Trước khi đi vào chi tiết về những công nghệ khác nhau để bảo vệ cho mạng VoIP. Bạn cần phải hiểu những vấn đề và tập hợp những nhu cầu mà bạn đã được thấy. Phần này sẽ phác thảo những nhu cầu bảo mật tiêu biểu.Không phải là một danh sách toàn diện.
Những dịch vụ VoIP đặc biệt có thể cần những nhu cầu phụ:
– Tính toàn vẹn: Người nhận nên nhận những gói dữ liệu của người khởi tạo gửi với nội dung không có sự thay đổi. Một bên thứ ba cần phải không có khả năng chỉnh sửa gói trong quá trình vận chuyển. Định nghĩa này được áp dụng một cách chính xác trong trường hợp của tín hiệu VoIP. Tuy nhiên, trong trường hợp của phương tiện truyền thông, sự mất mát gói thông thường có thể tha thứ được.
– Tính bí mật: Một hãng thứ ba không nên có khả năng để đọc dữ liệu mà được dự định cho người nhận.
– Tính xác thực: Bên gửi và bên nhận tín hiệu VoIP hay thông điệp truyền thông nên chắc chắn rằng chúng đang liên lạc ngang hàng nhau.
– Tính sẵn sàng: Sự bảo vệ từ việc tấn công DoS(từ chối dịch vụ) đối với thiết bị VoIP nên sẵn có đối với những người sử dụng liên tục. Những người sử dụng/những thiết bị có ác tâm hoặc có cư xử không đúng đắn không được cấp quyền để phá vỡ dịch vụ. Để làm dịu các cuộc tấn công DoS đòi hỏi cách xử lý lây nhiễm để bảo vệ tài nguyên VoIP và bảo vệ mạng IP bên dưới.
1. Bảo vệ các thiết bị Voice.
– Để có được tính sẵn sàng của thiết bị VoIP, bạn cần phải bảo vệ những thiết bị mà lưu lượng âm thanh nguồn hay thiết bị đầu cuối của thiết bị đó phải có khả năng chống lại các cuộc tấn công, như được mô tả chi tiết ở phần dưới đây:
– Vô hiệu hóa những cổng và những dịch vụ không thường sử dụng
– Điển hình là những cổng hoặc những dịch vụ không thường sử dụng mà được mở trên các thiết bị thoại, làm cho chúng có thể công kích được tới sự khai thác của hacker. Luyện tập được khuyến cáo là vô hiệu hóa những cổng hoặc thiết bị của VoIP hay là thiết bị hạ tầng IP (ví dụ như là bộ switch, routers,…) sau đây là một vài điều mà bạn nên làm:
– Vô hiệu hóa Telnet, TFTP, và những thiết bị tương tự nếu chúng không được sử dụng.
– Nếu bạn chỉ đang sử dụng quản lý mạng đơn giản (SNMP) trên một thiết bị để thu nhặt dữ liệu, thì nên đặt SNMP ở chế độ chỉ đọc(read-only)
– Nếu bạn đang sử dụng sự quản trị trên nền mạng, thì luôn luôn sử dụng sự truy nhập an toàn với những giao thức như SSL.
– Vô hiệu hóa bất kỳ cổng nào không thường sử dụng trên Layer 2 switches.
– Sử dụng hệ thống bảo vệ sự xâm nhập dựa vào Host (HIPS):
– Bạn có thể sử dụng HIPS để bảo mật cho những thiết bị thoại như là những nhân tố xử lý cuộc gọi. HIPS là phần mềm điển hình mà tập hợp thông tin về những cách dùng đa dạng rộng rãi của tài nguyên thiết bị như CPU, login attemp, số lượng ngắt, vân vân. Thông tin này được so sánh chống lại một tập hợp những quy tắc để xác định phải chăng một sự xâm phạm bảo mật đã xảy ra. Bằng việc phụ thuộc vào cách định hình những tham số, những hệ thống này có thể lấy những hoạt động phòng ngừa ví dụ như là kết thúc ứng dụng offending, nhịp độ- dữ liệu giới hạn từ những người sử dụng/ địa chỉ IP, vân vân.
2. Kế hoạch và chính sách bảo mật.
– Trong khi bàn luận chương này, những tiến trình bảo mật khác nhau tồn tại, như là làm ra những công nghệ đếm những tiến trình đó. Dưới dạng thực tế, bạn không thể có khả năng triển khai những công nghệ bảo mật để đếm mỗi tiến trình. Bạn cần đánh giá những nguy cơ bảo mật mà đặc biệt đối với mạng của các bạn và gửi những nguy cơ ưu tiên- cao nhất đầu tiên.
– Bạn cần thiết kế và lấy tài liệu một kế hoạch hoạt động, phác thảo những ứng dụng, những thiết bị và những nguy cơ bảo mật trong mệnh lệnh quyền ưu tiên. Tài liệu này cần phải hướng dẫn những công nghệ mà được triển khai và ưu tiên cho sự thi hành trong tương lai. Kế hoạch hoạt động này cũng cần phải bao gồm một kế hoạch đáp lại biến cố phác thảo những bước ban đầu đặc biệt để lấy ra trong trường hợp của một sự xâm phạm bảo mật. Kế hoạch cần phải lấy tài liệu những chính sách bên trong như những chính sách mật khẩu, sự điều khiển truy nhập và theo dõi những chiến lược và đang được truyền thông tới những khóa mà sẽ là sự thi hành, bắt buộc, hoặc giải quyết những vấn đề bảo mật này.
– Mục sau liệt kê một vài sự xem xét mà bạn cần để tính đến trong việc công thức hóa một kế hoạch như vậy:
– Sự tin tưởng bắc cầu là sự tin tưởng mà được truyền xuyên qua phe khác. Chẳng hạn, trong một hệ thống VoIP với nhiều phần tử server, một client có thể xác nhận với một trong những phần tử server. Những phần tử server khác không cần xác nhận client lần nữa.
– Mô hình tin tưởng này là bình thường trong nhiều hệ thống phân tán. Khi bạn sử dụng mô hình này, những phần tử server phải sắp những chính sách bảo mật của họ để đề phòng những mối liên kết yếu mà một thiết bị hiểm độc có thể lợi dụng.
– Những vấn đề chuyên biệt về Nghi thức VoIP
– Sự lựa chọn của những dịch vụ và công nghệ VoIP đặc biệt mà được triển khai cần một vai trò quan trọng trong kế hoạch bảo mật. Chẳng hạn, softphones chạy trên PC làm phức tạp sự phân đoạn data-voice.
Complexity Tradeo
Leave A Comment?