امنیت (Security)

نکات امنیتی شبکه، ویپ و سیستم های ارتباطی

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال

 

در گذشته به سختی می­توانستیم یک موضوع را به صورت عمومی دربیاوریم و به آسانی میتوانستیم آنرا به حالت شخصی و خصوصی نگه داریم. در حال حاضر به سختی می­توانیم یک موضوع را شخصی و خصوصی نگه داریم و به آسانی می­توان آن را عمومی کرد. (کلی شیرکی (Clay Shirky)- دانشیار دانشگاه نیویورک)

زمانی که شما یک سیستم VoIP راه اندازی می کنید و می­خواهید آن را از آسیب­های احتمالی دور نگه دارید، در اصل می­خواهید مطمئن شوید که ترافیک اطلاعات مربوط به سیستم ویپ شما کاملا امن منتقل می شود و تخریب های احتمالی بر روی سیستم شما تاثیر ندارد، اما در اینجا مسئله­ ای بوجود می­ آید و آن این است که ساختن یک سیستم VoIP معمولی یک مسئله است و ساختن یک سیستم VoIP ایمن  مسئله­ای کاملا متفاوت است.

در این مقاله می­خواهیم به راهکارهای ساختن یک سیستم ایمن VoIP بپردازیم:

سیستم VoIP چیست؟

VoIP (Voice over Internet Protocol) یک شبکه­ ای از اصول و تکنولوژی­ها است. یک سیستم VoIP بطور معمول به شما اجازه برقراری ارتباطات چند رسانه ­ای و انجام تماس­ های صوتی بر روی شبکه­ های پهن باند را می­دهد.

شرکت­هایی که سرویس VoIP را ارائه می­دهند متنوع هستند. بعضی از آن­ها فقط اجازه برقراری ارتباط بین کاربران را از طریق سیستم خود می ­دهند، در حالی که بعضی دیگر از این شرکت­ها اجازه شماره­گیری هر شماره­ای در هر کجا را به شما می­ دهند. برخی از سیستم­های VoIP فقط با گوشی سیار، برخی دیگر با تلفن­های VoIP کار می­ کنند و برخی سیستم­های هیبریدی خود را با سیستم­های تلفن آنالوک نیز هماهنگ و ارتباط برقرار می­ کنند.

چگونه یک سیستم ایمن ایجاد بکنیم؟

متخصصین IT چندین راه را برای ساختن سیستم VoIP مختص به خودتان پیشنهاد می­کنند.

راه­اندازی و ساخت سیستم را با هدف مشخص و خودتان انجام دهید تا اطمینان حاصل کنید که تمام موارد نرم­افزاری و سخت افزاری و سرویس­ها از دسترس هکرها و کلاهبرداران خارج و سیستم ایمن باشد.در عین حال باید کاری کرد که ارتباطات مهم مانند ترافیک اطلاعات کاری، سرویس­های اورژانسی مثل 110 و 115 و 125 و ... بتوانند آزادانه از سیستم خارج و به آن داخل شوند.

برای ساختن یک سیستم ایمن معیارهای امنیتی زیر را در تمامی سیستم­های VoIP جدید پیاده­سازی کنید:

  • امنیت قبل و در هنگام راه­اندازی
  • راه­اندازی سرور مناسب و ارتباط شبکه­ای خوب

در این­جا هدف این است که یک سیستم ارتباطی داخلی ایمن بوجود بیاید که تماس­های صوتی و تصویری، سرویس­های متنی و چت، لیست­های تلفن و سرویس­های اشتراکی از راه دور مانند Desktop Sharing را رمزنگاری کند تا از نفوذ هکرهای احتمالی جلوگیری کند.

یک شرکت فرآهم کننده SIP (SIP Provider) مناسب و مطمئن را انتخاب کنید تا بتوانید یک بستر مناسب و نقاط ابتدایی و انتهایی مطمئنی برای ارسال و دریافت پیام­ها ایجاد کنید. اگر از یک سیستم پیشرفتهVoIP استفاده می­کنید باید از آدرس IP استاتیک (Static IP Address) برای پیاده­سازی این مسئله استفاده کرد.

اگر برای بار اول است که با سیستم VoIP کار می­کنید، به شما توصیه می­شود که از بکارگیری Amazon EC2 خودداری کنید. زیرا این سیستم از NAT برای ارسال و دریافت اطلاعات استفاده می­کند که خوب می­دانیم NAT با سیستم VoIP سازگاری مناسبی ندارد. برای راه­اندازی Amazon EC2 به یک متخصص دوره دیده و کارکشته نیاز است تا به مشکلات و سختی های احتمالی برنخوریم.

