الرئيسية
الهندسة
أمن الاتصالات عبر الانترنت VOIP Security
اصبحت انظمة الاتصال عبر الانترنت شائعة ومستخدمة في معظم المؤسسات والاعمال التجارية وذلك لفؤائدها الكبيرة من التوفير في كلفة الاتصال وسهولة التشغيل والمرونة وحرية التنقل مع الاحتفاظ بمميزات الانظمة حتى خارج المؤسسة ولكن انظمة الاتصال عبر الانترنت تأتي بمخاطر كبيرة اذا لم توضع الاحتياطات لحمايتها وبالتالي حماية المؤسسة من الاستغلال ومنع محاولات اختراق هذه الانظمة ، في هذا المقال سوف اشرح ببساطة وبدون الدخول بالتفاصيل المعقدة انواع انظمة الاتصال عبر الانترنت او عبر شبكات الكمبيوتر وماهي الوسائل التي يستخدمها الهاكرز الاختراق هذه الشبكات وكيفبة حمايها.
هدفي ان ينتبه مدراء الاتصالات الى المخاطر التي ممكن تتعرض لها مؤسساتهم اذا لم يضعوا ضوابط واحتياطات لحماية شبكات الاتصال خصوصا ان انظمة الاتصالات التي تستخدم التقنيات القديمة (TDM) مؤمنة جدا ولايمكن لهاكر عادي يخترقها حيث يتطلب الدخول الى هذا الشبكات اجهزة خاصة لا تتوفر للمستخدم العادي ، طبعا الامر مختلف لشبكات الاتصال عبر الانترنت لانها تشارك اجهزة الكمبيوتر بنفس الشبكة بل ان التلفيونات التي تعمل عبر الانترنت ماهي الا اجهزة كمبيوتر خاصة لها انظمة تشغيل وتستخدم بوتوكولات الانترنت التي يستخدمها الكمبيوتر العادي (TCP/IP) ولذا فأنها تتأثر بالمخاطر التي تؤثر على الشبكات عامة .
أنواع الاتصال عبر الانترنت :
شبكات الاتصال الخاصة للمؤسسات (Business VOIP systems )
شبكات الاتصال العامة عبر مزودي الخدمة التي تستخدم (IP Multimedia Subsystem IMS )
شبكات الاتصال عبر الانترنت للمستخدم العادي مثل سكايب (Skype) و غيرها من برامج الاتصال
سوف اركز في هذا المقال على حماية شبكات الاتصال الخاصة (Business VOIP Systems ) لان شبكات الاتصال العامة عادة تكون مزودة من قبل شركات كبرى لدها قسم خاص لامن المعلومات يقوم بمراقبة وحماية الانظمة اما النوع الثالث الذي يستخدم Skype وغيره فهو غير مامون تماما ولايمكن حمايته لان المستخدم لا يعلم اين يكون جهاز التحكم بالاتصال وماهو الطريق الذي تسلكة الذبذبات الصوتية لكي تصل الى الطرف الاخر عبر شبكات الانترنت المفتوحة.
تتكون شبكات الاتصال عبر الانترنت من الاجزاء الرئيسية التالية:
سيرفر التحكم أو البدالة (Call Director or Call Manager )
وسائط النقل والمبادلة (Gateways )
التليفونات IP Phones or Sofphones
جميع هذه الاجزاء تعمل وفقا للنظام الطبقي للشبكات على النحو المبين في الشكل التالي
أنواع التهديدات والمخاطر لشبكات الاتصالات عبر الانترنت و الوسائل المستخدمة لتنفيذها :
1- عرقلة الخدمة باستخدام طريقة (Denial of Service Attack DOS ) وتستهدف التليفونات IP Phones و الروترات Routers و أجهزة الاتصال الطرفية مثل SIP and SIP trunking Gateways أو اي جهاز بالشبكة يدعم اجهزة التحكم بالاتصال مثل DNS وانظمة ادارة شبكات الاتصال حيث يقوم المهاجم بارسال فيروس الي مجموعة كبيرة من اجهزة الكمبيوتر تقوم في ان واحد بارسال طلبات اشتراك في الخدمة غير شرعية حيث يقوم جهاز تحكم الاتصالات برفضها لدرجة انه لا يستطيع تلبية طلبات الاشتراك الشرعية وبالتالي توقف الخدمة.
