اطلاعیه

بستن
هنوز اطلاعیه ای در دست نیست.

SBC ، جامع ترین راه حل امنیت VoIP

بستن
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

    SBC ، جامع ترین راه حل امنیت VoIP

    ارائه راه حل جامع امنیتی برای سیستم های تلفنی
    با توجه به آسیب پذیری های امنیتی شناخته شده در سیستم های تلفنی VoIP، راهکارهای مختلفی برای افزایش امنیت این سیستم ها ارائه گردیده است؛ راهکارهایی که به صورت پراکنده برای رفع بخشی از این آسیب پذیری ها و افزایش امنیت بیش از پیش ارائه گردیده اند. ابزارهایی همچون Fail2ban، سیستم های تشخیص نفوذ (IDS/IPS) و بکارگیری پروتکل های امن، از جمله رایج ترین این راه حل هاست. اما همانطور که گفته شد، پراکندگی و عدم یکپارچگی این ابزارها و حتی پیچیدگی در پیاده سازی، خود می تواند آسیب پذیری های امنیتی دیگری را بر روی سیستم تلفنی ایجاد کند.
    برای بزرگتر شدن عکس روی آن کلیک کنید  نام:	VoIP-Security-8.jpg نمایش ها:	1 اندازه:	9.4 KB شناسه:	19155



    بر این اساس، یک راه حل امنیتی جامع و یکپارچه برای شبکه های VoIP با عنوان Session Border Controller یا SBC ارائه شده است. شرکت ساعیان ارتباط، پیشگام در زمینه ارائه سخت افزارها و تکنولوژی های مبتنی بر VoIP، این محصول را برای بالا بردن امنیت سیستم تلفنی شما عرضه می کند.


    SBC چیست؟
    SBC به زبان ساده، المانی است که منحصرا به شبکه های VoIP اختصاص دارد و این که هر مکالمه یا "Session" چگونه شروع می شود، چگونه ادامه می یابد و چگونه ختم می شود، را در لبه ی ورودی شبکه "Border" کنترل میکند.

    SBC هچون یک روتر، میان سرویس دهنده (یک سیستم تلفنی IP-PBX، یک سیستم UC و یا ITSP) و دریافت کنندگان سرویس (کاربران و یا سیستم های دیگر) قرار می گیرد و از این طریق تنها تماس های مجاز، میان دو شبکه ی مورد اعتماد (داخلی) و شبکه ی غیر قابل اعتماد (خارجی)، برقرار خواهند شد؛ از این طریق توپولوژی و معماری شبکه VoIP که در پشت این المان قرار گرفته اند، از دید همگان مخفی خواهد ماند.

    به صورت کلی SBC همچون فایروالی برای شبکه های ویپ می باشد که علاوه بر برقراری امنیت، مسیریابی و یکپارچه سازی را نیز در این شبکه ها فراهم می کند.
    برای بزرگتر شدن عکس روی آن کلیک کنید  نام:	VoIP-Security-9.jpg نمایش ها:	1 اندازه:	35.8 KB شناسه:	19156



    جایگاه قرارگیری SBC همچون فایروال های شبکه، لبه ی ورودی شبکه VoIP می باشد، که معماری رایج آن در شکل زیر نشان داده شده است.
    برای بزرگتر شدن عکس روی آن کلیک کنید  نام:	VoIP-Security-14.jpg نمایش ها:	1 اندازه:	23.7 KB شناسه:	19157



    SBC در مقابل فایروال
    از آنجایی که مهم ترین علت بکارگیری SBC در شبکه های VoIP، امنیت می باشد، معمولا سوالاتی که مطرح می گردند، عبارتند :
    • از اینکه تفاوت SBC و فایروال های شبکه چیست؟
    • آیا با وجود یک فایروال در لبه ی شبکه IP، نیازی به المان دیگری همچون SBC می باشد؟
    • آیا فایروال شبکه برای برقراری امنیت شبکه ی IP و VoIP کافی نیست؟