  • یک سیستم سرور (Server) و کلاینتی (Client) راه­اندازی کنید

همانند سیستم­های ارتباطی دیگر مانند Skype، شما باید نرم­افزار کلاینتی خود را راه­اندازی کنید تا بتوانید اطمینان حاصل کنید که این نرم­افزار با سرور شما کار می­کند. بعد از آن باید سرور مخصوص خود، کاربران و دامنه­های مختص خود را راه­اندازی کنید.

  • تامین امنیت تجهیزات

زمانی که مراحل قبل را بطور کامل انجام دادید، نوبیت آن است که اطمینان حاصل کنید که نرم­افزارها و سخت­افزارهای روترها و سوئیچ­ها کاملا بوسیله فایروال­ها و Gateway­ها امن شده­اند. چه سیستم شما بر پایه سخت­افزاری باشد و چه نرم­افزاری، این کار باید انجام شود. چگونگی انجتم این کار وابسته به نوع زیرساخت شما دارد. برای مثال برای راه­اندازی گیت وی MGCP باید از دستورالعمل Megaco/H.248 پیروی کرد.

 

فایروال­ها و VLAN­ها

با فایروال­ها، صدا و دیتای VLAN­ها را از هم جدا کنیم:

  • هر ترانک از شبکه باید شماره VLAN مخصوص به خود را داشته باشد

این مورد سطح امنیت را بالا خواهد برد. VLAN شماره 1  را غیرفعال کنید. این VLAN به صورت پیش فرض فعال است و مستعد سوء استفاده از طرف هکرها و ویروس­ ها می ­باشد.

  • راه ­اندازی ACL­ها (Access Control Lists)
  • پورت VLAN­هایی که مورد استفاده قرار نمی­گیرند را غیرفعال کنید.

بطور معمول تمام پورت­های موجود در شبکه در یک زمان مورد استفاده قرار نمی­ گیرند و باید آن­هایی که مورد استفاده قرار نمی­گیرند را از درون شبکه خارج کرد و اطمینان حاصل کرد که حتما غیرفعال شده اند.

تمام این کارها مربوط به امنیت سیستم بعد از راه­اندازی آن است.

  • وجود سیستم تایید هویت برای کاربران

درون سیستم VoIP خود SRTP (Secure Real-Time Protocol) را راه ­اندازی کنید. از هر ابزاری که در دسترس دارید برای چک کردن کاربران سیستم در هنگام ورود به سیستم استفاده و مجوزهای تایید هویت را با استفاده از نام کاربری و کلمه عبور منحصر به فرد برای چک کردن هر خط تلفن راه ­اندازی کنید.

  • سیستم را از لحاظ سخت­ افزاری ایمن نگه دارید

به همان میزانی که لازم است فایروال گذاشته شود و امنیت سیستم تامین شود تا هکرها نتوانند نفوذ کنند، تامین امنیت فیزیکی سیستم نیز بسیار مهم است. دسترسی­ها به دفتر و اتاقی که تجهیزات در آن قرار گرفته­اند را به دقت بررسی و مشخص کنید.

 

نتایج

بوجود آوردن سیستم VoIP مختص به خودتان یک کار زمان بر و مهم است و باید به درستی انجام شود.

با توجه به موارد گفته شده در بالا، برای شما امکان پدیر است که یک سیستم VoIP مخصوص به خود را راه­اندازی کنید که بتواند از ارتباطات شما محافظت کند و در عین حال این ارتباطات به راحتی بتوانند برقرار و در رفت و آمد باشد.

 

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال

 

در مبحث iptables شما با مفاهیم کلی و دستورات و کامند های آن و جدول های مختلف و همچنین زیر شاخه های آن آشنا می شوید.

IPTables فایروال پیش فرض سیستم لینوکس می باشد، از قدرت بالایی بهره برداری میکند که پایداری بسیاری دارد که قبل از آن به اسم IPchange بود. با قدرتمند کردن و اضافه کردن بعضی از دستورات به IPTables تبدیل شد.