2- التنصت على المكالمات وتسجيلها حيث يقوم المهاجم باستخدام برامج مثل SIP Scan أو SiVus أو VOMIT أو Wireshark وهذه البرامج متوفرة بالمجان للتنزيل على الانترنت وهناك برامج اخرى من هذا النوع حيث تتيح هذه البرامج عمل مسح شامل للشبكات ومعرفة بوابات الاتصال عبر الانترنت مثل SIP 5060 port وبالتالي مراقبتها لمعرفة ارقام المتصلين والمتصل عليهم ونوع الاجهزة المستخدمة وبوابات نقل الصوت Media Stream ports ولذلك لاخذ نسخة من الصوت وتخزينها داخل كمبيوتر المهاجم ومن ثم تشغيلها للتنصت على المكالمة كذلك تتيح هذه البرامج للمهاجم ان ينتحل صفة اخري غير صفتة ويضع لنفسه رقم تليفون معروف واسم مؤسسة معروفة لخداع المتصل عليهم حيث مثلا يقوم المهاجم بالاتصال على مؤسسة ما او شخص ما ويظهر على شاشة تليفون المتصل عليه اسم ورقم تليفون البنك الذي تتعامل معه المؤسسة ويطلب معلومات حساسة عن المؤسسة.
3- أستغلال جهاز التحكم بالاتصالات لعمل مكالمات دولية او خارجيه حيث يقوم المهاجم بمراقبة اجهزة الاتصال بموسسة ما لمعرفة ارقام المستخدمين وكلمات السر ومن ثم استخدامها للتسجيل مع جهاز التحكم بالصوت وبالتالي يتاح له امكانية عمل مكالمات خارجية من جهاز الكمبيوتر الخاص به عبر اجهزة الاتصال الخاصة بالموسسة .
4- VOIP سبام SPIT أو وهذا النوع من الهجوم مشابه تماما الاميل سبام فمثل ما يمتلئ البريد الالكتروني برسائل دعائية من جهات غير معروفة ممكن ان ترسل رسائل الى البريد الصوتي للمستخدم برسائل صوتيه اتوماتيكية كثيرة
.
وسائل الحماية
تقوم وسائل حماية انظمة الاتصال عبر الانترنت على ثلاث مرتكزات ضرورية يجب على مدراء الاتصالات على وضع المتطلبات والاسس لتطبيقها من بداية تركيب النظام وهي : الوقاية - الحماية – تقليل الخسائر .
أما من الناحية الفنيه فيجب أولا :
فصل افتراضي لشبكات المعلومات عن شبكات نقل الصوت و ذلك باستخدام تقنية VLAN حيث يوفر ذلك حماية للصوت وعدم قدرة المهاجم على اكتشاف الشبكات الصوتية كذلك توفر هذه التقنية توفر النطاق الكافي للصوت Bandwidth خصوصا اذا ربطت بتقنية َ Qos في الروترات حيث تحمي شبكات الاتصالات وتعطيها الاولوية للخروج من الروتر وبالتالي جودة عالية في الصوت.
ثانيا : تطبيق تقنية Intrusion detection systems IDS و ذلك لحماية الشبكات من DOS attack والغرباء الذين يحاولون الدخول الشبكة على وجه العموم
ثالثا : استخدام انظمة اتصال عبر الانترنت لها القدرة على تشفير المراسلات بينها وبين الاجهزة الطرفيه Signaling encryption و تشفير الصوت RTP Stream encryption وذلك للوقاية من ان يعرف احد محتوى المعلومات الصوتية حتي لو استطاع ان يعترضها ويخزنها في جهاز الكمبيوتر الخاص به.
رابعا : عدم استخدام حسب الامكان الانظمة الصوتيه المفتوحة مثل Asterisk في المؤسسات الا اذا كانت هذه المؤسسات لديها خبراء في هذه الانظمة وفي نظام Linux وذلك لان نظام Asterisk نظام معروف خصوصا للهاكرز وممكن اختراقه بسهوله كذلك عدم استخدام Skype في الشركات والمكالمات الخاصة بالعمل لان الصوت والمراسلات بين الاجهزة تبعث الى سيرفر خدمة Skype أي بمعني ان الموسسة ليست لديها السيطره على خطوط الاتصال الخاصة بها.