    پاسخ این سوالات ارتباط تنگاتنگی با شناخت از شبکه ی VoIP و آسیب پذیری این شبکه دارد. در ادامه با بررسی قابلیت ها و امکاناتی که یک SBC فراهم می کند، به این سوالات پاسخ داده خواهد شد. برای کسب اطلاعات بیشتر به مستندات تهیه شده توسط شرکت ساعیان ارتباط مراجعه کنید.
    SBC چیست و چرا به آن نیاز داریم؟


    SBC برای امنیت
    مهم ترین وظیفه ی یک SBC در شبکه VoIP، ایجاد یک لایه ی امنیتی و حفظ سیستم تلفنی از سوء استفاده توسط هکرها و کلاه برداران تلفنی می باشد. این المان کنترل سیگنالینگ و مدیا را که جهت برقراری یک مکالمه الزامیست، بر عهده دارد. به عبارت دیگر SBC یک B2BUA یا Back to Back User Agents می باشد؛ درخواست های رسیده در لبه ی بیرونی را دریافت کرده و برای آن ها، یک درخواست جدید در طرف مقابل ایجاد می کند. این قابلیت، به SBC اجازه می دهد تا کلیه ارتباطات VoIP را کنترل و آنالیز کرده و سیاست های امنیتی را به صورت پویا اعمال کند.
    برای بزرگتر شدن عکس روی آن کلیک کنید  نام:	VoIP-Security-11.jpg نمایش ها:	1 اندازه:	30.8 KB شناسه:	19158




    پنهان سازی توپولوژی (Topology Hiding)
    عبور هر پیام مربوط به پروتکل سیگنالینگ SIP، از المان های مختلف شبکه VoIP، باعث می شود تا فیلدی با عنوان "Via" به آن پیام اضافه گردد. در این صورت، هر پیام در هنگام خروج از شبکه، دارای مجموعه ای از این فیلدهاست که مسیر طی شده توسط آن پیام را نشان می دهد. این اطلاعات می تواند توپولوژی و ساختار شبکه VoIP را در اختیار نفوذگران قرار دهد. SBC با استفاده از قابلیت B2BUA، این فیلد ها را حذف کرده و فقط یک فیلد "Via" که آدرس خودش را در آن قرار می دهد، درخواست های رسیده را به طرف دیگر منتقل می کند؛ و در نتیجه توپولوژی شبکه VoIP داخلی برای محیط بیرونی، مخفی می ماند.


    NAT Traversal
    یکی از مهمترین دلایلی که باعث می شود تا سیستم های تلفنی به صورت مستقیم در شبکه اینترنت قرار داده شوند و از این طریق مورد حمله قرار گیرند، مشکلات مربوط به NAT Traversal می باشد؛ که از قابلیت های SBC، رفع این مشکلات می باشد. در فایروال های شبکه به دلیل آن که از بدنه پیام های پروتکل SIP، شناختی وجود ندارد، تنها فرایند NAT در سرآیند IP بسته های مربوط به ترافیک VoIP، صورت می گیرد و تغییری در بدنه پیام SIP و یا SDP مربوطه، انجام نمی شود. به همین دلیل در بسیاری از موارد حتی با انجام برخی تنظیمات NAT در سیستم تلفنی، در صورتی که مکالمات برقرار شوند، بدون صدا خواهند بود و یا انتقال صدا تنها از یک سمت صورت می پذیرد. SBC با قرار گرفتن در لبه ی شبکه و آنالیز ترافیک ها، می تواند NAT را تشخیص دهد؛ و با باز نگه داشتن پورت های مورد نیاز بر روی فایروال و اصلاح آدرس های IP در بدنه و سرآیند پیام، مشکل NAT را رفع کند.


