đe dọa có thể xảy ra.

Sau khi phân tích các nguồn chính của mối đe dọa bảo mật điện thoại IP, chúng tôi có thể xác định các tiêu chí bảo mật chính:

• Bảo mật

Sự cần thiết phải đảm bảo bảo vệ lưu lượng điện thoại IP để ngăn chặn việc chặn hoặc nghe lén các cuộc gọi điện thoại, thay đổi thông tin được truyền và đánh cắp thông tin xác thực của người dùng.

• Chính trực

Đảm bảo rằng thông tin được truyền đi không bị giả mạo bởi người dùng trái phép, yêu cầu thực hiện một số nhiệm vụ hoặc chức năng nhất định ( ví dụ: thực hiện cuộc gọi hoặc thay đổi cài đặt hệ thống điện thoại IP) được khởi tạo bởi người dùng hoặc ứng dụng được ủy quyền.

• khả dụng

Vận hành không gặp sự cố hệ thống công tyĐiện thoại IP trong điều kiện bị tấn công DoS, nhiều “sâu”, “vi rút” khác nhau, v.v.

Làm thế nào để bảo vệ điện thoại IP?

Chúng ta hãy xem xét kém an toàn nhất, đồng thời, một trong những ví dụ phổ biến nhất về việc triển khai điện thoại IP.

Hình 1 - Triển khai điện thoại IP

Máy chủ điện thoại dựa trên IP-PBX Asterisk có quyền truy cập trực tiếp vào Internet để phục vụ các chi nhánh từ xa và liên lạc với nhà cung cấp SIP cung cấp quyền truy cập vào các đường truyền liên lạc bên ngoài. Xác thực người dùng xảy ra bằng địa chỉ IP.

Giải pháp cho các vấn đề bảo mật thông tin phải toàn diện, vì mỗi phương pháp bảo vệ không chỉ bao gồm một phần phạm vi thông tin mà còn bổ sung cho các giải pháp khác.

Thiết lập máy chủ điện thoại

Tuyến phòng thủ cuối cùng là chính máy chủ điện thoại IP. Có một số phương pháp cổ điển để bảo vệ máy chủ khỏi các cuộc tấn công.

Ứng dụng tường lửa

Tường lửa chuyển lưu lượng đi từ máy chủ điện thoại đến nhà cung cấp SIP và lọc lưu lượng đến theo các quy tắc nhất định. Một giải pháp hợp lý có thể được coi là đóng tất cả các cổng mạng dành cho điện thoại IP trên tường lửa, ngoại trừ những cổng cần thiết để vận hành và quản trị chính xác. Nên sử dụng cùng một phương pháp bảo vệ trên chính máy chủ điện thoại để bảo vệ nó khỏi các cuộc tấn công nội bộ.

Do đó, máy chủ điện thoại chỉ có thể truy cập được từ các mạng bên ngoài thông qua một số cổng dịch vụ nhất định, kết nối tới đó, vì lý do bảo mật, sẽ được thực hiện bằng mã hóa.

Mã hóa các cuộc trò chuyện qua điện thoại

Vì bảo vệ các cuộc đàm phán bí mật và giảm thiểu khả năng bí mật hoặc thông tin thương mại trong tay kẻ tấn công, cần phải bảo vệ thông tin được truyền đi kênh mở dữ liệu liên lạc từ việc chặn và nghe lén.

Vì để thực hiện cuộc gọi, trước tiên máy khách và máy chủ trao đổi dữ liệu dịch vụ để thiết lập kết nối, vấn đề này có thể được chia thành hai thành phần – bảo vệ dữ liệu dịch vụ điện thoại IP và bảo vệ lưu lượng thoại. Là một biện pháp bảo mật, giao thức TLS (Transport Layer Security) có thể được sử dụng để bảo vệ tín hiệu SIP và giao thức SRTP (Giao thức thời gian thực an toàn) để bảo vệ lưu lượng thoại.

Hình 2 - Mã hóa điện thoại IP

TLS là một giao thức mã hóa cung cấp khả năng truyền dữ liệu an toàn giữa các nút trên mạng và là phương pháp tiêu chuẩn để mã hóa giao thức SIP. TLS đảm bảo tính bảo mật và tính toàn vẹn của thông tin được truyền đi và cung cấp xác thực.

Sau khi thiết lập kết nối an toàn, quá trình truyền dữ liệu giọng nói sẽ bắt đầu, dữ liệu này có thể được bảo mật bằng giao thức SRTP.

Giao thức SRTP được coi là một trong những những cách tốt nhất Bảo vệ điện thoại IP dựa trên Asterisk IP-PBX. Ưu điểm chính của giao thức này là không có bất kỳ tác động nào đến chất lượng truyền thông. Cách hoạt động của giao thức SRTP trông như thế này: mỗi cuộc gọi bạn thực hiện được gán một mã duy nhất, khiến người dùng trái phép gần như không thể nghe lén cuộc trò chuyện. Điều này làm cho SRTP trở thành giao thức ưa thích cho cả cuộc gọi thông thường và cuộc gọi riêng tư.

Chúng ta không nên quên nhu cầu bảo vệ kết nối của máy chủ điện thoại với các kênh liên lạc bên ngoài (thông tin di động, mạng điện thoại công cộng).

Sử dụng đường hầm VPN được mã hóa

Nếu cần tổ chức các hệ thống có yêu cầu cao hơn về bảo vệ điện thoại IP, có thể kết nối người dùng từ xa thông qua mạng riêng ảo (VPN). Nội dung của các gói bị chặn được gửi qua đường hầm VPN được mã hóa chỉ có thể hiểu được đối với chủ sở hữu khóa mã hóa. Phương pháp tương tự có thể được sử dụng để bảo mật kết nối với nhà cung cấp dịch vụ điện thoại IP. Hiện nay, nhiều nhà cung cấp VoIP cung cấp kết nối VPN.

Hình 3 - Sơ đồ hoạt động của điện thoại IP thông qua đường hầm VPN

Tuy nhiên, công nghệ VPN có một số nhược điểm làm hạn chế việc sử dụng nó:

• giảm chất lượng liên lạc do độ trễ do mã hóa tạo ra;
• tăng tải cho các kênh và thiết bị liên lạc do nhu cầu mã hóa;
• tăng độ phức tạp của cấu trúc mạng.

Việc áp dụng các phương pháp bảo vệ máy chủ được liệt kê sẽ giảm thiểu khả năng bị hack và nếu hệ thống bảo mật bị vượt qua thành công sẽ giảm thiểu thiệt hại.

Hình 4 - Bảo vệ toàn diện điện thoại IP

Thật không may, không có biện pháp nào có thể đảm bảo an toàn tuyệt đối. Những khía cạnh được thảo luận ở trên chỉ giải quyết được một phần vấn đề xây dựng hệ thống thông tin liên lạc an toàn. Trong thực tế, toàn bộ cơ sở hạ tầng mạng của công ty cần được xem xét và tiến hành phân tích chuyên sâu về mức độ bảo vệ cần thiết. Cần phải tính đến không chỉ nhu cầu đảm bảo Bảo mật điện thoại IP, mà còn truy cập vào các kênh liên lạc bên ngoài (thông tin di động, mạng điện thoại công cộng). Chỉ có cách tiếp cận này, cùng với việc không ngừng cải tiến hệ thống bảo mật thông tin, mới tạo ra được một hệ thống an toàn và đáng tin cậy.

Để tạo ra sự bảo vệ hoàn toàn chống lại việc nghe lén, cần phải “ẩn” máy chủ điện thoại IP, giải pháp “Máy chủ ở Israel” là tuyệt vời.

Hệ thống tích hợp. Tư vấn

2015. SwitchRay trình bày giải pháp cập nhật để bảo vệ IP PBX khỏi gian lận

SwitchRay, nhà cung cấp giải pháp VoIP hàng đầu cho các nhà khai thác viễn thông bán lẻ và bán buôn, nhà cung cấp dịch vụ Internet, nhà khai thác mạng có dây và không dây, đã công bố sự sẵn có của phiên bản mới của sản phẩm SR-P7000 v1.1 để ngăn chặn gian lận PBX IP. Không giống như các giải pháp khác, SR-P7000 v1.1 là một nền tảng độc lập, dễ dàng tương thích với bất kỳ chuyển mạch mềm nào để bảo vệ người vận hành khỏi bị mất doanh thu do nhiều hình thức gian lận, hack và vi phạm bảo mật thông tin khác.

2013. WebMoney Voice - ứng dụng liên lạc VoIP an toàn

Hệ thống thanh toán WebMoney đã phát hành ứng dụng WebMoney Voice (hay nói đúng hơn là một mô-đun bổ sung cho ứng dụng khách di động của hệ thống), cho phép bạn thực hiện các cuộc trò chuyện điện thoại an toàn thông qua điện thoại IP. WebMoney Voice mã hóa dữ liệu bằng các thuật toán đặc biệt và hầu như loại bỏ khả năng chặn và nghe lén cuộc hội thoại của bên thứ ba trên bất kỳ mạng dữ liệu nào. Đồng thời, trong cuộc gọi bí mật, chất lượng âm thanh giọng nói của người đối thoại không bị mất. Không có phí cho việc sử dụng dịch vụ. Ứng dụng hiện có sẵn để tải xuống trên Google Play dành cho Android phiên bản 3.0.52 trở lên. Các phiên bản được lên kế hoạch cho các nền tảng di động khác.

2012. Telfin bảo vệ thông tin liên lạc VoIP của công ty

Nhà cung cấp dịch vụ VoIP dành cho doanh nghiệp Telfin đã ra mắt dịch vụ mới Telfin.VoiceVPN, được thiết kế để bảo vệ thông tin liên lạc VoIP. Thực tế là công nghệ VoIP liên quan đến việc truyền giọng nói qua các kênh Internet công cộng, cũng như trên mạng nội bộ, mạng này không phải lúc nào cũng được rào chắn cẩn thận với mạng bên ngoài. Do đó, tín hiệu thoại có thể bị chặn và đánh cắp bí mật thương mại. Telfin.VoiceVPN cho phép bạn bảo vệ mạng nội bộ của công ty bạn khỏi bị nghe lén và tổ chức một kênh an toàn giữa các văn phòng ở xa. Để làm được điều này, mỗi văn phòng phải cài đặt một bộ định tuyến VPN (Telfin bán với giá 3.200 rúp). Chi phí kết nối thêm 1000 rúp và sau đó bạn phải trả phí hàng tháng là 500 rúp/tháng.

2011. BELTEL sẽ bán giải pháp VoIP cho Polycom

Nhà tích hợp hệ thống BELTEL thông báo rằng họ đã nhận được tư cách là đại lý ủy quyền của Polycom. Trạng thái đạt được cho phép công ty mở rộng phạm vi sản phẩm và giải pháp của mình như điện thoại phần cứng để hoạt động với Microsoft Endpoint, giải pháp giọng nói Các giải pháp Proxy biên giới video và dựa trên IP được thiết kế để cung cấp quyền truy cập từ xa an toàn vào các chức năng UC, VoIP và Video, đồng thời cho phép phương tiện truyền thông đi qua tường lửa doanh nghiệp.

2010. PhoneUp tăng cường bảo mật và kiểm soát doanh nghiệp

Công ty BKS-IT đã giới thiệu mô-đun “Ưu tiên” mới cho gói PhoneUp của mình, mở rộng quyền hạn của một số nhóm nhân viên nhất định để quản lý cuộc gọi trong mạng IP được xây dựng trên công nghệ của Cisco. Với sự trợ giúp của mô-đun mới, người quản lý hoặc nhân viên an ninh công ty sẽ có thể nghe các cuộc trò chuyện bằng cách kết nối kín đáo với điện thoại của nhân viên, bắt đầu kết nối bắt buộc với nhân viên (ngay cả khi điện thoại của anh ta bận), tham gia cuộc trò chuyện hiện tại của nhân viên, và bắt đầu ghi lại cuộc trò chuyện của nhân viên. Ngoài mô-đun mới, gói PhoneUp còn bao gồm các mô-đun để triển khai danh bạ điện thoại thống nhất của công ty, giám sát video và thông tin nhân viên.