طریقه کار iptables

وقتی به لینوکس ما کانکشنی برقرار شد یا اینکه کانکشن خروجی دیگری از سیستم عامل لینوکس به محیط بیرون بخواهد برقرار شود این کانکشن با لیست دستورات iptables بررسی شده و با توجه به پالیسی نوشته شده در فایروال اجازه ورود یا خروج پاکت راخواهد داد و همچنین لازم به ذکر است کلی دستورات به صورت خطی بررسی شده اگر کانکشن با یکی از آنها مطابقت داشت آن دستور در مورد آن کانکشن برقرار خواهد شد اگر به هیچ کدام از دستورات نوشته شده مطابقت نداشت از دستورات پیشفرض نوشته شده در iptable طبعیت خواهد کرد

Iptables tables and chains

هسته لینوکس با استفاده از امکانات Netfilter به فیلتر کردن بسته، می پردازد و اجازه میدهد بعضی از بسته ها با استفاده از پسورد وارد شود و دیگر بسته اجازه وارد شدن نداشته باشند
که هسته آن از لینوکس درست شده که در آن پنج جدول از پیش طراحی شده که شامل:

Filter: این جدول به طور پیش فرض برای مدیریت بسته های شبکه است

NAT: برای تغییر بسته برای یک اتصال جدید کاربرد دارد مثلا تبدیل ای پی اینترنت به ای پی شبکه داخلی و برعکس مورد استفاده قرار میگیرد

Mangle: برای تغییر و مارک دار کردن انواع خاصی از بسته با توجه به پالیسی نوشته شده به کار میرود

Raw: عمدتا برای پیکربندی معافیت در طول ردیابی اتصال در ترکیب با هدف NOTRACK است

Security: برای کنترل دسترسی اجباری قوانین شبکه مورد استفاده قرار میگیرد

Filter table جدول های فیلتر شامل

Input chain کلیه بسته های ورودی به سیستم عامل

Output chain کلیه بسته های خروجی از سیستم عامل

Forward chain کلیه بسته هایی که از طریق این سیستم عامل بخواهد فوروارد شود

NAT table جدول نت

Pre-routing بسته های شبکه را زمانی که آنها می رسند تغییر می دهد و مغمولا برای برای destination network مورد استفاده قرار میگیرد

Output تغییر میدهد بسته های تولید شده در شبکه داخلی قبل از اینکه خارج شود

Post-routing تغییر می دهد بسته ها را قبل از اینکه از شبکه خارج شوند

Mangle table جدول های منگل

Input بسته های شبکه را برای میزبان تغییر می دهد (مارک دار می کند)

Output بسته های تولید شده از شبکه را قبل از فرستادن تغییر می دهد (مارک دار می کند)

Forward تغییر میدهد (مارک دار می کند) پاکت های شبکه که می خواهد روت شود به نقطه دیگر

Pre-routing تغییر میدهد (مارک دار می کند) پاکت های شبکه را قبل از اینکه روت شوند

Post-routing تغییر میدهد (مارک دار می کند) پاکت های شبکه را بعد از اینکه روت شوند

Raw table جدول های raw

Output اجرا پاکت های که در شبکه داخلی تولید شده اند قبل از اینکه خارج شوند

Pre-routing اجرای بسته های ورودی قبل از اینکه خارج شوند

Security table جدول های Security

Input اجرا روی پاکت های که به شبکه وارد می شوند

Output اجرا روی پاکت های که از شبکه خارج می شوند

Forward اجرا روی پاکت های که از شبکه می خواهند روت شوند به جای دیگری

Iptables command قوانین و دستورهای موجود در iptables

A- برای افزودن دستور به انتهای یک زنجیره از جدول قوانین استفاده می شود.

D- برای حذف دستور از مکان خاصی از زنجیره جدول قوانین استفاده می شود.

N- برای ایجاد زنجیر جدید مورد استفاده قرار می¬گیرد که میتوان به آن یک اسم اختصاصی بدهیم

E- برای تغییر اسم زیر شاخه ساخته شده به کار میرود

X- برای پاک کردن زیر شاخه تولید شده به کار می رود

F- برای پاک کردن قوانین مورد استفاده قرار می¬گیرد.