    تشخیص و جلوگیری از نفوذ
    یکی دیگر از تفاوت های مهم SBC و فایروال، امکان تشخیص حملات و جلوگیری از بروز آن ها می باشد. SBC این قابلیت را دارد که الگوی درخواست های ارسالی را شناسایی کند و مانع از انتقال ترافیک غیر عادی به داخل و یا خارج شبکه گردد. با استفاده از این مکانیزم تشخیص، SBC این قابلیت را دارد تا حملات DoS/DDoS، اسکن SIP Registration و حتی حملات Fuzzing همچون SIP Malformed Packet (ارسال پیام هایی که ساختار درستی ندارند)، را نیز تشخیص دهد و منبع ارسال کننده را مسدود کند.
    برای بزرگتر شدن عکس روی آن کلیک کنید  نام:	VoIP-Security-13.jpg نمایش ها:	1 اندازه:	13.6 KB شناسه:	19159



    یکی دیگر از نگرانی های امنیتی درحال حاضر، در ارتباط با BYOD می باشد. بسیاری از کاربران با تجهیزات شخصی خود، به شبکه محل کار متصل می گردند و ممکن است اپلیکیشن خاصی را نصب کنند، در حالی که این اپلیکیشن، یک بدافزار بوده و قصد سوء استفاده از بستر ارتباطی را دارد. SBC از طریق مکانیزم های تشخیص، می تواند این دسته از ترافیک ها را نیز شناسایی کرده و مسدود نماید.


    پروتکل های امن
    همانطور که قبلا نیز به آن اشاره شد، یکی از روش های امن سازی ارتباطات تلفنی بر روی بسترهای عمومی همچون اینترنت، بکارگیری پروتکل های امن همچون پروتکل TLS به منظور امن سازی سیگنالینگ و پروتکل SRTP به منظور محافظت از کانال های صوتی می باشد. SBC این امکان را فراهم می کند تا با استفاده از سخت افزار مستقل، پردازش های مربوط به رمزنگاری ترافیک صورت پذیرد و از این طریق، بدون هیچ گونه خللی در توان پردازشی سیستم، به صورت کامل از ظرفیت آن بهره برد.قابلیت های اشاره شده، از جمله مهم ترین تفاوت های میان SBC و فایروال شبکه بوده و بر همین اساس نمی توان یک SBC را با یک فایروال شبکه جایگزین کرد. چه بسا که این دو المان در کنار هم می توانند سطح قابل توجهی از امنیت را برای شبکه VoIP، ایجاد کنند. از همین رو SBC دارای یک فایروال داخلی نیز می باشد.


    SBC برای مسیریابی
    به دلیل قرار گرفتن SBC در لبه ی شبکه VoIP، نیاز است تا پس از آنالیز ترافیک دریافتی و اعمال سیاست های امنیتی، ترافیک مجاز به سمت مقصد مورد نظر، مسیریابی گردد. قابلیت مسیریابی تماس ها به سمت داخلی ها، سیستم تلفنی، ترانک ها و ... به صورت پیشرفته، بر اساس پارامترهای مختلف، از دیگر قابلیت هایی است که SBC فراهم می کند.
    برای بزرگتر شدن عکس روی آن کلیک کنید  نام:	VoIP-Security-14.jpg نمایش ها:	1 اندازه:	23.7 KB شناسه:	19157



    قابلیت بکارگیری پارامتر های مختلف که از دیتابیس استخراج می گردند، و پارامتر های پروتکل SS7 که در پیام های SIP بسته بندی شده اند، از دیگر قابلیت هایی است که در مسیریابی تماس ها می توان از آن بهره برد. نمونه ای ساده از مسیریابی تماس ها در زیر نشان داده شده است.
    برای بزرگتر شدن عکس روی آن کلیک کنید  نام:	VoIP-Security-15.jpg نمایش ها:	1 اندازه:	24.3 KB شناسه:	19160