2009. WatchGuard XTM sẽ cung cấp bảo mật cho điện thoại IP

Tầm quan trọng của việc bảo vệ thông tin liên lạc VoIP khỏi các mối đe dọa đã tăng lên đáng kể trong những năm gần đây và xu hướng này sẽ chỉ tăng cường do lưu lượng truy cập VoIP tăng hàng năm. WatchGuard Technologies đã giới thiệu phiên bản mới của hệ thống bảo mật mạng IP doanh nghiệp WatchGuard XTM 8 Series, tính năng chính của phiên bản này là các công cụ bảo vệ điện thoại IP. Hệ thống cung cấp tính năng bảo vệ VoIP, nhắn tin tức thời (IM) và chặn ứng dụng P2P. Các giải pháp WatchGuard XTM 8 Series cũng có tính năng bảo mật dựa trên ứng dụng cho các giao thức SIP và H.323, cho phép ẩn các hệ thống VoIP thương mại trong khi tăng cường chúng để đẩy lùi các cuộc tấn công thu thập thư mục, truy cập trái phép vào xác minh đầu vào và các mối đe dọa bảo mật khác. Giải pháp WatchGuard XTM 8 Series được thiết kế cho các công ty lớn có mạng từ 1 nghìn đến 5 nghìn người dùng.

2009. Khóa học đặc biệt về bảo mật điện thoại IP sẽ được tổ chức tại Nga

Trung tâm đào tạo Informzashita đã công bố khóa học đặc biệt về bảo mật điện thoại IP, dành riêng cho các vấn đề phức tạp về phân tích bảo mật và đảm bảo an ninh của điện thoại IP. Đây là khóa học duy nhất dành cho Nga, xem xét các phương pháp hiện đại để xây dựng cơ sở hạ tầng điện thoại IP, các lỗ hổng và các cuộc tấn công vào các thành phần, phương pháp bảo vệ, hệ thống giám sát và phương pháp phân tích tính bảo mật của mạng VoIP. Hơn 50% thời gian giảng dạy sẽ được dành cho công việc thực tế, trong đó các cuộc tấn công điển hình vào cơ sở hạ tầng điện thoại IP được mô hình hóa và phương pháp sử dụng cơ chế bảo vệ được xem xét. Công nghệ ảo hóa máy chủ và máy trạm được sử dụng trong quá trình đào tạo cho phép mỗi chuyên gia thực hiện công việc thực tế trên mạng VoIP riêng lẻ. Khóa học nhằm vào các quản trị viên bảo mật thông tin, quản trị viên hệ thống và mạng chịu trách nhiệm vận hành các ứng dụng VoIP, các chuyên gia và nhà phân tích bảo mật máy tính xác định các yêu cầu bảo mật tài nguyên mạng và bảo vệ rò rỉ thông tin bí mật thông qua các kênh kỹ thuật.

2009. Chính quyền Euro muốn nghe Skype

Cơ quan điều phối EU hệ thống quốc gia Công lý muốn có thể nghe các hệ thống điện thoại IP, bao gồm cả. Yahoo Messenger, InternetCalls, Skype. Hiện tại, các nhà cung cấp voip này không phải tuân theo luật lưu giữ dữ liệu và nghe lén của EU và Hoa Kỳ, đồng thời không giống như các công ty viễn thông, họ không bắt buộc phải hợp tác với cơ quan thực thi pháp luật. Ngoài ra, mã hóa thông tin liên lạc, chẳng hạn như trong Skype, khiến cho việc “bắt buộc” phải nghe nó trên thực tế là không thể. Một cuộc họp của các nhà lập pháp EU về vấn đề này sẽ diễn ra trong vài tuần tới.

2008. Cisco sẽ bảo mật thông tin liên lạc hợp nhất

Bảo vệ SIP cho truyền thông hợp nhất bao gồm việc sử dụng giao thức SIP trong Tường lửa Cisco IOS để bảo vệ âm thanh giao tiếp. Sự đổi mới này sẽ cho phép các công ty nắm bắt khái niệm doanh nghiệp phân tán, tăng năng suất và giảm thiểu các mối đe dọa liên quan đến liên lạc bằng giọng nói. Bản cập nhật này lần lượt giải pháp mạng Mạng lưới tự vệ CISCO (mạng tự vệ) thành một mạng rộng hơn giải pháp hệ thống, cung cấp khả năng bảo vệ tổng thể cho mạng và nhiều điểm cuối, ứng dụng và nội dung.

2007. VoIP khó nghe

Việc sử dụng rộng rãi các dịch vụ VoIP đang gây ra nhiều vấn đề cho các cơ quan tình báo khác nhau. Các cuộc gọi điện thoại qua Skype hầu như không thể theo dõi và nghe thấy, và nếu sử dụng VPN, nhiệm vụ sẽ trở nên khó khăn hơn gấp nhiều lần, IT Australia viết. Sự gia tăng của các nhà khai thác điện thoại IP và sự sẵn có của mã hóa dữ liệu có nghĩa là thời kỳ nghe lén đơn giản đã qua. Các cơ quan tình báo đang hoạt động theo hướng này, thu hút các chuyên gia và mở rộng năng lực kỹ thuật của họ. Tuy nhiên, mức lương của các chuyên gia như vậy và chi phí thiết bị quá cao. Trong trường hợp này, chính phủ muốn đưa ra các quy định yêu cầu các nhà cung cấp VoIP sử dụng các công nghệ đơn giản hóa, điều này cuối cùng có thể dẫn đến an ninh mạng bị suy yếu.

2007. Cisco: Các chuyên gia bảo mật CNTT không sợ VoIP

Một cuộc khảo sát do Vanson Bourne ủy quyền cho Cisco đã phát hiện ra rằng virus đứng đầu danh sách các mối đe dọa quan trọng nhất. Năm 2007, họ được 55% số người được hỏi trao chức vô địch (so với 27% năm 2006). Truy cập dữ liệu trái phép được coi là mối đe dọa chính với 33%, so với 50% vào năm ngoái. Mối quan tâm số một của 38% chuyên gia bảo mật CNTT là bảo mật dữ liệu và 33% cho rằng cần phải đưa các quy trình tuân thủ các yêu cầu quy định. Không ai trong số những người được hỏi bày tỏ "mối quan ngại mạnh mẽ" về tính bảo mật của VoIP, Asterisk hoặc các hệ thống truyền thông hợp nhất (internet và đường dây hữu tuyến). Tuy nhiên, một nửa (49%) đồng ý rằng phải tính đến các cân nhắc về bảo mật khi triển khai liên lạc IP. Cuộc khảo sát được thực hiện với 100 chuyên gia bảo mật CNTT chịu trách nhiệm bảo vệ thông tin trong công ty của họ với hơn 1 nghìn nhân viên.

2007. Skype cam kết cải thiện tính bảo mật của phần mềm

Nhà điều hành điện thoại IP ngang hàng phổ biến Skype có kế hoạch ký kết thỏa thuận hợp tác với một công ty chuyên bảo vệ mạng nhắn tin tức thời, FaceTime Communications. Theo công bố thông tin Silicon, Skype sẽ cố gắng cung cấp nhiều công cụ hơn để kiểm soát các phiên điện thoại IP nhằm quảng bá dịch vụ của mình trong lĩnh vực kinh doanh. Dự kiến, sau thỏa thuận này sẽ còn có một số giao dịch tương tự khác. Ý định của Skype nhằm biến phần mềm của mình thành một công cụ giao tiếp kinh doanh có sẵn công khai đòi hỏi phải thay đổi thái độ của các nhà quản lý CNTT doanh nghiệp, những người không thể kiểm soát lưu lượng của hệ thống điện thoại phổ biến. Theo dữ liệu chính thức của Skype, khoảng 30% trong số 171 triệu người dùng đã đăng ký là từ giới kinh doanh.

2007. Các chuyên gia bảo mật tiếp tục nêu lên lo ngại về các vấn đề trong tương lai với điện thoại IP

Các công ty chuyên đảm bảo an ninh cho máy tính trong mạng tiếp tục khiến cộng đồng thế giới khiếp sợ với những mối đe dọa tiềm ẩn sẽ sớm xảy ra với nhiều người dùng điện thoại IP. Sự vắng mặt của các vấn đề đã được hứa hẹn từ lâu được giải thích là do loại hình liên lạc này chưa phát triển đầy đủ, nhưng dựa trên dữ liệu nghiên cứu cho rằng đến năm 2010, số lượng điện thoại IP trong doanh nghiệp sẽ tăng gấp bốn lần, các chuyên gia bảo mật cho rằng hầu hết các công ty chỉ đơn giản là chưa sẵn sàng. cho các cuộc tấn công vào mạng VoIP của họ, The Register viết. Đồng thời, các nhà sản xuất hệ thống bảo mật không che giấu sự thật rằng họ đang mong đợi sự tăng trưởng nhanh chóng trên thị trường hệ thống bảo mật cho điện thoại IP và giải thích những dự báo ảm đạm của họ bằng mong muốn cảnh báo trước cho khách hàng tiềm năng về mối nguy hiểm. Các chuyên gia của Symantec tin rằng những khó khăn chính của hệ thống VoIP sẽ liên quan đến lừa đảo, Panda Software lo ngại sự lây lan của sâu thông qua lưu lượng truy cập mô-đun VoIP của máy khách IM hoặc hệ thống như Skype và đại diện của ScanSafe cho rằng mạng VoIP sẽ đặc biệt dễ bị tấn công. Các cuộc tấn công DoS.

2006. Chuyên gia Mỹ thành lập nhóm đối tác bảo mật VoIP

Một nhóm học giả và chuyên gia công nghiệp Mỹ gần đây đã được thành lập để điều tra các vấn đề an toàn liên quan đến công nghệ VoIP. Nhóm đối tác bao gồm Georgia Tech Information Trung tâm bảo vệ(GTISC), BellSouth và Hệ thống bảo mật Internet (ISS). Các dịch vụ truyền thông đang chuyển sang nền tảng Internet và tầm quan trọng của bảo mật ngày càng tăng trong bối cảnh sử dụng các công nghệ hội tụ mới. Các nhà nghiên cứu có kế hoạch phân tích tính bảo mật của các giao thức VoIP và các vấn đề xác thực, mô hình hóa lưu lượng VoIP và hành vi của thiết bị cũng như bảo vệ điện thoại di động và các ứng dụng VoIP. ISS và BellSouth đã cung cấp 300.000 đô la cho chương trình nghiên cứu kéo dài hai năm cho phép GTISC phát triển và đánh giá các giải pháp bảo mật, đồng thời ISS và BellSouth sẽ có quyền truy cập vào kết quả của nghiên cứu đó.

2006. Bộ điều khiển biên giới phiên sẽ giúp bảo vệ VoIP

Sự phát triển của các dịch vụ điện thoại IP đặt ra một vấn đề mới có nguồn gốc từ những vấn đề cũ: tính bảo mật của VoIP. Các chuyên gia dự đoán rằng vào giữa năm 2007, việc hack và tấn công virus vào mạng VoIP sẽ trở nên phổ biến, điều này không thể không khiến các nhà phát triển giải pháp VoIP và nhà cung cấp dịch vụ VoIP lo lắng. Tuy nhiên, một số biện pháp bảo vệ cơ bản có thể được tổ chức ở cấp kiến ​​trúc mạng, sử dụng bộ điều khiển biên phiên (SBC), có thể ngăn chặn các cuộc tấn công DDoS, sự lây lan của SPIT (Thư rác qua điện thoại internet) và sự bùng phát vi rút, cũng như liên tục mã hóa lưu lượng truy cập. SBC ban đầu được sử dụng để tổ chức các phiên VoIP phía sau NAT. Ngày nay, chúng có thể thực hiện nhiều chức năng bảo vệ nhờ khả năng kiểm tra nội dung của gói hàng trong thời gian thực. Trong mạng, bộ điều khiển biên giới phiên ẩn địa chỉ thực của người dùng, giúp giảm thiểu khả năng bị tấn công hoặc hack DDoS, kiểm soát băng thông, duy trì QoS và ẩn cấu trúc liên kết của các mạng lân cận. Trong các mạng thế hệ tiếp theo, SBC sẽ trở thành một yếu tố bảo mật thiết yếu, cùng với tính linh hoạt và khả năng mở rộng, đồng thời đáng tin cậy và đơn giản.

2006. Mã hóa mới cho VoIP trên nền tảng Windows

Phil Zimmermann, tác giả huyền thoại của phần mềm mã hóa dữ liệu PGP, đã phát triển một công nghệ bảo mật mật mã mới cho phép bạn bảo vệ phiên VoIP giữa hai nút mà không cần liên hệ với bên thứ ba hoặc lưu trữ khóa riêng. Zimmerman tuyên bố rằng giao thức mà ông đã phát triển phù hợp để sử dụng với bất kỳ Hệ thống điện thoại, hỗ trợ SIP. Có tính đến thực tế là phiên bản mới của Zfone hoạt động với Windows, người dùng đại chúng hệ thống điện thoại IP ngang hàng có cơ hội bảo mật triệt để thông tin liên lạc của họ. Công nghệ này đã được đệ trình lên Lực lượng đặc nhiệm kỹ thuật Internet (IETF) để phê duyệt.

