Có hàng nghìn công ty trên khắp thế giới sử dụng VoIP làm công cụ giao tiếp chính. Có thể tích hợp điện thoại và hệ thống xử lý dữ liệu, thông qua đó các ứng dụng được kết hợp, mở rộng hoặc tạo mới các chức năng. Bài viết của vpbx.vn sẽ cung cấp cách bảo mật tổng đài VoIP mà doanh nghiệp cần lưu tâm.
Tổng quan về việc bảo mật của hệ thống VOIP
VoIP là công nghệ kỹ thuật số với nền tảng là giao thức IP, nó không tránh khỏi có các lổ hổng trong môi trường mạng. Hệ quả của vấn đề hội tụ này là các mạng chính có thể bị tấn công. Vì vậy việc đảm bảo kiến trúc cho toàn thể mạng VoIP đòi hỏi các kỹ sư quản trị mạng phải có kế hoạch, có kiến thức chi tiết và phải biết phân tích các tình huống trong từng trường hợp cụ thể.
Nhiều doanh nghiệp sử dụng VoIP nhưng lại chưa quan tâm đến vấn đề an ninh, không có sự phòng bị và tài liệu về bảo mật gây ra thiệt hại về kinh tế không nhỏ khi bị tấn công.Bài viết này sẽ có cái nhìn tổng thể để người quản trị có thể cân nhắc, tính toán áp dụng phù hợp cách bảo mật tổng đài VoIP của doanh nghiệp mình.
Trạng thái bảo mật hiện tại của hệ thống VoIP
Các mối đe dọa đối với hệ thống rất đa dạng như là SQL injection trong các ứng dụng Web, tấn công từ chối dịch vụ (DoS) với RDP hay HTTP, trộm cắp các Session, bẻ khóa mật khẩu của SSH…Chúng ta không chỉ quan tâm tới các kiểu tấn công truy cập trái phép vào Database. Với VoIP, kẻ tấn công có thể thực hiện những cuộc gọi gây tổn thất hàng trăm triệu cho doanh nghiệp.
Khi chỉ nói riêng đến VoIP thì có rất nhiều mối đe dọa đến giao thức SIP vì đây là giao thức được sử dụng rất rộng rãi.
Một vài ví dụ về các cuộc tấn công phổ biến vào hệ thống VoIP
Nghe lén
Đây là công nghệ bắt gói tin. Việc này đề cập đến một kiểu tấn công là MITM. Khi kẻ tấn công thực hiện thành công, nó có thể bắt được các thông tin liên lạc.Kiểu tấn công cơ bản được biết đến như là đầu độc ARP. Khi đó Attacker sẽ gửi những gói tin giả mạo ARP để kết hợp địa chỉ MAC của Attacker với IP mục tiêu tấn công như Route hay PBX.
Khi thành công, Attacker không chỉ nắm bắt được các cuộc hội thoại mà còn bất kỳ thông tin không được mã hóa nào khác đi qua.
Tấn công từ chối dịch vụ trong VoIP
Tấn công DoS ngăn chặn không cho tiếp cận dịch vụ. Đây là loại tấn công trực tiếp và chủ động.Tấn công DoS có thể ảnh hưởng đến tất cả các dịch vụ trong mạng IP. Hậu quả của tấn công DoS có thể làm giảm chất lượng dịch vụ hoặc nặng hơn có thể làm mất dịch vụ. Ta có các loại tấn công như sau:
DDoS (Distributed denial-of-service): Đây là kiểu tấn công mà các gói tin làm tràn ngập mạng đích từ nhiều nguồn khác nhau bên ngoài
DoS (Denial of Service): Điều kiện tấn công DoS xảy ra khi thiết bị ở trong mạng nội bộ, làm tràn ngập các gói tin dẫn đến mất liên lạc giữa các thiết bị mạng.Tấn công DoS rất khó chống bởi vì VoIP cũng chỉ là một trong những dịch vụ trên mạng IP, nó cũng dễ bị tấn công như các dịch vụ khác.
Tấn công cưỡng bức (brute force)
Kiểu tấn công brute force là Attacker sử dụng từ điển thử tất cả các chuỗi để dò mật khẩu. Mức độ thành công, thời gian nhanh chậm phụ thuộc vào độ dài và độ phức tạp của mật khẩu.
Cuộc gọi Spam
Đây không phải là lỗ hổng mà người dùng có thể gặp phải các cuộc gọi bán hàng, quãng cáo… như đối với email mà chúng ta đã từng biết.
Cuộc gọi lừa đảo
Đó là khả năng sửa đổi các Caller ID để mạo danh cá nhân hay công ty nào đó như ngân hàng.
Đưa ra các kế hoạch và chính sách bảo mật.
Dưới dạng thực tế, bạn không thể có khả năng triển khai những công nghệ bảo mật để đếm mỗi tiến trình. Bạn cần đánh giá những nguy cơ bảo mật mà đặc biệt đối với mạng của các bạn và gửi những nguy cơ ưu tiên- cao nhất đầu tiên.
