سیستم تلفنی ویپ همانند هر سیستم تلفنی دیگر ممکن است هک شود بنابراین سرورهای این سیستم مانند هر سرور دیگری نیاز به ایمن شدن دارد . اما علاقه هکرها به این سیستم ها بیشتر می باشد زیرا این سیستم ها دارای ارزش بسیار بالای ترافیک تلفنی بین الملل می باشند.نکاتی در رابطه با امنیت در سیستم ویپ
هک کردن سیستم تلفن معمولا توسط رباتها صورت می گیرد.بنابراین باید دقت کنید که سیستم خود را به اینترنت بدون ایمن متصل نکنید چرا که در صورت وصل شدن به اینترنت بدون ایمن قطعا هک خواهید شد.
زمانی که سیستم تلفنی شما هک شود این شما هستید که زیان مالی خواهید دید .علاوه بر این زیان ممکن است به واسطه مکالماتی که با سیستم تلفنی خود داشته اید درگیر موارد امنیتی و پلیسی نیز شوید. بنابراین نصب و راه اندازی سیستم تلفن خود را به افراد غیر حرفه ای واگذار نکنید.نکاتی در رابطه با امنیت در سیستم ویپ
در این مقاله قصد داریم شما را با نکاتی آشنا کنیم که با رعایت این نکات شما می توانید سرور تلفن خود را ایمن سازید با ما همراه شوید:
استفاده از IPTables لینوکس
IPTablesدر واقع اسم فایروال موجود در سیستم عامل لینوکس می باشد و در صورتی که از ایزو استریسکی استفاده می کنید قطعا سیستم عامل مورد استفاده شما لینوکس خواهد بود.کاری که این فایروال انجام می دهد این است که پورتهای شبکه را برای تمامی آدرس IP های خارجی می بندد و یا تنها به یک IP خاص اجازه دسترسی می دهد. در صورتی که از الستیکس استفاده می کنید بنابراین منوی security همان IPTables در سیستم عامل لینوکس می باشد بنابراین کار شما برای تغییر rule ها آسان می باشد. در صورتی که از ایزو های دیگر استفاده می کنید باید نرم افزار webmin را نصب کنید.
پورتهای مورد نیاز برای سیستم شما که نباید به هیچ عنوان از کار بیفتند عبارتند از:
الزامی
– پروتکل SIP: پورت ۵۰۶۰ بر روی tcp و udp- پروتکل RTP: پورت ۱۰۰۰۰ تا ۲۰۰۰۰ بر روی udp – پروتکل IAX2: پورت ۴۵۶۹ بر روی udp
اختیاری:
– دسترسی محیط وب: پورت ۴۴۳ بر روی tcp – دسترسی SSH: پورت ۲۲ بر روی tcp
تغییر پورتهای شبکه رایج
یکی دیگر از روشهای ایمن کردن سیستم تلفن تغییر پورتهای برنامه های معروف می باشد زیرا این کار سبب می شود تا سیستم تلفن شما از سیستم های هک اتوماتیک رهایی یابد. پورتهای معروف عبارتند از:
– http:80 – ssl:443 – ssh:22
به هنگام تغییر پورتهای فوق باید از یک پورت 4 رقمی ناآشنا استفاده کنید.نکاتی در رابطه با امنیت در سیستم ویپ
استفاده از NAT
NAT باعث می شود که سرور شما به صورت مستقیم به اینترنت متصل نشود و سرور شما پشت NAT قرار گیرد اما باید مراقب ملاحظات پروتکل SIP نیز باشید.
استفاده از Fail2Ban
Fail2Ban یک نرم افزار بوده و کاری که انجام می دهد بدین صورت است که از هک کاربر و رمز یک سیستم بواسطه تست صحیح و خطا جلوگیری می کند و زمانی که متوجه شود که فری قصد پیدا کردن رمز عبور یک کاربر را دارد به وسیله IPTables ،آدرس آی پی شخص مورد نظر را مسدود می کند.این برنامه شامل برنامه الگوریتم خواندن لاگ های استریسک ۱۱ نیز می باشد.
عدم اجازه رجیستر کردن داخلی شما از روی هر آی پی آدرسی
هنگامی که در نرم افزارهایی مانند الستیکس، فری پی بی اکس یک داخلی می سازید در قسمت مربوط به permit و deny قادر هستید تا اجازه دسترسی یک آی پی آدرس خاص و یا مسدود کردن محدوده ای از آی پی آدرسها را تعیین کنید. با انجام این کار تنها به آی پی های مشخص شده مجوز داده می شود تا به داخلی شما متصل شوند.