2006. VoIP an toàn hơn điện thoại thông thường

Trong quá trình chuyển đổi từ mạng TDM sang mạng VoIP, các nhà cung cấp dịch vụ phải đối mặt với một thách thức đáng kể: đảm bảo tính bảo mật của liên lạc thoại. Mạng điện thoại không còn bị cô lập nữa và hệ thống VoIP được thiết kế kém có thể dễ dàng trở thành nạn nhân của bất kỳ sự cố Internet thông thường nào: từ tấn công DoS đến chặn dữ liệu. Cho đến nay, các công nghệ được phát triển để giải quyết vấn đề này đã tích lũy đủ để nói về khả năng đạt được mức độ bảo mật cao hơn trong điện thoại IP so với mạng điện thoại thông thường, Giám đốc Tiếp thị của AudioCodes viết trong bài báo đăng trên ấn phẩm thông tin Converge Haim Melamed. Tuy nhiên, bảo mật không phải là một khái niệm mới đối với hệ thống điện thoại. Đối với các mạng điện thoại thông thường, tất cả các vấn đề hiện tại từ nghe lén đến từ chối dịch vụ cũng có liên quan ở mức độ này hay mức độ khác. Chỉ cần kết nối với mạng toàn cầu đã làm tăng mạnh số lượng kẻ tấn công tiềm năng có cơ hội thực hiện các hành động trái phép liên quan đến hệ thống liên lạc và có một bộ công cụ phong phú đã được chứng minh. Trước đây, điều này yêu cầu quyền truy cập vật lý và thiết bị đặc biệt, điều này hạn chế đáng kể số lượng tội phạm tiềm năng.

2006. NetIQ ra mắt công cụ chống hack VoIP

NetIQ đã tiết lộ Giải pháp bảo mật VoIP hoạt động với điện thoại IP của Cisco và bảo vệ chống lại DoS, vi rút, sâu, gian lận phí, nghe lén và các mối đe dọa khác, theo báo cáo của NetworkWorld. Công cụ mới cho phép quản trị viên có thông tin theo thời gian thực về hoạt động của hệ thống, tính khả dụng của hệ thống và cảnh báo về mọi mối đe dọa bảo mật. Giải pháp này bao gồm AppManager, giám sát môi trường VoIP để phát hiện các sự kiện bảo mật và thay đổi cấu hình. Phân tích dữ liệu cuộc gọi của AppManager kiểm tra bản ghi các cuộc gọi không chính xác và tạo báo cáo, Trình quản lý bảo mật cho các bản ghi Điện thoại IP và phân tích các sự kiện bảo mật. Việc bán Giải pháp Bảo mật VoIP sẽ bắt đầu vào cuối quý này và có giá 6 USD cho mỗi điện thoại IP.

2005. VPN cho điện thoại IP từ Avaya

Avaya đã giới thiệu dịch vụ VPN cho dòng thiết bị điện thoại IP của mình. Điều này sẽ cho phép người dùng doanh nghiệp mở rộng liên lạc tại trụ sở chính của họ một cách an toàn tới nhân viên làm việc tại nhà hoặc tạm thời làm việc ở những địa điểm không an toàn. môi trường mạng. Việc tích hợp phần mềm VPNremote mới với điện thoại IP sẽ cung cấp cho nhân viên khả năng liên lạc cấp doanh nghiệp có chứa tất cả các tính năng cần thiết để liên lạc doanh nghiệp hiệu suất cao, không bị gián đoạn. VPNremote dành cho Điện thoại IP Avaya 4600 cho phép bạn cài đặt điện thoại máy tính để bàn IP nhanh chóng và tiết kiệm chi phí tại nhà hoặc văn phòng ở xa. Quản trị viên chỉ cần tải lên phần mềm vào điện thoại IP và nhân viên sẽ tự mình bật nó lên ổ cắm điện, kết nối với bộ định tuyến băng thông rộng tại nhà của tôi và nhập mật khẩu.

2005. VoIPShield phát hành công cụ đánh giá rủi ro VoIP

Hệ thống VoIPShield đã phát hành giải pháp đánh giá lỗ hổng mới cho hệ thống VoIP (chẳng hạn như Asterisk) cho phép các tổ chức ngăn chặn các mối đe dọa trước khi chúng ảnh hưởng đến dịch vụ VoIP. Dựa trên cơ sở dữ liệu về mối đe dọa, VoIPaudit có tính toàn diện và có thể mở rộng. Nó có thể được sử dụng để giám sát nhóm giao thức VoIP, bao gồm Giao thức thiết lập phiên (SIP), Giao thức H.323, Giao thức Cisco Skinny, Giao thức Nortel Unistim, v.v.. Giao tiếp VoIP rất quan trọng và VoIPaudit cung cấp mức độ bảo vệ chưa từng có cho tất cả các thiết bị và mạng thiết bị VoIP. VoIPaudit hiện có sẵn với giá khởi điểm là 10.000 USD, bao gồm đào tạo và hỗ trợ.

2005. VoIPSA thực hiện những bước đi đầu tiên

Kể từ khi ra mắt hoạt động trong năm nay, tổ chức bảo mật điện thoại IP Liên minh bảo mật thoại qua IP (VoIPSA) đã thực hiện bước quan trọng đầu tiên trong việc bảo vệ các dịch vụ VoIP: tổ chức này đã xác định rõ ràng danh sách các vấn đề và lỗ hổng có thể bị kẻ tấn công khai thác. Dự án có tên Phân loại mối đe dọa bảo mật VoIP, được đăng để thảo luận công khai. Nó cung cấp các định nghĩa và mô tả toàn diện và chi tiết về các mối đe dọa bảo mật tiềm ẩn, làm cơ sở để tạo ra các hệ thống biện pháp đối phó, Computer Business viết. Mặc dù thực tế là tổ chức này đã nhận thức được các cuộc tấn công nghiêm trọng sử dụng lỗ hổng VoIP bằng các phương tiện khá đơn giản, người đứng đầu VoIPSA Jonathan Zar từ chối đưa ra ví dụ cụ thể. Danh sách các vấn đề tiềm ẩn bao gồm trinh sát, tấn công DoS và DDoS, khai thác lỗ hổng giao thức, nghe lén, loại bỏ và sửa đổi luồng âm thanh.

2005. Juniper cung cấp bảo mật VoIP

Juniper Networks Inc. đã công bố Giảm thiểu mối đe dọa động, cho phép các nhà cung cấp dịch vụ cung cấp cho doanh nghiệp và người tiêu dùng khả năng bảo vệ dịch vụ mạng và đảm bảo dịch vụ tiên tiến, bao gồm cả VoIP. Hệ thống được tích hợp vào bộ định tuyến Juniper (dòng M hoặc dòng E) mà không yêu cầu khách hàng cài đặt thiết bị mới. Giải pháp cho phép bạn xác định các cuộc tấn công của người dùng hoặc ứng dụng, sử dụng các phương pháp ngăn chặn và phát hiện và ngăn chặn xâm nhập và quản lý chính sách động (tấn công DoS, xâm nhập sâu). Xem xét số lượng lớn các dịch vụ được cung cấp qua mạng IP, việc sử dụng hệ thống Giảm thiểu mối đe dọa động là một bước tự nhiên và tiến bộ.

2005. Bảo mật VoIP sẽ bị đe dọa nghiêm trọng trong hai năm tới

Những kẻ tấn công sẽ gây ra mối đe dọa cho điện thoại IP bằng các loại virus và thư rác đặc biệt trong hai năm tới. Điều này đã được tuyên bố bởi đại diện của nhà sản xuất thiết bị viễn thông nổi tiếng Nortel. Hơn nữa, các công ty sử dụng VoIP, hội nghị truyền hình và các dịch vụ đa phương tiện khác dựa trên công nghệ mạng, nên chuẩn bị cho giai đoạn tiếp theo trong việc bảo vệ cơ sở hạ tầng của họ ngay bây giờ, ấn phẩm thông tin Silicon viết. Phó chủ tịch công ty, Atul Bhatnager, cho biết hiện tại, việc can thiệp vào dịch vụ VoIP khá hiếm gặp, nhưng tin tặc đang nhanh chóng tích lũy kinh nghiệm và trong tương lai, người dùng điện thoại IP sẽ phải đối mặt với những vấn đề tương tự vốn có do những kẻ tấn công gây ra. dữ liệu mạng truyền dẫn thông thường: thư rác và tấn công DoS. Đúng, hai năm là đủ để chuẩn bị và triển khai đủ hệ thống bảo vệ, có khả năng phân tích sâu các gói dữ liệu.

2005. Motorola+Skype

Motorola và nhà cung cấp dịch vụ điện thoại Internet Skype Technologies đã ký thỏa thuận hợp tác, như đã công bố tại Đại hội 3GSM ở Cannes. Ở giai đoạn hợp tác đầu tiên, các công ty sẽ cùng nhau phát triển các sản phẩm Motorola Skype Ready mới được tối ưu hóa cho điện thoại IP. Dòng sản phẩm sẽ bao gồm tai nghe Bluetooth, thiết bị rảnh tay và phần cứng để bảo vệ phần mềm và dữ liệu khỏi bị truy cập trái phép. Ngoài ra, Motorola có kế hoạch tung ra một số mẫu điện thoại di động có chức năng điện thoại Internet. Các thiết bị cầm tay này sẽ được trang bị phần mềm điện thoại IP do Skype phát triển, cho phép điện thoại tương tác với cả mạng di động và mạng Wi-Fi. Sự hợp tác giữa các công ty sẽ tạo điều kiện cho dịch vụ giá cả phải chăng âm thanh giao tiếp qua Internet không chỉ cho người sử dụng máy tính cá nhân và thiết bị cầm tay. Chủ sở hữu điện thoại di động mới của Motorola cũng sẽ có cơ hội gọi đến mọi nơi trên thế giới mà không phải lo lắng về những hóa đơn khổng lồ cho dịch vụ liên lạc.

2004. Cisco CallManager 4.1: Mức độ bảo mật chưa từng có

Cisco Systems thông báo phát hành các tính năng bảo mật mới cho hệ thống truyền thông IP. Giải pháp mới - Cisco CallManager 4.1 - cung cấp mức độ bảo mật cao hơn cho liên lạc bằng giọng nói và một lần nữa khẳng định vị thế dẫn đầu của Cisco trong lĩnh vực công nghệ IP. Cisco CallManager 4.1 hỗ trợ mã hóa giọng nói trên Điện thoại IP Cisco 7940G và 7960G mới, cũng như trên hơn 2,5 triệu Điện thoại IP Cisco 7940G và 7960G đã được cài đặt. Mã hóa dữ liệu giọng nói đảm bảo tính bảo mật cuộc trò chuyện qua điện thoại và mã hóa thông tin tín hiệu sẽ bảo vệ chống lại sự thao túng các gói tín hiệu điện thoại. Phần mềm Cisco CallManager 4.1 giao tiếp với nhiều cổng đa phương tiện của Cisco, bao gồm cả dòng Bộ định tuyến Dịch vụ Tích hợp. Hỗ trợ mã hóa cho các cổng truyền thông của Cisco bổ sung cho khả năng Thoại qua giọng nói mạnh mẽ Riêng tư ảo Mạng (V3PN) và khả năng bảo vệ chống lại các mối đe dọa đã có trong các nền tảng này.

2002. Phiên bản mới của Avaya IP Office 1.3 đã được phát hành

Avaya đã giới thiệu phiên bản mới của giải pháp VoIP dành cho các doanh nghiệp vừa nhỏ, Avaya IP Office 1.3. Avaya IP Office Release 1.3 bao gồm phần mềm và phần cứng mới để đáp ứng các yêu cầu kinh doanh đa dạng. Phần mềm nâng cao khả năng của hệ thống để hỗ trợ nhiều loại điện thoại Avaya IP hơn, cải thiện bảo mật hệ thống và cung cấp nhiều chức năng mạng hơn. Phiên bản mới cho phép tối đa 256 người dùng và hỗ trợ tối đa hai hội nghị đồng thời (mỗi hội nghị lên tới 64 người tham gia) hoặc nhiều hội nghị với ít người tham gia hơn trên nền tảng phần cứng mở rộng. Các tính năng bảo mật bao gồm các chế độ hội nghị đặc biệt và kiểm soát truy cập bằng mã PIN. VoiceMail Pro cho phép bạn tự động quay số (gọi theo tên). Ngoài ra còn có các chức năng phản hồi bằng giọng nói tương tác (IVR) với giao diện API mở.