خامسا : يجب وضع اجهزة الاتصال التي تقابل الانترنت Edge devices مثل SIP trunking Gateways خلف Firewall اذا كانت هي لاتملك هذه الميزة أو وضعها في منطقة DMZ للزيادة في الحماية .
في الختام اريد ان انوه الى ان انظمة الاتصال عبر الانترنت من مايتل تمتلك وسائل حماية كبيرة موجودة داخلها فان نظام MN3300 له القدرة على تشفير كل المراسلات بينه وبين كل أنواع التليفونات المتوفرة من مايتل كذلك هو يستخدم بروتوكول Minet الخاص من مايتل ولايمكن لهاكر عادي مستخدما البرامج التي ذكرناها ان يخترقه كذلك فان كل تليفونات مايتل التي تعمل عبر شبكات الكمبيوتر لها القدرة علي VLAN tagging و نظام مايتل Mitel Border Gateway MBG الذي يستخدم لمواجهة الانترنت وتشغيل التليفونات خارج المؤسسة وعمل SIP trunking مزود بنظام State full Firewall قادر على منع اي هاكر من الدخول الى الشبك
اصبحت انظمة الاتصال عبر الانترنت شائعة ومستخدمة في معظم المؤسسات والاعمال التجارية وذلك لفؤائدها الكبيرة من التوفير في كلفة الاتصال وسهولة التشغيل والمرونة وحرية التنقل مع الاحتفاظ بمميزات الانظمة حتى خارج المؤسسة ولكن انظمة الاتصال عبر الانترنت تأتي بمخاطر كبيرة اذا لم توضع الاحتياطات لحمايتها وبالتالي حماية المؤسسة من الاستغلال ومنع محاولات اختراق هذه الانظمة ، في هذا المقال سوف اشرح ببساطة وبدون الدخول بالتفاصيل المعقدة انواع انظمة الاتصال عبر الانترنت او عبر شبكات الكمبيوتر وماهي الوسائل التي يستخدمها الهاكرز الاختراق هذه الشبكات وكيفبة حمايها.
هدفي ان ينتبه مدراء الاتصالات الى المخاطر التي ممكن تتعرض لها مؤسساتهم اذا لم يضعوا ضوابط واحتياطات لحماية شبكات الاتصال خصوصا ان انظمة الاتصالات التي تستخدم التقنيات القديمة (TDM) مؤمنة جدا ولايمكن لهاكر عادي يخترقها حيث يتطلب الدخول الى هذا الشبكات اجهزة خاصة لا تتوفر للمستخدم العادي ، طبعا الامر مختلف لشبكات الاتصال عبر الانترنت لانها تشارك اجهزة الكمبيوتر بنفس الشبكة بل ان التلفيونات التي تعمل عبر الانترنت ماهي الا اجهزة كمبيوتر خاصة لها انظمة تشغيل وتستخدم بوتوكولات الانترنت التي يستخدمها الكمبيوتر العادي (TCP/IP) ولذا فأنها تتأثر بالمخاطر التي تؤثر على الشبكات عامة .
أنواع الاتصال عبر الانترنت :
شبكات الاتصال الخاصة للمؤسسات (Business VOIP systems )
شبكات الاتصال العامة عبر مزودي الخدمة التي تستخدم (IP Multimedia Subsystem IMS )
شبكات الاتصال عبر الانترنت للمستخدم العادي مثل سكايب (Skype) و غيرها من برامج الاتصال
سوف اركز في هذا المقال على حماية شبكات الاتصال الخاصة (Business VOIP Systems ) لان شبكات الاتصال العامة عادة تكون مزودة من قبل شركات كبرى لدها قسم خاص لامن المعلومات يقوم بمراقبة وحماية الانظمة اما النوع الثالث الذي يستخدم Skype وغيره فهو غير مامون تماما ولايمكن حمايته لان المستخدم لا يعلم اين يكون جهاز التحكم بالاتصال وماهو الطريق الذي تسلكة الذبذبات الصوتية لكي تصل الى الطرف الاخر عبر شبكات الانترنت المفتوحة.