I- برای وارد کردن دستوری خاص به یک سطر از یک زیر شاخه

L- لیست کلیه دستورات یک زیر شاخه را لیست خواهد کرد

P- برای تغییر پالیسی دیفالت استفاده می شود

R- جایگزین کردن دستوری بهجای دستور قبلی در یک زیر شاخه

Z- برای صفر کردن کلیه کانتر های داخل فایروال

Iptables parameter options

p- برای مشخص کردن نوع پروتکل مورد استفاده قرار می¬گیرد.

s- یا source– برای مشخص کردن شماره ip مبدا مورد استفاده قرار می¬گیرد.

d- یا destination– برای مشخص کردن شماره ip مقصد مورد استفاده قرار می¬گیرد.

i- یا in-interface– برای مشخص کردن کارت شبکه ورودی مورد استفاده قرار می¬گیرد.

o- یا out-interface– برای مشخص کردن کارت شبکه خروجی مورد استفاده قرار می¬گیرد.

j- مشخص کردن نحوه برخورد با بسته مورد استفاده قرار می¬گیرد. این سویچ به معنی jump بوده و به موارد DROP ، LOG ، ACCEPT و REJECT اشاره می کند.

m- برای مشخص کردن ماژول مورد استفاده قرار می گیرد.

c- این دستور شمارنده های داخل فایروال را فعال می کند که در طول وارد کردن یا اجرا کردن یا جایگزین کردن می باشد
[!] این دستور در ابتدای پارامتر های فوق دستور را به صورت منفی اجرا خواهد کرد

Saving rules

iptables-save > /etc/iptables.rules برای پشتیبان گیری تنظیمات مورد استفاده قرار می¬گیرد.

post-down iptables-save > /etc/iptables.rules برای پشتیبان گیری تنظیمات قبل از هر خاموش شدن سیستم مورد استفاده قرار می¬گیرد.

iptables-restore < /etc/iptables.rules برای بازیابی تنظیمات مورد استفاده قرار می¬گیرد.

مهم ترین و پرکاربردترین دستورات و تنظیمات iptables

پاک کردن تمام تنظیمات جاری

Iptables -F

یجاد تنظیمات عمومی و مسدود کردن همه دسترسی ها

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

مسدود کردن یک ip خاص

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP

باز کردن پورت SSH برای تمامی ارتباطات ورودی

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

باز کردن پورت ssh برای یک ip یا رنج ip خاص

iptables -A INPUT -i eth0 -p tcp -s xxx.xxx.xxx.xxx/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp -s xxx.xxx.xxx.xxx --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

باز کردن پورت http

iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

باز کردن پورت https

iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

باز کردن چند پورت بصورت یکجا

iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

باز کردن پورت برای ارتباط خروجی ssh

iptables -A OUTPUT -o eth0 -p tcp -d 192.168.101.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

باز کردن پورت https برای ارتباطات خروجی

iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

جاد امکانping از داخل به خارج

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

ایجاد امکانping از خارج به داخل

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

یجاد امکان دسترسی loopback

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

یجاد امکان دسترسی به شبکه خارجیeth1 از شبکه داخلی eth0

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

باز کردن دسترسی خروجی پورت dns

iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT

iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

ذخیره تغییرات iptables

service iptables save

 

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال

 

  با ظهور تکنولوژی VoIP و مزایای غیر قابل انکار آن نسبت به تکنولوژی های قدیمی، همواره سازمان ها و افراد زیادی به سمت این تکنولوژی متمایل شده اند. یک سرور VoIP بدون وجود یک فایروال و سایر راهکارهای امنیتی، در مقابل مجموعه گسترده ای از حملات آسیب پذیر است. در صورتی که تدابیر و مراقبت های لازم در خصوص حفاظت از سرورها و کلاینت ها انجام نگیرد، احتمال رخ دادن خسارت های جبران ناپذیری به شدت افزایش می یابد.

در حال حاضر الستیکس (Elastix) محبوبترین سیستم تلفنی دنیا و بخصوص کشور ما ایران است، این سیستم ارتباطی محبوب همانند اکثر سیستم های کدباز به صورت پیش فرض دارای ساده ترین روش های استفاده است و این باعث پایین آمدن سطح امنیتی آن می شود، با این حال روش ها و اصول بسیاری برای ایمین سازی دنیای ویپ وجود دارد، در ادامه یکی از روش های ساده برای محدود کردن دسترسی از یک سری از آی پی آدرس ها بر اساس موجعیت جغرافیایی خواهیم دید، این روش با استفاد از روتر های میکروتیک پیاده سازی می گردد.

 

در اين مقاله قصد داريم به چگونگی مسدود کردن ترافیک از کشورهای خاصی بعنوان یکی از راهکار های امنیتی در تکنولوژی VoIP پرداخته و از اين رهگذر با این مکانیزم در فایروال میکروتیک، بيشتر آشنا شويم .

