نکاتی در رابطه با امنیت در سیستم ویپ

سیستم تلفنی ویپ همانند هر سیستم تلفنی دیگر ممکن است هک شود بنابراین سرورهای این سیستم مانند هر سرور دیگری نیاز به ایمن شدن دارد . اما علاقه هکرها به این سیستم ها بیشتر می باشد زیرا این سیستم ها دارای ارزش بسیار بالای ترافیک تلفنی بین الملل می باشند.نکاتی در رابطه با امنیت در سیستم ویپ

هک کردن سیستم تلفن معمولا توسط رباتها صورت می گیرد.بنابراین باید دقت کنید که سیستم خود را به اینترنت بدون ایمن متصل نکنید چرا که در صورت وصل شدن به اینترنت بدون ایمن قطعا هک خواهید شد.

زمانی که سیستم تلفنی شما هک شود این شما هستید که زیان مالی خواهید دید .علاوه بر این زیان ممکن است به واسطه مکالماتی که با سیستم تلفنی خود داشته اید درگیر موارد امنیتی و پلیسی نیز شوید. بنابراین نصب و راه اندازی سیستم تلفن خود را به افراد غیر حرفه ای واگذار نکنید.نکاتی در رابطه با امنیت در سیستم ویپ

در این مقاله قصد داریم شما را با نکاتی آشنا کنیم که با رعایت این نکات شما می توانید سرور تلفن خود را ایمن سازید با ما همراه شوید:

VOIP ویژه کسب و کار اینترنتی

استفاده از IPTables لینوکس

IPTablesدر واقع اسم فایروال موجود در سیستم عامل لینوکس می باشد و در صورتی که از ایزو استریسکی استفاده می کنید قطعا سیستم عامل مورد استفاده شما لینوکس خواهد بود.کاری که این فایروال انجام می دهد این است که پورتهای شبکه را برای تمامی آدرس IP های خارجی می بندد و یا تنها به یک IP خاص اجازه دسترسی می دهد. در صورتی که از الستیکس استفاده می کنید بنابراین  منوی security همان IPTables در سیستم عامل لینوکس می باشد بنابراین کار شما برای تغییر rule ها  آسان می باشد. در صورتی که از ایزو های دیگر  استفاده می کنید باید نرم افزار webmin را نصب کنید.

پورتهای مورد نیاز برای سیستم شما که نباید به هیچ عنوان از کار بیفتند عبارتند از:

الزامی

– پروتکل SIP: پورت ۵۰۶۰ بر روی tcp و udp- پروتکل RTP: پورت ۱۰۰۰۰ تا ۲۰۰۰۰ بر روی udp – پروتکل IAX2: پورت ۴۵۶۹ بر روی udp

اختیاری:

– دسترسی محیط وب: پورت ۴۴۳ بر روی tcp – دسترسی SSH: پورت ۲۲ بر روی tcp

 تغییر پورتهای شبکه رایج

یکی دیگر از روشهای ایمن کردن سیستم تلفن تغییر پورتهای برنامه های معروف می باشد زیرا این کار سبب می شود تا سیستم تلفن شما از سیستم های هک اتوماتیک رهایی یابد. پورتهای معروف عبارتند از:

– http:80 – ssl:443 – ssh:22

به هنگام تغییر پورتهای فوق باید از یک پورت 4 رقمی ناآشنا استفاده کنید.نکاتی در رابطه با امنیت در سیستم ویپ

 استفاده از NAT

NAT باعث می شود که سرور شما به صورت مستقیم به اینترنت متصل نشود  و سرور شما پشت NAT قرار گیرد اما باید مراقب ملاحظات پروتکل SIP نیز باشید.

 استفاده از Fail2Ban

Fail2Ban یک نرم افزار بوده و کاری که انجام می دهد بدین صورت است که از هک کاربر و رمز یک سیستم بواسطه تست صحیح و خطا  جلوگیری می کند و زمانی که متوجه شود که فری قصد پیدا کردن رمز عبور یک کاربر را دارد به وسیله IPTables ،آدرس آی پی شخص مورد نظر را مسدود می کند.این برنامه شامل برنامه الگوریتم خواندن لاگ های استریسک ۱۱ نیز می باشد.

عدم اجازه رجیستر کردن داخلی شما از روی هر آی پی آدرسی

هنگامی که در نرم افزارهایی مانند الستیکس، فری پی بی اکس یک داخلی می سازید  در قسمت مربوط به permit و deny قادر هستید تا اجازه دسترسی یک آی پی آدرس خاص و یا مسدود کردن محدوده ای از آی پی آدرسها را تعیین کنید. با انجام این کار تنها به آی پی های مشخص شده مجوز داده می شود تا به داخلی شما متصل شوند.