2002. Avaya giới thiệu giải pháp mới cho điện thoại IP qua VPN

Avaya đã phát hành phiên bản mới của Avaya VPNremote với sự hỗ trợ mở rộng cho các tiêu chuẩn mạng mở. Giải pháp mới sẽ cho phép các công ty tổ chức quyền truy cập nhanh chóng và hiệu quả cho nhân viên từ xa vào tất cả các khả năng liên lạc được sử dụng trong văn phòng của tổ chức. Điện thoại IP Avaya dựa trên phiên bản VPNremote mới cho phép nhân viên từ xa làm việc trong mạng Cisco Systems và Juniper Networks. Các tính năng từ xa Avaya VPN mới dành cho điện thoại IP mang lại mức độ kiểm soát và chất lượng liên lạc cao. Avaya VPNremote 2.0 là giải pháp phần mềm giúp nâng cao khả năng truy cập mạng riêng ảo (VPN) an toàn cho điện thoại Avaya IP. Do đó, nhân viên từ xa của các công ty có cơ hội làm việc trong mạng công ty với chất lượng liên lạc cao. Một phiên bản mới Avaya VPNremote hỗ trợ môi trường VPN của Cisco Systems và Juniper Networks.

2001. PGPfone - cuộc trò chuyện an toàn qua VoIP và IM

PGPfone là chương trình biến máy tính cá nhân hoặc máy tính xách tay của bạn thành một chiếc điện thoại an toàn. Để mang lại cơ hội thực hiện các cuộc trò chuyện điện thoại an toàn trong thời gian thực (thông qua đường dây điện thoại và kênh Internet), nó sử dụng công nghệ nén âm thanh và các giao thức mã hóa mạnh. Âm thanh giọng nói của bạn nhận được qua micrô được PGPfone số hóa, nén, mã hóa và gửi tuần tự đến người ở đầu dây bên kia cũng đang sử dụng PGPfone. Tất cả các giao thức mã hóa và nén đều được chọn linh hoạt và minh bạch cho người dùng, cung cấp giao diện tự nhiên tương tự như điện thoại thông thường. Các giao thức mã hóa khóa công khai được sử dụng để chọn khóa mã hóa, do đó không cần phải có kênh bảo mật để trao đổi khóa.

Cung cấp bảo mật hệ thống Các chức năng sau được sử dụng:

• Ngăn chặn truy cập mạng trái phép bằng cách sử dụng từ mã được chia sẻ. Từ mã được tính toán đồng thời bằng cách sử dụng các thuật toán tiêu chuẩn trên hệ thống bắt đầu và kết thúc, và các kết quả thu được sẽ được so sánh. Khi kết nối được thiết lập, mỗi hệ thống điện thoại IP ban đầu sẽ xác định hệ thống kia; Nếu xảy ra ít nhất một kết quả âm tính, kết nối sẽ bị chấm dứt.
• Danh sách truy cập bao gồm tất cả các cổng điện thoại IP đã biết.
• Ghi lại các từ chối truy cập.
• Chức năng bảo mật giao diện quyền truy cập, bao gồm kiểm tra ID người dùng và mật khẩu với quyền truy cập đọc/ghi hạn chế, kiểm tra quyền truy cập vào máy chủ WEB đặc biệt để quản trị.
• Các tính năng bảo mật cuộc gọi bao gồm xác minh ID người dùng và mật khẩu (tùy chọn), trạng thái người dùng, hồ sơ thuê bao.

Khi một cổng thiết lập kết nối với một cổng khác trong vùng của nó, việc xác minh tùy chọn ID người dùng và mật khẩu sẽ được thực hiện. Người dùng có thể bị tước quyền truy cập bất cứ lúc nào.

Thật vậy, trong quá trình phát triển giao thức IP, các vấn đề bảo mật thông tin đã không được chú ý đúng mức, nhưng theo thời gian, tình hình đã thay đổi và ứng dụng hiện đại Mạng dựa trên IP có đủ cơ chế bảo mật. Và các giải pháp trong lĩnh vực điện thoại IP không thể tồn tại nếu không triển khai các công nghệ xác thực và ủy quyền tiêu chuẩn, kiểm soát tính toàn vẹn và mã hóa, v.v. Để rõ ràng, chúng ta hãy xem xét các cơ chế này vì chúng được sử dụng ở các giai đoạn khác nhau của việc tổ chức một cuộc trò chuyện qua điện thoại, bắt đầu bằng việc nhấc máy và kết thúc bằng tín hiệu gác máy.

1. Bộ điện thoại.

Trong điện thoại IP, trước khi điện thoại gửi tín hiệu thiết lập kết nối, thuê bao phải nhập ID và mật khẩu của mình để truy cập thiết bị và các chức năng của thiết bị. Xác thực này cho phép bạn chặn mọi hành động của người ngoài và không phải lo lắng rằng người dùng của người khác sẽ gọi đến thành phố hoặc quốc gia khác và bạn sẽ phải chịu chi phí.

2. Thiết lập kết nối.

Sau khi quay số, tín hiệu thiết lập kết nối sẽ được gửi đến máy chủ điều khiển cuộc gọi tương ứng, tại đây toàn bộ dòng kiểm tra an ninh. Bước đầu tiên là xác minh tính xác thực của chính điện thoại - cả thông qua việc sử dụng giao thức 802.1x và thông qua chứng chỉ khóa chung được tích hợp vào cơ sở hạ tầng điện thoại IP. Kiểm tra này cho phép bạn cách ly các điện thoại IP trái phép được cài đặt trên mạng, đặc biệt là trong mạng có địa chỉ động. Hiện tượng tương tự như các tổng đài khét tiếng của Việt Nam đơn giản là không thể xảy ra trong điện thoại IP (tất nhiên, với điều kiện phải tuân thủ các quy tắc xây dựng mạng điện thoại an toàn).

Tuy nhiên, vấn đề không chỉ giới hạn ở việc xác thực số điện thoại - cần phải tìm hiểu xem thuê bao có quyền gọi đến số mình đã gọi hay không. Đây không hẳn là một cơ chế bảo mật mà là một biện pháp ngăn chặn gian lận. Nếu kỹ sư của công ty không được phép sử dụng giao tiếp đường dài, thì quy tắc tương ứng sẽ ngay lập tức được ghi lại vào hệ thống quản lý cuộc gọi và bất kể nỗ lực đó được thực hiện từ điện thoại nào, nó sẽ bị dừng ngay lập tức. Ngoài ra, bạn có thể chỉ định mặt nạ hoặc dãy số điện thoại mà một người dùng cụ thể có quyền gọi.

Trong trường hợp điện thoại IP, các vấn đề liên lạc tương tự như tình trạng quá tải đường truyền trong điện thoại analog là không thể xảy ra: với thiết kế mạng phù hợp với các kết nối dự phòng hoặc sự trùng lặp của máy chủ điều khiển cuộc gọi, lỗi của các thành phần cơ sở hạ tầng điện thoại IP hoặc tình trạng quá tải của chúng không có tác động tiêu cực. ảnh hưởng tới hoạt động của mạng.

3. Trò chuyện qua điện thoại.

Trong điện thoại IP, giải pháp cho vấn đề bảo vệ chống nghe lén đã được cung cấp ngay từ đầu. Mức độ bảo mật cao của liên lạc qua điện thoại được đảm bảo bằng các thuật toán và giao thức đã được chứng minh (DES, 3DES, AES, IPSec, v.v.) với hầu như sự vắng mặt hoàn toàn chi phí cho việc tổ chức bảo vệ như vậy - tất cả các cơ chế cần thiết (mã hóa, kiểm soát tính toàn vẹn, băm, trao đổi khóa, v.v.) đã được triển khai trong các thành phần cơ sở hạ tầng, từ điện thoại IP đến hệ thống quản lý cuộc gọi. Đồng thời, tính năng bảo vệ có thể được sử dụng với mức độ thành công như nhau cho cả các cuộc hội thoại nội bộ và bên ngoài (trong trường hợp sau, tất cả các thuê bao phải sử dụng điện thoại IP).

Tuy nhiên, có một số vấn đề liên quan đến mã hóa mà bạn cần lưu ý khi triển khai cơ sở hạ tầng VoIP. Thứ nhất, có thêm độ trễ do mã hóa/giải mã và thứ hai, chi phí chung tăng do tăng độ dài gói tin được truyền đi.

4. Chức năng vô hình.

Cho đến nay, chúng tôi mới chỉ xem xét những mối nguy hiểm mà điện thoại truyền thống có thể gặp phải và những mối nguy hiểm có thể được loại bỏ bằng việc đưa điện thoại IP vào sử dụng. Nhưng việc chuyển đổi sang giao thức IP mang theo một số mối đe dọa mới không thể bỏ qua. May mắn thay, hiện đã có các giải pháp, công nghệ và phương pháp tiếp cận đã được chứng minh hiệu quả để bảo vệ khỏi những mối đe dọa này. Hầu hết chúng không yêu cầu bất kỳ khoản đầu tư tài chính nào, chúng đã được triển khai trên thiết bị mạng làm nền tảng cho bất kỳ cơ sở hạ tầng điện thoại IP nào.

Điều đơn giản nhất có thể được thực hiện để cải thiện tính bảo mật của các cuộc trò chuyện qua điện thoại khi chúng được truyền qua cùng hệ thống cáp với dữ liệu thông thường là phân đoạn mạng bằng công nghệ Vlan để ngăn người dùng thông thường nghe lén cuộc trò chuyện. Kết quả tốt đạt được bằng cách sử dụng không gian địa chỉ riêng cho các phân đoạn điện thoại IP. Và tất nhiên, bạn không nên giảm giá trị các quy tắc kiểm soát truy cập trên bộ định tuyến (Danh sách điều khiển truy cập, ACL) hoặc tường lửa, việc sử dụng chúng sẽ khiến kẻ tấn công khó kết nối với các phân đoạn giọng nói.

5. Giao tiếp với thế giới bên ngoài.

Bất kể lợi ích nào mà điện thoại IP mang lại trong mạng nội bộ công ty, chúng sẽ không đầy đủ nếu không có khả năng thực hiện và nhận cuộc gọi đến số điện thoại cố định. Trong trường hợp này, theo quy định, nhiệm vụ phát sinh là chuyển đổi lưu lượng IP thành tín hiệu được truyền qua mạng điện thoại công cộng (PSTN). Nó được giải quyết thông qua việc sử dụng các cổng thoại đặc biệt, cũng thực hiện một số chức năng bảo vệ và quan trọng nhất trong số đó là chặn tất cả các giao thức điện thoại IP (H.323, SIP, v.v.) nếu tin nhắn của chúng đến từ phân đoạn không phải giọng nói .

Để bảo vệ các thành phần của cơ sở hạ tầng thoại khỏi những ảnh hưởng trái phép có thể xảy ra, có thể sử dụng các giải pháp chuyên dụng - tường lửa (Tường lửa), cổng lớp ứng dụng (Cổng lớp ứng dụng, ALG) và bộ điều khiển biên phiên (Bộ điều khiển biên phiên). Đặc biệt, giao thức RTP sử dụng động cổng UDP, việc mở nó trên tường lửa sẽ dẫn đến sự xuất hiện của một lỗ hổng trong lớp bảo vệ. Do đó, tường lửa phải tự động xác định các cổng được sử dụng để liên lạc, mở chúng tại thời điểm kết nối và đóng chúng khi hoàn tất. Một tính năng khác là một số giao thức, ví dụ:

Một bài viết rất thú vị về bảo mật trong điện thoại IP đã được đăng trên trang web linkmeup.ru. Có thể nói, chúng tôi đang đăng nó mà không có thay đổi nào từ tác giả.