بنابراین در صورتی که رمز شما به سرقت رود دیگیر آی پی های غیر مجاز به داخلی شما رجیستر نخواهند شد . در زیر فرمت وارد کردن آی پی ها آمده است:
permit=<ipaddress>/<network mask>
deny=<ipaddress>/<network mask>
محافظت از Outbound های خود
Outbound ها خروجی های سیستم شما به سمت مخابرات وو یا یک سرویس دهنده اینترنت می باشند.این قسمت بسیار مهم بوده و بخش نگران کننده ای برای هک شدن می باشد. هکر نباید بتواند به مسیرهای رو به بیرون سیستم تلفنی شما دسترسی داشته باشد.
اما در سیستمهای استریسکی شما قادر هستید تا برای سخت تر کردن کار هکرها مواردی را در تعریف یک Outbound Route در نظر بگیرید:
مثلا:
۱٫ گذاشتن رمز برای Outbound Route های خود
۲٫ استفاده از Outbound Route ها برای افراد محدودی بواسطه کاراکتر / در Dial Pattern نویسی
۳٫ فعال کردن Outbound Route ها برای یک بازه زمانی خاص بواسطه Time Group استریسک
استفاده از رمز های عبور سخت
باید رمزهای عبور خود را سخت و قوی انتخاب کنید داشتن رمزهای ساده کار را برای هکرها راحت می کند بنابراین هنگام تعریف رمز خود از رمزهای قوی و سخت استفاده کنید.
سعی کنید رمز خود ترکیبی از عدد، حروف (کوچک و بزرگ)، نشانه باشد و طول آن حداقل 12 کاراکتر باشد.می توانید از یک الگوی مشخص برای رمزگذاری استفاده کنید مثلا در صورتی که بخواهیدبرای داخلی استریسک خود رمز بگذارید می توانید از رمزهای زیر استفاده کنید:
داخلی ۱۱۰۱ رمز: GoRbEYeChAgH@!1101
داخلی ۱۱۰۲ رمز: GoRbEYeChAgH@!1102
داخلی ۱۱۰۳ رمز: GoRbEYeChAgH@!1103
تعداد مکالمات همزمان امکان پذیر را کاهش دهید.
می توانید تعداد مکالمات همزمان را بر روی یک داخلی محدود کنید برای این کار کافی است عدد مورد نظر خود را روبروی Outbound Concurrency Limit وارد کنید.در قسمت مربوط به ترانک ها نیز می توانید تعدا مکالمات همزمان را مشخص کنید برای این کار باید در گزینه Maximum Channels تعداد مکالمات مد نظر خود را قرار دهید
انجام کارهای فوق سبب می شود تا در صورت هک شدن ضرر کمتری کرده باشید.
لاگ های خود را همیشه بررسی کنید.
لاگهای مربوط به قسمت امنیت Security را به صورت مداوم بررسی کنید. در صورتی که از لحاظ امنیتی به مشکل خوردید می توانید به لاگهایی که با تگ Security درج شده اند مراجعه کنید
برای بررسی لاگها باید مسیر /var/log/asterisk را طی کنید
اما باید توجه داشته باشید که قابلیت لاگ را فعال کنید برای این کار باید موارد زیر را طی کنید:
۱٫ فایل /etc/asterisk/logger_logfiles_custom.conf را جهت ویرایش باز کنید (می توانید از Winscp استفاده کنید)
۲٫ اضافه کردن خط زیر به فایل:
security => security
۳٫ حال شما در پوشه /var/log/asterisk یک فایل جدید به نام security دارید که به نگهداری از لاگهای امنیتی شما می پردازد.
استفاده از فایروال
نکته مهمی است که همیشه یک فایروال را در جاوی سرور ویپ خود قرار دهید. داشتم یک فایروال خارج از سیستم باعث می شود تا امنیت شما تضمین شود. فایروال خارجی را باید برای ترافیک ویپ، حملات ویپ و نکات مهم در این تکنولوژی تنظیم کنید بنابراین به یک متخصص برای انجام کار فوق نیاز دارید. شرکت تیلاتل با داشتن متخصصین مجرب در زمینه ویپ و امنیت شبکه آماده خدمت رسانی به شما خواهد بود.
امن کردن مکالمه با TLS/SRTP
تمامی 10 مورد گفته شده در بالا از نفوذ به سیستم و دزدیدن ترافیک شما جلوگیری می کند امامکالمات شما همچنان قابل شنود می باشد شما می توانید با استفاده از TLS پیام های کنترلی را رمز گزاری کنید همچنین با استفاده از SRTP به رمزگذاری پیام های صوتی بپردازید.
راه اندازی TLS سخت می باشد اما راه اندازی SRTP آسان بوده زیرا برای راه اندازی آن تنها باید وارد تنظیمات شوید و گزینه Encryptionرا برابر با YES قرار دهید.
برای پشتیانی شبکه و پشتیبانی voip با شرکت تیلاتل در تماس باشید.