    ایجاد تعادل در مسیریابی تماس ها و مسیریابی کمترین هزینه بر اساس پارامتر های تعریف شده نیز از دیگر امکانات پیشرفته مسیریابی در SBC می باشد. با استفاده از این امکانات می توان میان ترافیک انتقالی بر روی ترانک ها، تعادل ایجاد کرد و یا مکالمات را از کوتاه ترین و کم هزینه ترین مسیر به سمت مقصد هدایت کرد.
    برای بزرگتر شدن عکس روی آن کلیک کنید  نام:	VoIP-Security-16.jpg نمایش ها:	1 اندازه:	17.1 KB شناسه:	19161




    SBC برای یکپارچه سازی
    گسترش سیستم های تلفنی و بهره مندی از تکنولوژی های مختلف در ارتباطات، باعث شده است تا یکپارچه سازی این راه حل ها، از مهم ترین نیازمندی های هر سازمان تلقی گردد. بسیاری از سازمان ها، سیستم تلفنی IP-PBX را به همراه تجهیزات آنالوگ و یا دیجیتال VoIP برای ارتباط با شبکه مخابرات، مورد استفاده قرار می دهند؛ این در صورتی است که اگر نیاز به راه اندازی سیستم های UC همچون ماکروسافت Lync پدید آید، یکپارچه کردن این راه حل ها، به دلایل گوناگون همچون ناسازگاری پروتکل های انتقال و یا کدک ها، پیچیده خواهد بود.

    یکی دیگر از قابلیت هایی که SBC فراهم می کند، یکپارچه کردن کلیه سیستم های مرتبط به شبکه VoIP می باشد. از طریق این المان در شبکه VoIP، می توان تجهیزات مختلف همچون گیت وی ها، IP-PBX و سیستم UC را به هم متصل کرده و یک سیستم واحد از دید کاربر، ایجاد کرد. به عبارت بهتر، SBC با قابلیت تعریف ترانک های مختلف، مسیریابی، پشتیبانی از پروتکل های مختلف انتقال همچون UDP، TCP و TLS، و تبدیل کدک های متفاوت به هم ، برقراری ارتباط میان تمامی اجزای شبکهVoIP را به بهترین نحو فراهم می کند.
    VoIP-Security سنگوما
    برای بزرگتر شدن عکس روی آن کلیک کنید  نام:	VoIP-Security-17.jpg نمایش ها:	1 اندازه:	19.6 KB شناسه:	19162



    ارتباط میان سیستم های تلفنی پراکنده در نقاط مختلف و یا دسترسی کاربران به صورت راه دور، یکی دیگر از نمونه های رایج یکپارچه سازی است. با قرار گرفتن SBC در نقطه ی مرکزی و یا در هر یک از نقاط ارتباطی، می توان یک سیستم تلفنی یکپارچه، امن و با سطح کیفیت بالا ایجاد کرد و از مزایای تکنولوژی VoIP به صورت کامل بهره برد. در شکل زیر، نمونه ای از نحوه ی برقراری ارتباط میان سیستم های تلفنی در نقاط مختلف و کاربران راه دور، نشان داده شده است.

    VoIP امینت و SBC برای مانیتورینگ
    برای بزرگتر شدن عکس روی آن کلیک کنید  نام:	VoIP-Security-18.jpg نمایش ها:	1 اندازه:	16.9 KB شناسه:	19163




    SBC برای مانیتورینگ
    کنترل ترافیک های ورودی و یا خروجی شبکه VoIP و مانیتورینگ لحظه ای و آنلاین آن ها، از جمله روش هایی است که به منظور برقراری امنیت در شبکه VoIP، بر آن تاکید می شود. متاسفانه بسیاری از سیستم های تلفنی این قابلیت را ندارند و برای مدیران سیستم دشوار است که Log های سیستم را به صورت مداوم چک کنند.

    SBC به دلیل عملکرد در لایه های مختلف، این امکان را فراهم می کند تا به صورت آنلاین و در لحظه، بتوان ترافیک تلفنی جاری را مانیتور کرد. همچنین با فراهم کردن جزییات تماس (CDR) که قابلیت یکپارچه شدن با سرور Radius را نیز دارد، می توان تماس ها را به صورت دقیق تر مورد بررسی قرار داد.