=======================

Xin chào các đồng nghiệp và bạn bè, tôi, Vadim Semenov, cùng với nhóm dự án network-class.net, trình bày một bài viết đánh giá đề cập đến các xu hướng và mối đe dọa chính trong điện thoại IP và quan trọng nhất là các công cụ bảo vệ mà nhà sản xuất hiện cung cấp như một biện pháp bảo vệ (theo ngôn ngữ của các chuyên gia bảo mật, hãy xem xét những công cụ mà nhà sản xuất cung cấp để giảm thiểu các lỗ hổng có thể bị các cá nhân bất hợp pháp khai thác). Vì vậy, ít từ hơn - hãy bắt tay vào công việc.
Đối với nhiều độc giả, thuật ngữ điện thoại IP đã hình thành từ lâu và cũng thực tế là loại điện thoại này “tốt hơn”, rẻ hơn so với điện thoại công cộng (PSTN), giàu chức năng bổ sung đa dạng, v.v. Và điều này đúng, tuy nhiên... một phần. Khi chúng ta chuyển từ điện thoại analog (kỹ thuật số), các đường dây thuê bao (từ điện thoại thuê bao đến trạm hoặc máy nhánh trạm) và các đường kết nối (đường liên lạc liên trạm) không kém gì vùng truy cập và điều khiển của điện thoại. các nhà cung cấp. Nói cách khác, người bình thường không có quyền truy cập vào đó (hoặc thực tế là như vậy, nếu bạn không tính đến ống dẫn cáp). Tôi nhớ một câu hỏi trên diễn đàn hacker cũ: “Hãy cho tôi biết cách truy cập vào PBX? - trả lời: “Chà, bạn lấy một chiếc máy ủi, tông vào bức tường của tòa nhà tổng đài điện thoại và thì đấy.” Và trò đùa này có phần đúng sự thật) Tuy nhiên, với việc chuyển điện thoại sang môi trường IP giá rẻ, chúng tôi cũng nhận được thêm những mối đe dọa mà môi trường IP mở đặt ra. Một ví dụ về các mối đe dọa có được là như sau:

• Đánh hơi các cổng tín hiệu để commit cuộc gọi điện thoại bằng chi phí của người khác
• Nghe lén bằng cách chặn các gói thoại IP
• Chặn cuộc gọi, người dùng bất hợp pháp giả làm người dùng hợp pháp, tấn công trung gian
• DDOS tấn công vào các máy chủ báo hiệu trạm để vô hiệu hóa tất cả điện thoại
• Tấn công thư rác, gửi một số lượng lớn các cuộc gọi ảo đến một trạm để chiếm hết tài nguyên miễn phí của nó

Mặc dù nhu cầu rõ ràng là phải loại bỏ tất cả các lỗ hổng có thể xảy ra để giảm khả năng xảy ra một cuộc tấn công cụ thể, nhưng trên thực tế, việc thực hiện các biện pháp bảo vệ nhất định phải bắt đầu bằng việc lập ra một lịch trình có tính đến chi phí thực hiện các biện pháp bảo vệ chống lại một mối đe dọa cụ thể. và tổn thất của doanh nghiệp do những kẻ tấn công thực hiện mối đe dọa này. Rốt cuộc, thật ngu ngốc khi chi nhiều tiền hơn cho sự an toàn của một tài sản hơn là giá trị của chính tài sản mà chúng ta đang bảo vệ.
Sau khi xác định được ngân sách bảo mật, chúng ta sẽ bắt đầu loại bỏ chính xác những mối đe dọa có thể xảy ra nhất đối với công ty; ví dụ, đối với một tổ chức nhỏ, điều đau đớn nhất là nhận được một hóa đơn lớn cho đường dài không hoàn hảo và các cuộc gọi quốc tế, trong khi đối với các công ty đại chúng, điều quan trọng nhất là giữ bí mật các cuộc trò chuyện. Hãy bắt đầu xem xét dần dần trong bài viết hiện tại với những điều cơ bản - đây là cung cấp một cách an toàn để truyền dữ liệu dịch vụ từ nhà ga đến điện thoại. Tiếp theo, chúng ta sẽ xem xét việc xác thực điện thoại trước khi kết nối chúng với trạm, xác thực trạm từ điện thoại và mã hóa lưu lượng báo hiệu (để ẩn thông tin về ai đang gọi và ở đâu) cũng như mã hóa lưu lượng hội thoại.
Nhiều nhà sản xuất thiết bị thoại (bao gồm cả Cisco Systems) đã có sẵn các công cụ bảo mật tích hợp, từ hạn chế thông thường về phạm vi địa chỉ IP mà từ đó cuộc gọi có thể được thực hiện đến việc xác thực thiết bị cuối bằng chứng chỉ. Ví dụ: nhà sản xuất Cisco Systems với dòng sản phẩm thoại CUCM (Cisco Unified CallManager) đã bắt đầu tích hợp chức năng “Bảo mật theo mặc định” từ phiên bản sản phẩm 8.0 (ngày phát hành tháng 5 năm 2010; phiên bản 10.5 ngày 5 tháng 5 năm 2014 hiện có sẵn). Nó bao gồm những gì:

• Xác thực tất cả các tệp được tải xuống qua/từ TFTP (tệp cấu hình, tệp chương trình cơ sở cho điện thoại, v.v.)
• Mã hóa tập tin cấu hình
• Kiểm tra chứng chỉ bằng điện thoại đang khởi tạo kết nối HTTPS

Chúng ta hãy xem một ví dụ về cuộc tấn công “man in the middle”, khi một người bất hợp pháp chặn các tập tin cấu hình cho điện thoại, từ đó điện thoại sẽ biết nên đăng ký với trạm nào, hoạt động trên giao thức nào, tải xuống chương trình cơ sở nào, v.v. Sau khi chặn tệp, kẻ tấn công sẽ có thể tự mình thực hiện các thay đổi đối với tệp đó hoặc xóa hoàn toàn tệp cấu hình, do đó ngăn điện thoại của toàn bộ văn phòng (xem hình) đăng ký tại trạm và do đó, tước quyền truy cập của văn phòng. khả năng thực hiện cuộc gọi.

Hình 1 Tấn công trung gian

Để bảo vệ khỏi điều này, chúng tôi cần có kiến ​​thức về mã hóa bất đối xứng, cơ sở hạ tầng khóa công khai và hiểu biết về các thành phần của Bảo mật theo mặc định mà giờ đây chúng tôi sẽ giới thiệu: Danh sách tin cậy nhận dạng (ITL) và Dịch vụ xác minh tin cậy (TVS). TVS là dịch vụ được thiết kế để xử lý các yêu cầu từ điện thoại IP không có tệp ITL hoặc CTL trong bộ nhớ trong. Điện thoại IP liên hệ với TVS nếu nó cần đảm bảo liệu nó có thể tin tưởng vào một dịch vụ cụ thể hay không trước khi bắt đầu truy cập dịch vụ đó. Trạm cũng hoạt động như một kho lưu trữ chứng chỉ của các máy chủ đáng tin cậy. Ngược lại, ITL là danh sách khóa chung của các thành phần tạo nên cụm trạm, nhưng đối với chúng tôi, điều quan trọng là khóa chung được lưu trữ ở đó máy chủ TFTP và khóa công khai của dịch vụ TVS. Khi điện thoại khởi động lần đầu, khi điện thoại đã nhận được địa chỉ IP và địa chỉ máy chủ TFTP, nó sẽ yêu cầu sự hiện diện của tệp ITL (Hình 2). Nếu nó nằm trên máy chủ TFTP, thì tin tưởng một cách mù quáng, nó sẽ tải nó vào bộ nhớ trong và lưu trữ cho đến lần khởi động lại tiếp theo. Sau khi tải xuống tệp ITL, điện thoại sẽ yêu cầu tệp cấu hình đã được ký.

Bây giờ, hãy xem cách chúng ta có thể sử dụng các công cụ mã hóa - ký một tệp bằng hàm băm MD5 hoặc SHA và mã hóa bằng khóa riêng của máy chủ TFTP (Hình 3). Điều đặc biệt của hàm băm là chúng là hàm một chiều. Dựa trên hàm băm nhận được từ bất kỳ tệp nào, không thể thực hiện thao tác ngược lại và lấy chính xác tệp gốc. Khi một tập tin được thay đổi, hàm băm thu được từ tập tin này cũng thay đổi. Điều đáng chú ý là hàm băm không được ghi vào chính tệp mà chỉ được thêm vào tệp và truyền đi cùng với tệp.

Hình 3 Ký vào tập tin cấu hình điện thoại

Khi hình thành chữ ký, chính tệp cấu hình sẽ được lấy, hàm băm được trích xuất từ ​​​​nó và được mã hóa bằng khóa riêng của máy chủ TFTP (chỉ máy chủ TFTP mới có).
Khi nhận được tệp cài đặt này, ban đầu điện thoại sẽ kiểm tra tính toàn vẹn của nó. Chúng ta nhớ rằng hàm băm là chức năng một chiều, do đó điện thoại không còn gì để làm ngoại trừ việc tách hàm băm được mã hóa bởi máy chủ TFTP khỏi tệp cấu hình, giải mã nó bằng khóa công khai TFTP (và làm sao điện thoại IP biết được nó). ? - và chỉ từ tệp ITL ), từ một tệp cấu hình sạch, tính toán hàm băm và so sánh nó với những gì chúng tôi nhận được trong quá trình giải mã. Nếu hàm băm khớp, điều đó có nghĩa là không có thay đổi nào được thực hiện đối với tệp trong quá trình truyền và tệp có thể được sử dụng một cách an toàn trên điện thoại (Hình 4).

Hình 4 Kiểm tra tệp cấu hình bằng điện thoại IP

Tệp cấu hình đã ký cho điện thoại được hiển thị bên dưới:

Cơm. 5 Tệp điện thoại IP đã ký trong Wireshark

Bằng cách ký vào tệp cấu hình, chúng tôi có thể đảm bảo tính toàn vẹn của tệp cài đặt được chuyển nhưng chúng tôi không bảo vệ tệp đó khỏi bị xem. Từ tệp cấu hình đã ghi, bạn có thể nhận được nhiều thông tin hữu ích, chẳng hạn như địa chỉ IP trao đổi qua điện thoại(trong ví dụ của chúng tôi đây là 192.168.1.66) và các cổng mở trên trạm (2427), v.v. Đó không phải là thông tin khá quan trọng mà bạn không muốn chỉ “tỏa sáng” trên Internet sao? Để che giấu thông tin này, nhà sản xuất cung cấp việc sử dụng mã hóa đối xứng(cùng một khóa được sử dụng để mã hóa và giải mã). Trong một trường hợp, khóa có thể được nhập vào điện thoại theo cách thủ công, trong trường hợp khác, tệp cấu hình của điện thoại được mã hóa tại trạm bằng khóa chung của điện thoại. Trước khi gửi tệp tới điện thoại, máy chủ tftp nơi tệp này được lưu trữ sẽ mã hóa tệp bằng khóa chung của điện thoại và ký tên bằng khóa riêng của nó (do đó chúng tôi đảm bảo không chỉ tính bí mật mà còn cả tính toàn vẹn). tập tin được chuyển). Điều chính ở đây là không nên nhầm lẫn về việc ai đang sử dụng khóa nào, mà hãy thực hiện theo thứ tự: máy chủ tftp, bằng cách mã hóa tệp bằng khóa chung của điện thoại IP, đảm bảo rằng chỉ chủ sở hữu của khóa chung được ghép nối có thể mở tập tin này. Bằng cách ký vào tệp bằng khóa riêng của nó, máy chủ tftp xác nhận rằng chính anh ta là người đã tạo ra nó. Tệp được mã hóa được hiển thị trong Hình 6:

Hình 6 Tệp điện thoại IP được mã hóa

Vì vậy, tại thời điểm này, chúng tôi đã xem xét việc bảo vệ các tệp cấu hình điện thoại của mình khỏi bị xem và đảm bảo tính toàn vẹn của chúng. Đây là lúc chức năng Bảo mật theo mặc định kết thúc. Để đảm bảo mã hóa lưu lượng thoại, ẩn thông tin báo hiệu (về ai đang gọi và gọi ở đâu) cần thiết công cụ bổ sung dựa trên danh sách chứng chỉ tin cậy– CTL, chúng ta sẽ xem xét tiếp theo.

Xác thực trao đổi điện thoại

Khi điện thoại cần liên lạc với tổng đài điện thoại (ví dụ: để đàm phán kết nối TLS để trao đổi tín hiệu), điện thoại IP cần xác thực tổng đài. Như bạn có thể đoán, chứng chỉ cũng được sử dụng rộng rãi để giải quyết vấn đề này. Hiện tại, các trạm IP hiện đại bao gồm một số lượng lớn các thành phần: một số máy chủ báo hiệu để xử lý cuộc gọi, một máy chủ quản trị chuyên dụng (điện thoại mới, người dùng, cổng, quy tắc định tuyến, v.v. được thêm vào thông qua nó), một máy chủ TFTP chuyên dụng cho lưu trữ các tập tin cấu hình và phần mềm cho điện thoại, máy chủ phát nhạc chờ... Ngoài ra, hạ tầng thoại có thể bao gồm thư thoại, máy chủ xác định trạng thái hiện tại của thuê bao (trực tuyến, ngoại tuyến, “lúc ăn trưa”). - danh sách này rất ấn tượng và quan trọng nhất là mọi máy chủ đều có chứng chỉ tự ký riêng và mỗi máy chủ đóng vai trò là cơ quan chứng nhận gốc (Hình 7). Vì lý do này, bất kỳ máy chủ nào trong cơ sở hạ tầng thoại sẽ không tin cậy chứng chỉ của máy chủ khác, ví dụ: máy chủ thoại không tin cậy máy chủ TFTP, thư thoại không tin cậy máy chủ báo hiệu và ngoài ra, điện thoại phải lưu trữ chứng chỉ của tất cả các phần tử tham gia trao đổi lưu lượng báo hiệu. Chứng chỉ trao đổi điện thoại được thể hiện trong Hình 7.