Bạn cần thiết kế và lấy tài liệu một kế hoạch hoạt động, phác thảo những ứng dụng, những thiết bị và những nguy cơ bảo mật trong mệnh lệnh quyền ưu tiên. Tài liệu này cần phải hướng dẫn những công nghệ mà được triển khai và ưu tiên cho sự thi hành trong tương lai. Kế hoạch hoạt động này cũng cần phải bao gồm một kế hoạch đáp lại biến cố phác thảo những bước ban đầu đặc biệt để lấy ra trong trường hợp của một sự xâm phạm bảo mật. Kế hoạch cần phải lấy tài liệu những chính sách bên trong như những chính sách mật khẩu, sự điều khiển truy nhập và theo dõi những chiến lược và đang được truyền thông tới những khóa mà sẽ là sự thi hành, bắt buộc, hoặc giải quyết những vấn đề bảo mật này.
Mục sau liệt kê một vài sự xem xét mà bạn cần để tính đến trong việc công thức hóa một kế hoạch như vậy:
– Sự tin tưởng bắc cầu là sự tin tưởng mà được truyền xuyên qua phe khác. Chẳng hạn, trong một hệ thống VoIP với nhiều phần tử server, một client có thể xác nhận với một trong những phần tử server. Những phần tử server khác không cần xác nhận client lần nữa.
– Mô hình tin tưởng này là bình thường trong nhiều hệ thống phân tán. Khi bạn sử dụng mô hình này, những phần tử server phải sắp những chính sách bảo mật của họ để đề phòng những mối liên kết yếu mà một thiết bị hiểm độc có thể lợi dụng.
– Những vấn đề chuyên biệt về Nghi thức VoIP
Sự lựa chọn của những dịch vụ và công nghệ VoIP đặc biệt mà được triển khai cần một vai trò quan trọng trong kế hoạch bảo mật. Chẳng hạn, softphones chạy trên PC làm phức tạp sự phân đoạn data-voice.
Complexity Tradeoffs
Bạn cũng cần xem xét sự phức tạp và tỷ lệ risk-reward của việc thực hiện một công nghệ nhất định. Chẳng hạn, kỹ thuật mật mã chìa khóa- công cộng bao gồm một sự đau đầu ban đầu với việc triển khai cơ sở hạ tầng như những căn cứ chứng thực(CAs), những chứng thực, vân vân. Thêm vào đó, một cơ sở hạ tầng khóa công cộng cơ sở hạ tầng (PKI) yêu cầu chỉ sự bảo trì hằng ngày tối thiểu.
NAT/Firewall Traversal
– Firewalls là một giao thức báo hiệu VoIP ý thức điển hình làm việc bằng sự thanh tra nội dung của việc báo hiệu những thông điệp. Dựa vào nội dung của những thông điệp báo hiệu này, chúng mở ra pinholes cho phương tiện truyền thông thoại để kiểm tra. Firewalls ứng dụng thoại này thì đôi khi được tham chiếu tới như là cổng vào tầng ứng dụng (ALG).
– Khả năng của firewalls là để bẽ gãy VoIP-signaling-protocol aware nếu việc báo hiệu những thông điệp được mã hóa, vì firewalls trung gian không thể khảo sát nội dung của việc báo hiệu những thông điệp, nên phương tiện truyền thông có thể bị tắc nghẽn.
– Bởi vậy, một lời khuyên là nên sử dụng một vùng địa chỉ riêng tư mà chỉ đặc biệt dành riêng cho VoIP thay vì bằng cách sử dụng sự chuyển đổi địa chỉ mạng (NAT) bên trong vùng địa chỉ VoIP.
Mật khẩu và sự điều khiển truy cập
– Đa số những thiết bị đều có những mật khẩu mặc định mà dễ dàng đoán được. Đối với mọi mật khẩu, bạn cần phải cầm lấy sự đề phòng của việc thay đổi chúng và giữ chúng bí mật. Chẳng hạn, trong một môi trường VoIP, bạn cần phải giữ bảo mật sự quản trị và SNMP server.
– Vì vậy, những thiết bị có thể cho phép thiết lập lại mật khẩu nếu những người sử dụng có những truy nhập vật lý tới thiết bị đó (sự khôi phục mật khẩu power-on trên thiết bị IOS). Quản lý từ xa những thiết bị cũng là bình thường. Quan trọng là hạn chế những truy nhập tới thiết bị và dùng một hệ thống quản lý out-of-band.
Tóm tắt
– Sự an toàn là một sự xem xét quan trọng trong việc thiết kế và thực hiện dịch vụ VoIP. Bởi vì chính bản thân tự nhiên của nó gần như vây quanh mỗi khía cạnh của một mạng từ thiết bị lớp 2 tới firewalls và căn cứ chứng thực.
– Một phạm vi rộng của những công nghệ bảo mật muốn tồn tại thì cần phải đánh giá những nguy cơ bảo mật và triển khai những công nghệ thích hợp để bảo vệ dịch vụ VoIP.
VPBX là nhà cung cấp một giải pháp tổng đài ảo – Giải pháp tối ưu hóa công nghệ và chi phí để giải quyết các yêu cầu tổng đài của doanh nghiệp ở mọi quy mô.
VPBX cam kết hỗ trợ quý doanh nghiệp lắp đặt và bảo trì 24/7 .
Liên hệ ngay 1900400088 để được tư vấn chi tiết về giải pháp tổng đài phù hợp với doanh nghiệp