 حتما به این موضوع فکر کرده اید که آدرس های IP در دنیا بدون حساب و کتاب بین کشورها تقسیم نشده است وIANAمسئول تخصیص آدرس های IP به کشورهای مختلف و تعیین محدوده آنها می باشد.

 در ادامه شما وب سایتی را مشاهده خواهید کرد که به تفکیک هر کشور محدوده های آدرس IP تخصیص داده شده به آنها را به شما نمایش می دهد.

http://ipdeny.com/ipblocks/

با مراجعه و بهره گیری از اطلاعات سایت بالا و افزودن آدرس لیست در فایروال می توانید به مدیریت ترافیک های ورودی از کشور خاصی بپردازید اما ما برای سهولت کار شما از قبل اقدام به ایجاد آدرس لیست هایی برای برخی کشورها مانند ایران، امارات، عراق، بحرین، قطر و... نموده ایم.

فایل حاوی آی پی آدرس کشور ها را از لینک های زیر می توانید دریافت نمایید.

 

پس از دریافت فایل مورد نظر، کافی است آن را مطابق شکل در منوی Files قرار دهید و سپس به بخش New Terminal مراجعه کرده و آن را Import کنید.

 

سپس با مراجعه به بخش آدرس لیست ها می توانیم بلاک های IP هر لیست را مشاهده کنیم.

 

 

 

سناریو۱

ترافیک های ورودی فقط از کشورهای ایران و امارات پذیرفته شود.

بدین منظور می بایست سه فیلتر رول اضافه کنید. در دو رول اول ترافیک های ورودی از کشورهای ایران و امارات پذیرفته شده و در رول سوم کلیه ترافیک ها مسدود شود.

رول اول:

 

رول دوم:

 

رول سوم:

 

 سناریو2

ترافیک از تمام کشورها به جز افغانستان پذیرفته شود.

رول اول: مسدود کردن کلیه ترافیک ورودی از کشور افغانستان

 

رول دوم: پذیرفتن کلیه ترافیک

 

 

این مقاله صرفا یک آموزش پایه می باشد و شما می توانید با ایجاد تغییرات مورد نظر برروی آن با توجه به شرایط و پالیسی های خود ، اقدام به امن نمودن شبکه خود نمایید.

توصیه می شود برای امن کردن سیستم تلفنی الستیکس (استریسک) خود حتما در دوره امنیت الستیکس Elastix Security Master شرکت نمایید.

موفق باشید

سید محمد سجاد تکیه

MikroTik Certified Consultant

ECE & ESM Certified

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال

 

Port Knocking چیست؟

Knocking در لغت به معنای کوبیدن یا ضربه زدن است و در اصطلاح فنی روشی برای افزودن داینامیک یک IP Address به مجموعه آدرس های مجاز برای مدت زمان مشخصی می باشد، به بیان دیگر، باز کردن پورت از راه دور بر روی فایروال بوسیله ایجاد کانکشن روی مجموعه ای از پورت های بسته که از پیش مشخص شده اند، می باشد.

ادامه مطلب: فعال سازی امکان Port Knocking بر روی میکروتیک

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره غیر فعالستاره غیر فعال

 در این مقاله کوتاه سعی شده که به 7 مطلب ساده در زمینه حفاظت اطلاعات پرداخته شود. 7 مطلب ساده ای که با عدم رعایت آنها امکان به خطر افتادن سیستم اطلاعاتی یک سازمان وجود دارد.

ادامه مطلب: نکاتی برای افزایش امنیت سیستم عامل لینوکس

به اشتراک بگذارید

ویپ ایران

 

مهندسی ویپ

آموزش کامل راه اندازی سیستم تلفنی مبتنی بر ویپ
ساخت داخلی، صف انتظار، منوی منشی، ضبط مکالمت، کنفرانس صوتی، انتقال مکالمه
فکس سرور، ایمیل سرور، چت سرور، گزارش گیری
جزئیات دوره بلند مدت
جزئیات دوره کمپ
جزئیات دوره آنلاین

 

توسعه استریسک

توسعه استریسک
کتاب الستیکس فارسی
انجمن ویپ ایران

 

امنیت ویپ

امنیت ویپ
سیستم تلفنی واک

 

مرکز تماس

مرکز تماس
دوره های آموزشی ویپ

میکروتیک MTCNA

میکروتیک MTCNA
دوره های آموزشی ویپ