Hình 7 Chứng chỉ trạm IP Cisco tự ký

Đối với các nhiệm vụ thiết lập mối quan hệ tin cậy giữa các thành phần được mô tả ở trên trong cơ sở hạ tầng thoại, cũng như mã hóa lưu lượng thoại và tín hiệu, cái gọi là Danh sách tin cậy chứng chỉ (CTL) sẽ phát huy tác dụng. CTL chứa tất cả các chứng chỉ tự ký của tất cả các máy chủ trong cụm trạm thoại, cũng như những máy chủ tham gia trao đổi tin nhắn báo hiệu điện thoại (ví dụ: tường lửa) và tệp này được ký bằng khóa riêng của cơ quan chứng nhận đáng tin cậy (Hình 8). Tệp CTL tương đương với các chứng chỉ đã cài đặt được sử dụng trong trình duyệt web khi làm việc với giao thức https.

Hình.8 Danh sách các chứng chỉ tin cậy

Để tạo tệp CTL trên thiết bị Cisco, bạn sẽ cần một PC có đầu nối USB, chương trình máy khách CTL được cài đặt trên đó và chính Mã thông báo bảo mật quản trị viên trang (SAST) (Hình 9), chứa khóa riêng và chứng chỉ X.509v3 được ký bởi nhà sản xuất trung tâm xác thực (Cisco).

Hình 9 eToken Cisco

Máy khách CTL là một chương trình được cài đặt trên PC Windows và bạn có thể chuyển TOÀN BỘ tổng đài điện thoại sang chế độ được gọi là chế độ hỗn hợp, nghĩa là chế độ hỗn hợp hỗ trợ đăng ký thiết bị đầu cuối ở chế độ an toàn và không an toàn. Chúng tôi khởi chạy ứng dụng khách, chỉ định địa chỉ IP của tổng đài điện thoại, nhập thông tin đăng nhập/mật khẩu của quản trị viên và ứng dụng khách CTL thiết lập kết nối TCP trên cổng 2444 với trạm (Hình 10). Sau đó, chỉ có hai hành động sẽ được đưa ra:

Hình 10 Máy khách Cisco CTL

Sau khi tạo tệp CTL, tất cả những gì còn lại là khởi động lại máy chủ TFTP để chúng tải xuống tệp CTL mới được tạo, sau đó khởi động lại máy chủ thoại để điện thoại IP cũng khởi động lại và tải xuống tệp CTL mới (32 kilobyte). Có thể xem tệp CTL đã tải xuống từ cài đặt điện thoại IP (Hình 11)

Hình 11 Tệp CTL trên điện thoại IP

Xác thực điểm cuối

Để đảm bảo rằng chỉ các điểm cuối đáng tin cậy mới được kết nối và đăng ký, xác thực thiết bị phải được triển khai. Trong trường hợp này, nhiều nhà sản xuất sử dụng một phương pháp đã được chứng minh - xác thực thiết bị bằng chứng chỉ (Hình 12). Ví dụ: trong kiến ​​trúc giọng nói của Cisco, điều này được triển khai như sau: có hai loại chứng chỉ để xác thực với khóa chung và khóa riêng tương ứng được lưu trữ trên điện thoại:
Chứng chỉ do nhà sản xuất cài đặt – (MIC). Chứng chỉ do nhà sản xuất cài đặt chứa khóa 2048 bit, được ký bởi cơ quan chứng nhận của nhà sản xuất (Cisco). Chứng chỉ này không được cài đặt trên tất cả các kiểu điện thoại và nếu nó được cài đặt thì không cần phải có chứng chỉ khác (LSC).
Chứng chỉ quan trọng cục bộ – (LSC) Chứng chỉ có ý nghĩa cục bộ chứa khóa chung của điện thoại IP, được ký bằng khóa riêng của trung tâm xác thực cục bộ, chạy trên chính tổng đài điện thoại, Chức năng ủy quyền cấp chứng chỉ (CAPF).
Vì vậy, nếu chúng ta có điện thoại cài đặt sẵn chứng chỉ MIC thì mỗi khi điện thoại đăng ký với một đài, trạm đó sẽ yêu cầu chứng chỉ được nhà sản xuất cài đặt sẵn để xác thực. Tuy nhiên, nếu MIC bị hỏng thì việc thay thế đòi hỏi phải liên hệ với trung tâm chứng nhận của nhà sản xuất, việc này có thể mất rất nhiều thời gian. Để không phụ thuộc vào thời gian phản hồi của cơ quan chứng nhận của nhà sản xuất trong việc cấp lại chứng chỉ điện thoại bị xâm phạm, tốt nhất nên sử dụng chứng chỉ địa phương.

Hình 12 Chứng chỉ xác thực thiết bị đầu cuối

Theo mặc định, chứng chỉ LSC không được cài đặt trên điện thoại IP và việc cài đặt nó có thể được thực hiện bằng chứng chỉ MIB (nếu có) hoặc thông qua kết nối TLS (Bảo mật lớp truyền tải) bằng khóa chung chung do quản trị viên tạo thủ công tại điện thoại IP. trạm và nhập vào điện thoại.
Quá trình cài đặt chứng chỉ có ý nghĩa cục bộ (LSC) trên điện thoại chứa khóa chung của điện thoại được cơ quan chứng nhận địa phương ký được thể hiện trong Hình 13:

Hình 13 Quá trình cài đặt chứng chỉ LSC hợp lệ cục bộ

1. Sau khi tải điện thoại IP, nó yêu cầu danh sách chứng chỉ đáng tin cậy (tệp CTL) và tệp cấu hình
2. Trạm gửi các tập tin được yêu cầu
3. Từ cấu hình nhận được, điện thoại sẽ xác định xem có cần tải xuống chứng chỉ quan trọng cục bộ (LSC) từ trạm hay không
4. Nếu tại trạm chúng tôi thiết lập cho điện thoại cài đặt chứng chỉ LSC (xem bên dưới), trạm sẽ sử dụng chứng chỉ này để xác thực điện thoại IP này thì chúng tôi phải đảm bảo rằng khi có yêu cầu cấp chứng chỉ LSC, trạm sẽ phát hành nó cho người đó, người mà nó dự định. Với những mục đích này, chúng tôi có thể sử dụng chứng chỉ MIC (nếu có), tạo mật khẩu một lần cho mỗi điện thoại và nhập thủ công trên điện thoại hoặc hoàn toàn không sử dụng ủy quyền.
Ví dụ này minh họa quá trình cài đặt LSC bằng cách sử dụng

Được cung cấp bởi SEO CMS phiên bản: 23.1 TOP 2 (opencartadmin.com)

Điện thoại IP? Cô ấy cũng đang bị tấn công!

Nguyên lý hoạt động

Nguyên lý hoạt động của công nghệ điện thoại IP rất đơn giản. Thành phần trung tâm của nó là máy chủ (cổng), chịu trách nhiệm kết nối mạng điện thoại và IP, tức là. nó được kết nối cả với mạng điện thoại và có thể kết nối với bất kỳ điện thoại thông thường nào cũng như với mạng dữ liệu (ví dụ: Internet) và có thể truy cập bất kỳ máy tính nào. Trong chức năng của thiết bị này bao gồm:

Trả lời để nhấc máy

Thiết lập kết nối với cổng từ xa và bên được gọi

Số hóa (mã hóa), nén, đóng gói và khôi phục tín hiệu

Cổng này (ví dụ: Mô-đun cổng truy cập Cisco Catalyst 4000 hoặc Cisco VG200) nhận tín hiệu điện thoại thông thường làm đầu vào, số hóa nó (nếu tín hiệu không phải là kỹ thuật số) và nén dữ liệu nhận được, sau đó nó truyền nó đến mạng IP trong dạng gói thông thường (nhưng kích thước không lớn lắm). Ở đầu bên kia, cổng khôi phục tín hiệu về thứ tự ngược lại. Thành phần này có thể không được sử dụng nếu bạn không có kế hoạch tích hợp điện thoại IP của mình vào mạng điện thoại công cộng (xem Hình 1).

Để có thể xây dựng mạng phân phốiĐiện thoại IP yêu cầu người điều phối chịu trách nhiệm phân phối cuộc gọi giữa các cổng (ví dụ: Cisco CallManager). Ngoài nhiệm vụ này, người điều phối còn thực hiện việc xác thực và ủy quyền thuê bao, đồng thời có giao diện với hệ thống thanh toán.

Để dễ quản lý số lượng lớn Các cổng và bộ điều phối từ xa có thể sử dụng phần mềm đặc biệt gọi là màn hình. Và cuối cùng, thành phần bắt buộc cuối cùng của mạng điện thoại IP là điểm thuê bao, có thể được triển khai trong phần mềm (ví dụ: Cisco IP SoftPhone) hoặc trong phần cứng (ví dụ: Cisco IP Phone, được kết nối trực tiếp với cổng Ethernet của công tắc). Hơn nữa, trong trường hợp đầu tiên, cuộc gọi có thể được thực hiện thậm chí thông qua máy tính ở nhà, đã trang bị card âm thanh và một micrô, và trong trường hợp thứ hai, cái gọi là trạm thuê bao được sử dụng. Điện thoại IP. Một thành phần khác của kiến ​​trúc điện thoại IP có thể được gọi là các ứng dụng người dùng chuyên dụng phát sinh thông qua việc tích hợp thoại, video và dữ liệu (trung tâm cuộc gọi, hệ thống nhắn tin hợp nhất).

Tại sao điện thoại IP bị tấn công?

Mạng điện thoại IP là mục tiêu tốt cho tin tặc. Một số người trong số họ có thể chơi khăm bạn bằng cách gửi cho bạn một tin nhắn thoại thay mặt ban quản lý công ty. Ai đó có thể muốn truy cập vào hộp thư thoại của ban quản lý của bạn hoặc thậm chí muốn chặn dữ liệu giọng nói về các giao dịch tài chính được trao đổi giữa các nhân viên trong bộ phận tài chính hoặc kế toán. Đối thủ cạnh tranh của bạn có thể muốn làm suy yếu danh tiếng của bạn bằng cách vô hiệu hóa các cổng và bộ điều phối, do đó ảnh hưởng đến tính khả dụng dịch vụ điện thoại cho người đăng ký của bạn, điều này cũng có thể dẫn đến thiệt hại cho hoạt động kinh doanh của khách hàng. Có những lý do khác, chẳng hạn như gọi điện với chi phí của người khác (trộm cắp dịch vụ).

Các mối đe dọa có thể xảy ra

Vấn đề chính với bảo mật điện thoại IP là nó quá mở và khiến kẻ tấn công tương đối dễ dàng tấn công các thành phần của nó. Mặc dù thực tế là các trường hợp tấn công như vậy thực tế chưa được biết đến nhưng chúng có thể được thực hiện nếu muốn, bởi vì các cuộc tấn công vào mạng IP thông thường có thể nhắm vào các mạng thoại số hóa mà hầu như không có thay đổi nào. Mặt khác, sự giống nhau của mạng IP thông thường và mạng điện thoại IP cũng cho chúng ta biết các cách để bảo vệ chúng, nhưng chúng ta sẽ nói thêm về điều đó sau.

Các cuộc tấn công vào điện thoại thông thường cũng có thể được áp dụng đối với người anh em họ IP của nó - chiếc đèn lồng.

Điện thoại IP, là họ hàng trực tiếp của điện thoại thông thường và công nghệ IP, đã tiếp thu không chỉ những ưu điểm mà còn cả những nhược điểm của chúng. Những thứ kia. các cuộc tấn công vốn có trong điện thoại thông thường cũng có thể được áp dụng cho thành phần IP của nó. Tôi sẽ liệt kê một số trong số chúng, một số trong đó tôi sẽ xem xét chi tiết hơn:

Nghe lén điện thoại

Từ chối dịch vụ

Thay thế số

Trộm cắp dịch vụ

Những thử thách bất ngờ

Thay đổi cấu hình trái phép

Lừa đảo tài khoản.

Chặn dữ liệu

Đánh chặn dữ liệu là tốt nhất một vấn đề lớn, cả điện thoại thông thường và người anh em họ IP của nó.