بنابراین در صورتی که رمز شما به سرقت رود دیگیر آی پی های غیر مجاز به داخلی شما رجیستر نخواهند شد . در زیر فرمت وارد کردن آی پی ها آمده است:

permit=<ipaddress>/<network mask>

deny=<ipaddress>/<network mask>
محافظت از Outbound های خود

Outbound ها خروجی های سیستم شما به سمت مخابرات وو یا یک سرویس دهنده اینترنت می باشند.این قسمت بسیار مهم بوده و بخش نگران کننده ای برای هک شدن می باشد. هکر نباید بتواند به مسیرهای رو به بیرون سیستم تلفنی شما دسترسی داشته باشد.

اما در سیستمهای استریسکی شما قادر هستید تا برای سخت تر کردن کار هکرها مواردی را در تعریف یک Outbound Route در نظر بگیرید:

مثلا:

۱٫ گذاشتن رمز برای Outbound Route های خود

۲٫ استفاده از Outbound Route  ها برای افراد محدودی بواسطه کاراکتر / در Dial Pattern نویسی

۳٫  فعال کردن Outbound Route ها برای یک بازه زمانی خاص بواسطه Time Group استریسک

 استفاده از رمز های عبور سخت

باید رمزهای عبور خود را سخت و قوی انتخاب کنید داشتن رمزهای ساده کار را برای هکرها راحت می کند بنابراین هنگام تعریف رمز خود از رمزهای قوی و سخت استفاده کنید.

سعی کنید رمز خود ترکیبی از عدد، حروف (کوچک و بزرگ)، نشانه  باشد و طول آن حداقل 12 کاراکتر باشد.می توانید از یک الگوی مشخص برای رمزگذاری استفاده کنید مثلا در صورتی که بخواهیدبرای داخلی استریسک خود رمز بگذارید می توانید از رمزهای زیر استفاده کنید:

داخلی ۱۱۰۱  رمز: GoRbEYeChAgH@!1101

داخلی ۱۱۰۲  رمز: GoRbEYeChAgH@!1102

داخلی ۱۱۰۳  رمز: GoRbEYeChAgH@!1103

 تعداد مکالمات همزمان امکان پذیر را کاهش دهید.

می توانید تعداد مکالمات همزمان را بر روی یک داخلی محدود کنید برای این کار کافی است عدد مورد نظر خود را روبروی Outbound Concurrency Limit وارد کنید.در قسمت مربوط به ترانک ها نیز می توانید تعدا مکالمات همزمان را مشخص کنید برای این کار باید در گزینه Maximum Channels تعداد مکالمات مد نظر خود را  قرار دهید

انجام کارهای فوق سبب می شود تا در صورت هک شدن ضرر کمتری کرده باشید.

لاگ های خود را همیشه بررسی کنید.

لاگهای مربوط به قسمت امنیت Security  را به صورت مداوم بررسی کنید. در صورتی که از لحاظ امنیتی به مشکل خوردید می توانید به لاگهایی که با تگ Security درج شده اند مراجعه کنید

برای بررسی لاگها باید مسیر /var/log/asterisk را طی کنید

اما باید توجه داشته باشید که قابلیت لاگ را فعال کنید برای این کار باید موارد زیر را طی کنید:

۱٫ فایل  /etc/asterisk/logger_logfiles_custom.conf  را جهت ویرایش باز کنید (می توانید از Winscp استفاده کنید)

۲٫ اضافه کردن خط زیر به فایل:

security => security

۳٫ حال شما در پوشه /var/log/asterisk یک فایل جدید  به نام security  دارید که به نگهداری از لاگهای امنیتی شما می پردازد.

 استفاده از فایروال

نکته مهمی است که همیشه یک فایروال را در جاوی سرور ویپ خود قرار دهید. داشتم یک فایروال خارج از سیستم باعث می شود تا امنیت شما تضمین شود. فایروال خارجی را باید برای ترافیک ویپ، حملات ویپ و نکات مهم در این تکنولوژی تنظیم کنید بنابراین به یک متخصص برای انجام کار فوق نیاز دارید. شرکت تیلاتل با داشتن متخصصین مجرب در زمینه ویپ و امنیت شبکه آماده خدمت رسانی به شما خواهد بود.

 امن کردن مکالمه با TLS/SRTP

تمامی 10 مورد گفته شده در بالا از نفوذ به سیستم و دزدیدن ترافیک شما جلوگیری می کند امامکالمات شما همچنان قابل شنود می باشد شما می توانید با استفاده از  TLS پیام های کنترلی را رمز گزاری  کنید همچنین با استفاده از SRTP به رمزگذاری پیام های صوتی بپردازید.

راه اندازی TLS  سخت می باشد اما راه اندازی SRTP  آسان بوده زیرا برای راه اندازی آن تنها باید وارد تنظیمات شوید و گزینه Encryptionرا برابر با YES قرار دهید.

برای پشتیانی شبکه و پشتیبانی voip با شرکت تیلاتل در تماس باشید.