امنیت VOIP

در حقيقت امنيت VoIP بدتر از امنيت ايميل و شبكه تلفن سنتي نيست و در چند سال آينده وضعيت آن به سرعت پيشرفت خواهد كرد؛ چرا كه اكثر شبكه‌هاي VoIP مستقل از همديگرند و چون اكثر شبكه‌هاي بزرگ حرفه‌اي VoIP تماس‌هاي خارج از محدوده خود را قبول نمي‌كنند، اين‌گونه شبكه‌ها از حفاظت بيشتري نسبت به اسپم، سيادي و هويت‌هاي جعلي برخوردارند. همچنين ويژگي‌‌هاي صدا، از قبيل ناتواني در جست‌وجو يا خواندن محتويات، به صورت اساسي باعث علاقه كمتر هكرها براي حمله، (نسبت به فايل‌‌هاي اطلاعاتي يا ايميل) مي‌شود. به علاوه، محصولاتي امسال ارائه خواهد شد كه از استانداردهاي IETF (سازمان استانداردهاي انتقال اطلاعات در اينترنت) براي رمزنگاري كامل اطلاعات و تماس‌هاي تلفن استفاده مي‌كند.

علاوه بر اين، مشاوران امنيتي و توليدكنندگان ديواره آتش و كنترل‌كننده‌هاي مرزهاي تماس (SBC)، كارشان را براي فناوري جديدتر براي ديوارهاي آتش ادامه مي‌دهند. به طوري كه در واقع نسل موجود ديواره‌هاي آتش براي حفاظت از شبكه‌هاي مجزاي VoIP مناسبند. زماني‌كه ما به شبكه VoIP متصل مي‌شويم، تعدادي استاندارد، ارتباط ما را در مقابل محدوديت‌هايي كه باعث جاسوسي‌ ما مي‌شوند، محافظت مي‌كنند؛ بدون اين‌كه از SBC يا ديوار آتش استفاده شود. در حقيقت اين دستگاه‌ها عملاً امنيت كلي را با مخلوط شدن با مكانيزم‌هاي جديد امنيتي، كاهش مي‌دهند.

هزينه‌ها
متهم كردن و اطلاعات غلط درباره امنيت VoIP محدود به ناشران نمي‌شود.
Cyber Security Industry Alliance) CSIA) يكي از متخلفان برجسته در ارائه اطلاعات غلط است. در حالي كه اطلاعاتشان در اين زمينه بسيار كم است، گزارش‌هاي آن‌ها بسيار عصباني كننده و فريبنده است. به طوري كه آن‌ها ادعا مي‌كنند VoIP مانند تخم‌مرغ شكننده است CSIA و بقيه مكرراً باعث افزايش توهم نسبت به شنود درVoIP شده‌اند. با اين حال، اين امر عملا‌ً مشكلي نيست كه خيلي‌ها انتظار دارند. شنود در شبكه تلفن سنتي نيز آسان است، مهاجمان تنها به دسترسي به يك خط فيزيكي و تجهيزات ارزانقيمت نياز دارند. در مقام مقايسه، شنود در VoIP در يك شبكه مبتني بر IP به دسترسي در سطح مدير به سوييچ و ايجاد پل به سوييچ يا پورت مانيتورينگ به منظور جمع‌آوري پكت‌ها از پورت يك سوييچ ديگر نياز دارد.

استفاده از يك شبكه بي‌سيم با VPN يا لايه دوم رمزنگاري شده مثل Wi-Fi Protected Access) WAP) امنيت خوبي را به وجود مي‌آورد. خيلي از مقاله‌ها درباره امنيت VoIP اشاره به حملات DoS مي‌كنند. در حقيقت حمله‌هاي DoS روي سوييچ‌هاي PSTN در اواخر دهه 1980 و اوايل دهه 1990 بسيار معمول بود. كليد كاهش تأثير حمله‌هاي DoS، داشتن پهناي باند كافي است؛ چرا كه در اين صورت برنامه واقعي‌اي كه بايد اجرا شود، مي‌تواند كارش را تا زماني‌كه حمله‌كننده مسدود شود، ادامه دهد. اينترنت از نظر بزرگي بسيار بزرگ‌تر از PSTN است كه آن را توانمندتر مي‌كند. به عنوان مثال، در يازدهم سپتامبر شبكه تلفن در East coast به شدت دچار مشكل شد، ولي ايميل، IM و تلفن‌هاي IP كارشان را ادامه دادند.