Tuy nhiên, trong trường hợp sau, mối nguy hiểm này cao hơn nhiều, bởi vì kẻ tấn công không còn cần phải có quyền truy cập vật lý vào đường dây điện thoại nữa. Để làm cho tình hình trở nên tồi tệ hơn, nhiều giao thức được xây dựng trên ngăn xếp TCP/IP truyền dữ liệu tới biểu mẫu mở. HTTP, SMTP, IMAP, FTP, Telnet, SQL*net và trong số những thứ khác, các giao thức điện thoại IP mắc phải lỗi này. Kẻ tấn công có thể chặn lưu lượng thoại IP (không được mã hóa giữa các cổng theo mặc định) có thể dễ dàng khôi phục các cuộc hội thoại ban đầu. Thậm chí còn có các công cụ tự động cho việc này. Ví dụ: tiện ích nôn mửa (Điện thoại Internet bị định cấu hình sai), chuyển đổi dữ liệu thu được do chặn lưu lượng truy cập bằng cách sử dụng bộ phân tích giao thức tcpdump được phân phối tự do thành tệp WAV thông thường có thể nghe được bằng bất kỳ trình phát máy tính nào. Tiện ích này cho phép bạn chuyển đổi dữ liệu giọng nói được truyền bằng điện thoại IP của Cisco và được nén bằng codec G.711. Hơn nữa, ngoài việc nghe lén trái phép, kẻ tấn công có thể truyền lại các tin nhắn thoại bị chặn (hoặc các đoạn của chúng) để đạt được mục tiêu của chúng.

Tuy nhiên, tôi muốn lưu ý ngay rằng việc chặn dữ liệu giọng nói không phải là một nhiệm vụ đơn giản như thoạt nhìn. Kẻ tấn công phải có thông tin về địa chỉ của cổng hoặc điểm thuê bao, giao thức VoIP được sử dụng (ví dụ: H.323) và thuật toán nén (ví dụ: G.711). Nếu không, kẻ tấn công sẽ khó thiết lập phần mềm để chặn lưu lượng truy cập hoặc khối lượng dữ liệu bị chặn và thời gian phân tích sẽ vượt quá mọi giới hạn cho phép.

Việc chặn dữ liệu có thể được thực hiện cả từ bên trong mạng công ty và từ bên ngoài. Kẻ tấn công lành nghề có quyền truy cập vào phương tiện truyền dữ liệu vật lý có thể kết nối điện thoại IP của mình với bộ chuyển mạch và do đó nghe lén cuộc trò chuyện của người khác. Nó cũng có thể thay đổi các tuyến lưu lượng mạng và trở thành nút trung tâm của mạng công ty mà qua đó lưu lượng quan tâm đi qua. Hơn nữa, nếu trong mạng nội bộ, với một mức xác suất nhất định, bạn có thể phát hiện một thiết bị trái phép chặn dữ liệu giọng nói, thì ở mạng bên ngoài, hầu như không thể phát hiện được các nhánh. Do đó, mọi lưu lượng truy cập không được mã hóa rời khỏi mạng công ty sẽ được coi là không an toàn.

Từ chối dịch vụ

Liên lạc qua điện thoại truyền thống luôn đảm bảo chất lượng liên lạc ngay cả khi có tải trọng cao, đây không phải là tiên đề đối với điện thoại IP. Tải trọng lớn trên mạng trong đó dữ liệu giọng nói được số hóa được truyền dẫn dẫn đến biến dạng đáng kể và thậm chí mất một số tin nhắn thoại. Do đó, một trong những cuộc tấn công vào điện thoại IP có thể bao gồm việc gửi một số lượng lớn các gói “nhiễu” đến máy chủ điện thoại IP, làm tắc nghẽn kênh truyền dữ liệu và nếu vượt quá một giá trị ngưỡng nhất định, chúng thậm chí có thể vô hiệu hóa một phần của Mạng điện thoại IP (tức là tấn công từ chối dịch vụ). Điều điển hình là để thực hiện một cuộc tấn công như vậy, không cần phải “phát minh lại bánh xe” - chỉ cần sử dụng các cuộc tấn công DoS nổi tiếng Land, Ping of Death, Smurf, UDP Flood, v.v. là đủ. Một giải pháp cho vấn đề này là dự trữ băng thông, có thể đạt được bằng cách sử dụng các giao thức hiện đại như RSVP. Các phương pháp bảo vệ sẽ được thảo luận chi tiết hơn dưới đây.

Từ chối dịch vụ là một vấn đề nghiêm trọng đối với các thiết bị điện thoại IP. - đèn pin

Thay thế số

Để liên lạc với một thuê bao trong mạng điện thoại thông thường, bạn phải biết số của người đó và trong điện thoại IP, vai trò của số điện thoại do địa chỉ IP đảm nhận. Do đó, có thể kẻ tấn công bằng cách sử dụng địa chỉ giả mạo sẽ có thể mạo danh người đăng ký mà bạn cần. Đó là lý do tại sao nhiệm vụ đảm bảo xác thực không bị bỏ qua trong tất cả các tiêu chuẩn VoIP hiện có và sẽ được thảo luận sau.

Tấn công vào điểm thuê bao

Cần phải hiểu rằng điểm thuê bao được triển khai trên máy tính cá nhân là thiết bị kém an toàn hơn so với điện thoại IP đặc biệt. Luận án này cũng áp dụng cho bất kỳ thành phần điện thoại IP dựa trên phần mềm nào khác. Điều này là do thực tế là không chỉ các cuộc tấn công dành riêng cho điện thoại IP mới có thể được thực hiện trên các thành phần như vậy. Bản thân máy tính và các thành phần của nó (hệ điều hành, chương trình ứng dụng, cơ sở dữ liệu, v.v.) dễ bị tấn công bởi nhiều cuộc tấn công khác nhau cũng có thể ảnh hưởng đến các thành phần điện thoại IP. Ví dụ: sâu Internet Red Code, Nimda, nhiều loại Trojan và vi-rút khác nhau, các cuộc tấn công DoS và các sửa đổi phân tán của chúng - tất cả những điều này có thể, nếu không vô hiệu hóa cơ sở hạ tầng IP thoại, thì sẽ làm gián đoạn đáng kể chức năng của nó. Đồng thời, ngay cả khi không tìm thấy lỗ hổng nào trong chính phần mềm (trong thời điểm hiện tại), thì các thành phần phần mềm của bên thứ ba khác được nó sử dụng (đặc biệt là những phần mềm nổi tiếng) có thể giảm tính bảo mật tổng thể xuống 0. Xét cho cùng, quy tắc chung đã được biết đến từ lâu: “bảo mật của toàn bộ hệ thống tương đương với bảo mật của liên kết yếu nhất của nó”. Ví dụ: chúng ta có thể trích dẫn Cisco CallManager, sử dụng Windows 2000 Server, MS Internet Information Server và MS SQL Server để vận hành, mỗi thiết bị đều có một bộ lỗ hổng riêng.

Tấn công vào người điều phối

Những kẻ tấn công cũng có thể tấn công các nút (Gatekeeper theo thuật ngữ H.323 hoặc Máy chủ chuyển hướng theo thuật ngữ SIP) lưu trữ thông tin về cuộc hội thoại của người dùng (tên thuê bao, thời gian, thời lượng, lý do kết thúc cuộc gọi, v.v.). Điều này có thể được thực hiện cho cả mục đích lấy thông tin bí mật về chính các cuộc trò chuyện và mục đích sửa đổi và thậm chí xóa dữ liệu này. Trong trường hợp thứ hai, hệ thống thanh toán (ví dụ: nhà khai thác viễn thông) sẽ không thể lập hóa đơn chính xác cho khách hàng của mình, điều này có thể làm gián đoạn hoặc làm hỏng toàn bộ cơ sở hạ tầng điện thoại IP.

Các tiêu chuẩn điện thoại IP và cơ chế bảo mật của chúng

Thiếu điểm chung tiêu chuẩn được chấp nhận trong lĩnh vực này (xem Hình 2) không cho phép phát triển các khuyến nghị chung để bảo vệ các thiết bị điện thoại IP. Mỗi nhóm làm việc hoặc nhà sản xuất giải quyết các vấn đề về đảm bảo an ninh cho các cổng và bộ điều phối theo cách riêng của mình, dẫn đến cần phải nghiên cứu kỹ trước khi lựa chọn các biện pháp bảo vệ thích hợp.

Bảo mật H.323

H.323 là giao thức cho phép bạn xây dựng hệ thống VoIP từ đầu đến cuối. H.323 bao gồm một số thông số kỹ thuật, bao gồm. và H.235, thực hiện một số cơ chế bảo mật (xác thực, tính toàn vẹn, bảo mật và không chối bỏ) cho dữ liệu giọng nói.

Xác thực trong khuôn khổ tiêu chuẩn H.323 có thể được thực hiện bằng cách sử dụng thuật toán mã hóa đối xứng (trong trường hợp này, không cần trao đổi sơ bộ giữa các thiết bị tương tác và không được tải quá nhiều trên bộ xử lý trung tâm) và sử dụng chứng chỉ hoặc mật khẩu. Ngoài ra, đặc tả H.235 cho phép sử dụng IPSec làm cơ chế xác thực, cơ chế này cũng được khuyến nghị sử dụng trong các tiêu chuẩn điện thoại IP khác.

Sau khi thiết lập kết nối an toàn, xảy ra thông qua cổng TCP 1300, các nút tham gia trao đổi dữ liệu giọng nói sẽ trao đổi thông tin về phương thức mã hóa, có thể được sử dụng ở cấp độ truyền tải (mã hóa gói giao thức RTP) hoặc cấp độ mạng (sử dụng IPSec) .

Bảo mật SIP

Giao thức này, tương tự như HTTP và được các điểm thuê bao sử dụng để thiết lập kết nối (không nhất thiết là điện thoại, mà còn cho trò chơi), không có mức độ bảo mật nghiêm trọng và tập trung vào việc sử dụng các giải pháp của bên thứ ba (ví dụ: PGP ). Là một cơ chế xác thực, RFC 2543 cung cấp một số tùy chọn và đặc biệt là xác thực cơ bản (như trong HTTP) và xác thực dựa trên PGP. Trong nỗ lực giải quyết vấn đề bảo mật yếu kém của giao thức, Michael Thomas của Cisco Systems đã phát triển một tiêu chuẩn IETF dự thảo có tên là "khuôn khổ bảo mật SIP" mô tả các mối đe dọa bên ngoài và bên trong đối với giao thức SIP cũng như cách bảo vệ chống lại chúng. Đặc biệt, các phương pháp như vậy bao gồm bảo vệ ở cấp độ truyền tải bằng cách sử dụng TLS hoặc IPSec. Nhân tiện, Cisco, trong kiến ​​trúc bảo mật mạng công ty AN TOÀN của mình, rất chú trọng đến các vấn đề thực tế về bảo mật điện thoại IP.

Bảo mật MGCP

Tiêu chuẩn MGCP, được xác định trong RFC 2705 và không áp dụng ở các điểm cuối (cổng MGCP có thể xử lý cả thành phần có khả năng H.323 và có khả năng SIP), sử dụng giao thức ESP của thông số kỹ thuật IPSec để bảo vệ dữ liệu thoại. Giao thức AH cũng có thể được sử dụng (nhưng không phải trong mạng IPv6), cung cấp tính xác thực và tính toàn vẹn không kết nối cũng như bảo vệ chống lại các bản phát lại được truyền giữa các cổng. Đồng thời, giao thức AH không cung cấp tính bảo mật dữ liệu, điều này đạt được bằng cách sử dụng ESP (cùng với ba chức năng bảo mật khác).

Bảo vệ

Chọn cấu trúc liên kết phù hợp

Không nên sử dụng hub cho cơ sở hạ tầng VoIP, điều này khiến kẻ tấn công có thể chặn dữ liệu dễ dàng hơn. Ngoài ra, vì Giọng nói số hóa thường truyền qua cùng hệ thống cáp và qua cùng thiết bị mạng như dữ liệu thông thường; cần phân định chính xác các luồng thông tin giữa chúng. Ví dụ, điều này có thể được thực hiện bằng cơ chế VLAN (tuy nhiên, bạn không nên chỉ dựa vào chúng). Nên đặt các máy chủ tham gia cơ sở hạ tầng điện thoại IP trong một phân đoạn mạng riêng biệt (xem Hình 3), được bảo vệ không chỉ bằng các cơ chế bảo vệ được tích hợp trong bộ chuyển mạch và bộ định tuyến (danh sách kiểm soát truy cập, dịch địa chỉ và phát hiện tấn công), mà còn sử dụng các công cụ bảo mật được cài đặt bổ sung (tường lửa, hệ thống phát hiện tấn công, hệ thống xác thực, v.v.).