    از دیگر امکانات کنترلی که SBC فراهم می کند، گزارشات مربوط به RTCP می باشد. به عبارت دیگر، خروجی این پروتکل کنترلی توسط SBC ثبت شده و آمار مربوطه در اختیار مدیر سیستم قرار داده می شود که با استفاده از آن می توان کیفیت ترافیک را سنجید.

    SBC کیفیت سرویس (QoS) را با امکان تعریف ToS و یا DSCP نیز فراهم می کند و از این طریق، مانیتورینگ کیفیت سرویس در سطح IP را در اختیار قرار می دهد. در شکل زیر نحوه ی اعمال QoS بر روی ترافیک شبکه، نشان داده شده است.

    VoIP- QOS شبکه
    برای بزرگتر شدن عکس روی آن کلیک کنید  نام:	VoIP-Security-19.jpg نمایش ها:	1 اندازه:	11.2 KB شناسه:	19164



    نتیجه گیری
    با توسعه تکنولوژی VoIP و افزایش سوء استفاده از آسیب پذیری های آن، برقراری امنیت و جلوگیری از نفوذ به این شبکه ها، از موضوعات حساس برای کاربران آن می باشد. در سال های اخیر، اخبار گوناگونی از حملات صورت گرفته به سیستم های تلفنی کسب و کار ها، شنیده می شود؛ این که نفوذگران قبض های تلفن میلیونی را برای آن ها به یادگار گذاشته اند. در همین راستا، برای برقراری امنیت در شبکه های VoIP و جلوگیری از بروز آسیب های جبران ناپذیر، المانی با عنوان Session Border Controller یا SBC معرفی شده است.

    SBC همچون فایروال شبکه های IP، در لبه ی شبکه VoIP قرار می گیرد و از این طریق کلیه ترافیک ورودی/خروجی را کنترل و آنالیز می کند. این المان، با اعمال مکانیزم های مختلف، حملات را تشخیص داده و مانع از بروز آن ها می شود. همانطور که در ابتدا اشاره شد، برای افزایش امنیت به میزان قابل توجه، علاوه بر روش های رایج، نیاز به تجهیزات خاصی می باشد که برای این منظور طراحی شده اند. SBC از جمله این تجهیزات می باشد، که برای این منظور ارائه گردیده است. با بکارگیری این المان و همچنین نکاتی که در بخش اول این مقاله ارائه گردید، می توان امنیت شبکه های VoIP را به میزان بسیار زیادی تامین کرد.
    برای کسب اطلاعات بیشتر در زمینه امینت ویپ، با شرکت ساعیان ارتباط تماس حاصل فرمایید.

    نویسنده : سهیل تهرانی پور
    آخرین ویرایش توسط Habili; در تاریخ/ساعت 11-01-2021, 12:30 AM.

درباره انجمن منطقه لینوکسی ها

انجمن منطقه لینوکسی ها با هدف ارتقاء سطح علمی کاربران در سطح جهانی و همچنین کمک به بالا بردن سطح علمی عمومی در زمینه های تخصصی فوق پایه گذاری شده است. انجمن منطقه لینوکسی ها از طریق کارشناسان و متخصصان پاسخگوی سوالات گوناگون کاربران مبتدی یا پیشرفته میباشد تا حد امکان تلاش شده که محیطی متنوع و کاربر پسند و به دور از هرگونه حاشیه جهت فعالیت کاربران در این انجمن ایجاد شود. لذا ما به صورت مستمر برای پیشرفت کمی و کیفی محتوی و اطلاعات انجمنمان میکوشیم که این برای ما ارزشمند و حائز اهمیت است. کلیه حقوق،اطلاعات و مقالات در این انجمن متعلق به سایت منطقه لینوکسی ها میباشد، و هرگونه نسخه برداری بدون ذکر منبع مورد پیگرد قانونی خواهد شد.

شبکه های اجتماعی
در حال انجام ...
X