سرويس‌دهندگان اينترنت حملات DoS را با پهناي باند زياد خود دفع مي‌كنند. همچنين سعي مي‌كنند حملات DoS را هر چه نزديك‌تر به هسته اينترنت مسدود كنند. اينگونه حملات كه به طور نادر اتفاق مي‌افتد، مشكل‌تر از حمله به شبكه‌هاي PSTN است.

هميشه نگراني درباره استفاده از نرم‌افزارهاي جاسوسي مخصوص VoIP كه تماس‌ها را كنترل مي‌كنند وجود دارد و آن‌ها وقتي وارد softphoneها مي‌شوند، در حقيقت فقط در softphoneها باقي نمي‌مانند و باعث به وجود آمدن دو تهديد مي‌شوند: يكي اين‌كه VoIP باعث اضافه شدن يك مسير براي وارد شدن نرم‌افزارهاي مخرب مي‌شود و ديگر اين‌كه يك ويروس مي‌تواند باعث ايجاد خسارت به يك كامپيوترِ به خطر افتاده شود كه قبلاً اين كار امكان‌پذير نبود.
به هر حال برخلاف HTML و javascript كه توسط مرورگرهاي وب و برنامه‌هاي ايميل استفاده مي‌شود، پروتكل‌هايSIP فقط اطلاعاتي را به كاربر مي‌دهند كه از نوع اطلاعاتي باشد كه ارسال شده باشد.

در حال حاضر softphoneهايي كه از SIP استفاده مي‌كنند به كاربر اجازه نمي‌دهند يك درخواست SIP به كامپيوتر مقصد ارسال كنند تا يك برنامه را كه كاربر مهيا كرده است روي آن اجرا كند. همه ويروس‌ها براي تكثير شدن به چنين روش‌هايي نياز دارند. تا اين زمان softphoneهايي كه از SIP استفاده مي‌كنند، از اسكريپت‌هاي زبان‌ها دوري كرده‌اند؛ چرا كه آن‌‌ها باعث گسترش ويروس مي‌شوند. وقتي كه يك كامپيوتر آلوده مي‌شود، يك هكر مي‌تواند هر برنامه دلخواهي را روي آن كامپيوتر اجرا كند. براي يك هكر يك كامپيوتر آلوده براي به دست آوردن اطلاعات شخصي (معمولاً اطلاعات آدرس‌هاي ايميل و اطلاعات ارسالي)، ارسال هرزنامه يا اجراي حملات DoS بسيار مفيد است.

در حال حاضر هرزنامه، تلفن‌ها و فكس‌هاي ناخواسته، به عنوان يك مشكل در شبكه‌هاي PSTN هستند. تقريباً همه شبكه‌هاي VoIP ارتباطاتي را كه گيرنده نامشخص باشد و از شبكه PSTN استفاده مي‌كند، مسدود مي‌كنند؛ چرا كه در اين صورت آن‌ها مثل خطوط معمولي PSTN آسيب‌پذير مي‌شوند.
در آينده شبكه‌هاي VoIP بسيار گسترده‌تر خواهند شد و براي جلوگيري از ورود اسپم‌ها از نقطه مقابلشان به ساز و كار خاصي نياز خواهند داشت.
اسپم و سيادي روي دو مشخصه تكيه دارند: اول اين‌كه، اكثر كاربران نمي‌توانند پيش‌بيني كنند كه با چه كسي تماس برقرار خواهند كرد. بنابراين آن‌ها به هر كسي اجازه ارتباط مي‌دهند. دومين مشخصه استفاده از فيلتر است كه در صورتي‌كه از يك برنامه قوي قابل اطمينان استفاده شود كه بتواند تعيين كند چه چيزي فيلتر شود، مؤثر خواهد بود.

گروه كاري IETF كه روي SIP كار مي‌كنند، يك سري مسائل اصلي امنيت را به طور جامع توسعه داده‌اند تا از SIP در مقابل شنود، سرقت جلسه، حمله‌هاي فعال و همچنين درستي هويت كاربر، محافظت كنند. اين كار با استفاده از
Secure Real-Time Transport Protocol) SRTP) براي حفاظت مديا و HTTPS براي امنيت تنظيمات انجام مي‌شود و اين‌ها يك سطح امنيت مناسب را مهيا مي‌كنند و مي‌توانند قسمت به قسمت توسعه داده شوند و اغلب براي قابليت كار با كامپيوترها با يكديگر در دوره توسعه، توسط SIPIT مورد آزمايش قرار مي‌گيرند.