Bạn phải nhớ rằng việc truyền dữ liệu giọng nói qua mạng công ty của bạn sẽ để lại dấu ấn đặc biệt trong thiết kế của nó. Bạn nên hết sức chú ý đến các vấn đề về tính sẵn sàng cao và khả năng chịu lỗi. Mặc dù người dùng vẫn có thể quen với việc máy chủ Web hoặc hệ thống thư ngừng hoạt động trong thời gian ngắn, nhưng họ sẽ không thể quen với việc gián đoạn liên lạc qua điện thoại. Mạng điện thoại thông thường hiếm khi bị lỗi đến mức nhiều người dùng tự nhiên gán đặc tính hoạt động không có lỗi cho chị em IP của nó. Do đó, sự cố trong hoạt động của cơ sở hạ tầng VoIP có thể làm suy giảm niềm tin của người dùng đối với nó, từ đó có thể dẫn đến việc từ chối sử dụng và làm hỏng nó. thiệt hại vật chất cho chủ nhân của nó.

Bảo mật vật lý

Nên cấm người dùng truy cập trái phép vào thiết bị mạng, bao gồm cả. và chuyển mạch, và nếu có thể, hãy đặt tất cả các thiết bị không dành cho thuê bao trong các phòng máy chủ được trang bị đặc biệt. Điều này sẽ ngăn chặn việc kết nối trái phép vào máy tính của kẻ tấn công. Ngoài ra, bạn nên thường xuyên kiểm tra các thiết bị kết nối mạng trái phép có thể “nhúng” trực tiếp vào cáp mạng hay không. Để xác định các thiết bị như vậy, bạn có thể sử dụng nhiều phương pháp khác nhau, bao gồm. và máy quét (ví dụ: Internet Scanner hoặc Nessus), xác định từ xa sự hiện diện của các thiết bị “nước ngoài” trên mạng.

Kiểm soát truy cập

Một cách khá đơn giản khác để bảo vệ cơ sở hạ tầng VoIP của bạn là kiểm soát địa chỉ MAC. Không cho phép điện thoại IP có địa chỉ MAC không xác định truy cập vào cổng và các thành phần khác của mạng IP truyền dữ liệu giọng nói. Điều này sẽ ngăn chặn việc kết nối trái phép các điện thoại IP “nước ngoài” có thể nghe cuộc trò chuyện của bạn hoặc thực hiện liên lạc qua điện thoại mà bạn phải trả chi phí. Tất nhiên, địa chỉ MAC có thể bị làm giả, nhưng bạn vẫn không nên bỏ qua một biện pháp bảo vệ đơn giản như vậy, có thể được thực hiện mà không gặp bất kỳ sự cố nào trên hầu hết các thiết bị chuyển mạch hiện đại và thậm chí cả các hub. Các nút (chủ yếu là cổng, bộ điều phối và màn hình) phải được cấu hình để chặn mọi nỗ lực truy cập trái phép vào chúng. Để thực hiện việc này, bạn có thể sử dụng cả khả năng được tích hợp trong hệ điều hành và sản phẩm từ bên thứ ba. Và vì chúng tôi làm việc ở Nga, tôi khuyên bạn nên sử dụng các sản phẩm được Ủy ban Kỹ thuật Nhà nước Nga chứng nhận, đặc biệt vì có rất nhiều sản phẩm như vậy.

Vlan

Công nghệ Mạng cục bộ ảo (VLAN) cung cấp sự phân chia an toàn mạng vật lý thành nhiều phân đoạn biệt lập hoạt động độc lập với nhau. Trong điện thoại IP, công nghệ này được sử dụng để tách việc truyền giọng nói khỏi việc truyền dữ liệu thông thường (tệp, e-mail, v.v.). Bộ điều phối, cổng và điện thoại IP được đặt trên một VLAN dành riêng cho thoại. Như tôi đã lưu ý ở trên, Vlan khiến cuộc sống của những kẻ tấn công trở nên khó khăn hơn nhiều, nhưng không loại bỏ được tất cả các vấn đề liên quan đến việc nghe lén các cuộc hội thoại. Có những kỹ thuật cho phép kẻ tấn công chặn dữ liệu ngay cả trong môi trường được chuyển đổi.

Mã hóa

Mã hóa phải được sử dụng không chỉ giữa các cổng mà còn giữa điện thoại IP và cổng. Điều này sẽ bảo vệ toàn bộ đường dẫn mà dữ liệu giọng nói đi từ đầu này đến đầu kia. Quyền riêng tư không chỉ là một phần không thể thiếu của tiêu chuẩn H.323 mà còn được triển khai trong thiết bị của một số nhà sản xuất. Tuy nhiên, cơ chế này hầu như không bao giờ được sử dụng. Tại sao? Bởi vì chất lượng truyền dữ liệu là ưu tiên hàng đầu và việc mã hóa/giải mã liên tục luồng dữ liệu giọng nói cần có thời gian và thường gây ra độ trễ không thể chấp nhận được trong quá trình truyền và nhận lưu lượng (độ trễ 200...250 ms có thể làm giảm đáng kể tốc độ truyền dữ liệu). chất lượng cuộc trò chuyện). Ngoài ra, như đã đề cập ở trên, việc thiếu một tiêu chuẩn duy nhất không cho phép tất cả các nhà sản xuất áp dụng một thuật toán mã hóa duy nhất. Tuy nhiên, công bằng mà nói, phải nói rằng những khó khăn trong việc chặn lưu lượng thoại cho đến nay khiến người ta có thể nhắm mắt làm ngơ trước việc mã hóa của nó.

Nhân tiện, nếu bạn quyết định sử dụng mã hóa, hãy nhớ rằng bằng cách mã hóa dữ liệu giọng nói, bạn không chỉ ẩn dữ liệu đó khỏi kẻ tấn công mà còn khỏi các công cụ đảm bảo chất lượng (QoS) không thể cung cấp băng thông thích hợp cho dữ liệu đó. và dịch vụ ưu tiên. Sau khi loại bỏ một vấn đề (lỗ hổng), bạn lại phải đối mặt với một vấn đề khác (chất lượng dịch vụ). Và bạn có thể chắc chắn rằng trong tình huống này, bạn sẽ thích giải quyết vấn đề thứ hai hơn là bỏ qua việc giải quyết vấn đề thứ nhất. Nhân tiện, không phải mọi thứ đều có thể được mã hóa. Các giao thức báo hiệu được sử dụng trong điện thoại IP không được khuyến khích mã hóa, bởi vì trong trường hợp này, bạn sẽ mã hóa tất cả thông tin dịch vụ cần thiết để duy trì chức năng của toàn bộ mạng.

Nhưng bạn không nên từ bỏ việc mã hóa ngay lập tức - việc bảo mật các cuộc đàm phán của bạn vẫn cần thiết. Vì vậy, cần tiếp cận mã hóa dữ liệu VoIP một cách khôn ngoan. Ví dụ: Cisco khuyên bạn nên sử dụng đường hầm GRE hoặc bộ tập trung VPN Cisco VPN 3000 sử dụng lệnh Crypto hệ điều hành iOS của thiết bị, cho phép bạn bảo vệ dữ liệu trong khi vẫn duy trì chất lượng dịch vụ. Ngoài ra, bạn chỉ có thể sử dụng mã hóa chọn lọc cho một số trường nhất định trong gói VoIP.

Bức tường lửa

Để bảo vệ mạng công ty, tường lửa thường được sử dụng, có thể hoạt động tốt như nhau.

cũng có thể được sử dụng để bảo vệ cơ sở hạ tầng VoIP. Điều duy nhất cần phải làm là thêm một số quy tắc có tính đến cấu trúc liên kết mạng, vị trí của các thành phần điện thoại IP được cài đặt, v.v. Ví dụ: quyền truy cập vào Cisco CallManager từ Internet hoặc mạng ngoại vi thường bị chặn, nhưng khi sử dụng quản lý dựa trên Web, quyền truy cập đó phải được cho phép, nhưng chỉ trên cổng 80 và chỉ đối với một phạm vi địa chỉ bên ngoài hạn chế. Và để bảo vệ máy chủ SQL có trong Cisco CallManager, bạn có thể từ chối quyền truy cập từ tất cả các cổng ngoại trừ 1433.

Nhân tiện, có hai loại tường lửa có thể được sử dụng để bảo vệ các thành phần điện thoại IP. Đầu tiên trong số đó, công ty, được cài đặt ở lối ra khỏi mạng công ty và bảo vệ tất cả tài nguyên của nó cùng một lúc. Một ví dụ về tường lửa như vậy là Tường lửa CiscoSecure PIX. Loại thứ hai là cá nhân, chỉ bảo vệ một nút cụ thể, nút này có thể lưu trữ điểm thuê bao, cổng hoặc bộ điều phối. Ví dụ về tường lửa cá nhân như vậy là RealSecure Desktop Protector hoặc BlackICE PC Protector. Ngoài ra, một số hệ điều hành (như Linux hoặc Windows 2000) có tường lửa cá nhân tích hợp sẵn, có thể được sử dụng để tăng cường bảo mật cho cơ sở hạ tầng VoIP của bạn. Tùy thuộc vào tiêu chuẩn điện thoại IP được sử dụng, việc sử dụng tường lửa có thể dẫn đến các vấn đề khác nhau. Ví dụ: sau khi các trạm thuê bao trao đổi thông tin về tham số kết nối bằng giao thức SIP, mọi tương tác được thực hiện thông qua các cổng được cấp phát động có số lớn hơn 1023. Trong trường hợp này, ITU “không biết” trước cổng nào sẽ được sử dụng để trao đổi dữ liệu thoại và do đó, việc trao đổi đó sẽ bị chặn. Do đó, tường lửa phải có khả năng phân tích các gói SIP để xác định các cổng được sử dụng để liên lạc và tự động tạo hoặc thay đổi các quy tắc của nó. Yêu cầu tương tự áp dụng cho các giao thức điện thoại IP khác.

Một vấn đề khác liên quan đến thực tế là không phải tất cả tường lửa đều có thể xử lý thành thạo không chỉ tiêu đề giao thức điện thoại IP mà còn cả phần thân dữ liệu của nó, bởi vì thông tin quan trọng thường được chứa trong đó. Ví dụ: thông tin về địa chỉ thuê bao trong giao thức SIP được đặt trong phần thân dữ liệu. Việc tường lửa không có khả năng "đi đến tận cùng vấn đề" có thể dẫn đến việc liên lạc bằng giọng nói không thể đi qua tường lửa hoặc để lại một lỗ hổng trên tường lửa quá lớn để kẻ tấn công có thể khai thác.

Xác thực

Nhiều điện thoại IP khác nhau hỗ trợ các cơ chế xác thực cho phép bạn chỉ sử dụng các khả năng của nó sau khi xuất trình và xác minh mật khẩu hoặc số PIN cá nhân cho phép người dùng truy cập vào điện thoại IP. Tuy nhiên, cần lưu ý rằng giải pháp này không phải lúc nào cũng thuận tiện cho người dùng cuối, đặc biệt là trong bối cảnh sử dụng điện thoại IP hàng ngày. Mâu thuẫn thông thường “an ninh hoặc tiện lợi” nảy sinh.

RFC 1918 và dịch địa chỉ

Không nên sử dụng địa chỉ IP có thể truy cập từ Internet cho VoIP - điều này làm giảm đáng kể mức độ bảo mật cơ sở hạ tầng tổng thể. Do đó, bất cứ khi nào có thể, hãy sử dụng các địa chỉ được chỉ định trong RFC 1918 (10.x.x.x, 192.168.x.x, v.v.) không thể định tuyến trên Internet. Nếu điều này là không thể thì bạn cần sử dụng cơ chế dịch địa chỉ mạng (NAT) trên tường lửa để bảo vệ mạng công ty của bạn.

Hệ thống phát hiện tấn công

Chúng tôi đã thảo luận ở trên về một số cuộc tấn công có thể làm gián đoạn hoạt động của cơ sở hạ tầng VoIP. Để bảo vệ khỏi chúng, bạn có thể sử dụng các hệ thống phát hiện xâm nhập đã được chứng minh và nổi tiếng ở Nga, hệ thống này không chỉ xác định kịp thời các cuộc tấn công mà còn chặn chúng, ngăn chúng làm tổn hại tài nguyên của mạng công ty. Các công cụ như vậy có thể bảo vệ cả toàn bộ phân đoạn mạng (ví dụ: Cảm biến mạng RealSecure hoặc Snort) và các nút riêng lẻ (ví dụ: Cảm biến máy chủ CiscoSecure IDS hoặc Cảm biến máy chủ RealSecure).