SIP مثل HTTP، هم مي‌تواند توسط Transport Layer Security) TLS) حمل شود. SIP توسط TLS، رمزنگاري و درستي پيام‌ها را براي كانال ارتباطي مهيا مي‌كند و سرور بعدي را نيز شناسايي مي‌نمايد. برخلاف HTTPدرخواست SIP قبل از اين‌كه به مقصد نهايي برسد، مي‌تواند از چند hop عبور كند. ويژگي SIP يك رويه خاص را تعريف مي‌كند كه مشابه HTTPS است. برنامه SIP طوري طراحي شده است تا اطمينان دهد كه هر hop از TLS استفاده مي‌كند و هر سرور، سرور بعدي را شناسايي مي‌كند.

چندين راه‌حل براي اجراي SIP روي TSL وجود دارد. البته همه آن‌ها به مرحله اجرا نرسيده‌اند.
STRP يك مشخصه براي ايجاد رمزنگاري و درستي پيام‌ها براي RTP و ترافيك
RTP Control Protocol) RTCP) است. SRTP نياز دارد هر دو طرف يك كليد محرمانه براي رمزنگاري و رمزگشايي داشته باشند. اين اطلاعات كه حاوي كليد است (يا تعريف اين‌كه چگونه اين كليد را به دست آوريم) بايد در session (جلسه) تعريف شود. انتظار مي‌رود چندين نوع اجراي SRTP تا انتهاي امسال ايجاد شود.

سرويس‌دهندگان اينترنت نياز دارند دقيقاً شماره تماس گيرنده را به مقصد حمل كنند؛ حتي زماني‌كه تماس گيرنده بخواهد ناشناس باقي بماند. مكانيزمي كه در حال حاضر SIP براي انتقال شماره تماس گيرنده استفاده مي‌كند،
p-Asserted-Indentity header است، اما متأسفانه اين سازوكار نياز دارد domainهاي زيادي به همديگر اطمينان كنند تا اطلاعات هويتي دقيقي به دست آيد.

گروه كاري SIP براي حل اين مشكل يك سرويس به نام (Identity تشخيص هويت) را توسعه داده‌اند كه به صورت يك پروكسي SIP اجرا مي‌شود. يك سرور تشخيص هويت يك امضاي ديجيتالي به آدرس SIP اضافه مي‌كند نشان مي‌دهد كه فرستنده درخواست احراز هويت شده‌است و نامي كه در قسمت from از header قرار دارد، مي‌تواند به عنوان يك هويت واقعي مورد اطمينان قرار بگيرد.

فقط سرور Identity در domain تشخيص هويت لازم است تا هرچيزي را بنويسد و بقيه سرورهاي SIP مي‌توانند شناسايي كنند كه امضاي ديجيتالي معتبر است.

Secure MIME) SLMIME) فناوري ديگري است كه براي امضا، رمزنگاري پيام‌هاي مستقل، دادن اجازه به دريافت كننده براي شناسايي و رمزگشايي استفاده مي‌شود. مثلPretty Good Privacy) PGP)، اين فناوري در اصل براي ايميل توسعه داده شده بود، اما براي استفاده در پروتكل‌هاي ديگر هم توسعه داده شده است. SIP مي‌تواند ازS/MIME براي رمزنگاري و امضاي جلسه برقرار شده، اسناد و ديگر اطلاعات در بدنه پيام‌هاي SIP استفاده كند (مثل شماره كارت اعتباري در يك IM.)
اصلي‌ترين مشكل توسعه S/MIME اين است كه هر كاربر به يك گواهينامه معتبر نياز دارد. همچنين روشي براي شناسايي گواهينامه شخصي كه مي‌خواهد ارتباط برقرار كند، مورد نياز است. گروه كاري SIP براي رفع اين مشكل مكانيزمي را تعريف‌كرده است كه به كاربران اجازه مي‌دهد گواهينامه‌هاي خود را روي يك سرور منتشر كنند تا كاربران ديگر بتوانند به آن‌ها دسترسي پيدا نمايند و آن‌ها را دريافت كنند.

http://www.eshtehardcity.ir

نظر

افزودن جدید

جستجو