تتكون شبكات الاتصال عبر الانترنت من الاجزاء الرئيسية التالية:
سيرفر التحكم أو البدالة (Call Director or Call Manager )
وسائط النقل والمبادلة (Gateways )
التليفونات IP Phones or Sofphones
جميع هذه الاجزاء تعمل وفقا للنظام الطبقي للشبكات على النحو المبين في الشكل التالي
أنواع التهديدات والمخاطر لشبكات الاتصالات عبر الانترنت و الوسائل المستخدمة لتنفيذها :
1- عرقلة الخدمة باستخدام طريقة (Denial of Service Attack DOS ) وتستهدف التليفونات IP Phones و الروترات Routers و أجهزة الاتصال الطرفية مثل SIP and SIP trunking Gateways أو اي جهاز بالشبكة يدعم اجهزة التحكم بالاتصال مثل DNS وانظمة ادارة شبكات الاتصال حيث يقوم المهاجم بارسال فيروس الي مجموعة كبيرة من اجهزة الكمبيوتر تقوم في ان واحد بارسال طلبات اشتراك في الخدمة غير شرعية حيث يقوم جهاز تحكم الاتصالات برفضها لدرجة انه لا يستطيع تلبية طلبات الاشتراك الشرعية وبالتالي توقف الخدمة.
2- التنصت على المكالمات وتسجيلها حيث يقوم المهاجم باستخدام برامج مثل SIP Scan أو SiVus أو VOMIT أو Wireshark وهذه البرامج متوفرة بالمجان للتنزيل على الانترنت وهناك برامج اخرى من هذا النوع حيث تتيح هذه البرامج عمل مسح شامل للشبكات ومعرفة بوابات الاتصال عبر الانترنت مثل SIP 5060 port وبالتالي مراقبتها لمعرفة ارقام المتصلين والمتصل عليهم ونوع الاجهزة المستخدمة وبوابات نقل الصوت Media Stream ports ولذلك لاخذ نسخة من الصوت وتخزينها داخل كمبيوتر المهاجم ومن ثم تشغيلها للتنصت على المكالمة كذلك تتيح هذه البرامج للمهاجم ان ينتحل صفة اخري غير صفتة ويضع لنفسه رقم تليفون معروف واسم مؤسسة معروفة لخداع المتصل عليهم حيث مثلا يقوم المهاجم بالاتصال على مؤسسة ما او شخص ما ويظهر على شاشة تليفون المتصل عليه اسم ورقم تليفون البنك الذي تتعامل معه المؤسسة ويطلب معلومات حساسة عن المؤسسة.
3- أستغلال جهاز التحكم بالاتصالات لعمل مكالمات دولية او خارجيه حيث يقوم المهاجم بمراقبة اجهزة الاتصال بموسسة ما لمعرفة ارقام المستخدمين وكلمات السر ومن ثم استخدامها للتسجيل مع جهاز التحكم بالصوت وبالتالي يتاح له امكانية عمل مكالمات خارجية من جهاز الكمبيوتر الخاص به عبر اجهزة الاتصال الخاصة بالموسسة .
4- VOIP سبام SPIT أو وهذا النوع من الهجوم مشابه تماما الاميل سبام فمثل ما يمتلئ البريد الالكتروني برسائل دعائية من جهات غير معروفة ممكن ان ترسل رسائل الى البريد الصوتي للمستخدم برسائل صوتيه اتوماتيكية كثيرة
.
وسائل الحماية
تقوم وسائل حماية انظمة الاتصال عبر الانترنت على ثلاث مرتكزات ضرورية يجب على مدراء الاتصالات على وضع المتطلبات والاسس لتطبيقها من بداية تركيب النظام وهي : الوقاية - الحماية – تقليل الخسائر .
أما من الناحية الفنيه فيجب أولا :
فصل افتراضي لشبكات المعلومات عن شبكات نقل الصوت و ذلك باستخدام تقنية VLAN حيث يوفر ذلك حماية للصوت وعدم قدرة المهاجم على اكتشاف الشبكات الصوتية كذلك توفر هذه التقنية توفر النطاق الكافي للصوت Bandwidth خصوصا اذا ربطت بتقنية َ Qos في الروترات حيث تحمي شبكات الاتصالات وتعطيها الاولوية للخروج من الروتر وبالتالي جودة عالية في الصوت.
ثانيا : تطبيق تقنية Intrusion detection systems IDS و ذلك لحماية الشبكات من DOS attack والغرباء الذين يحاولون الدخول الشبكة على وجه العموم
ثالثا : استخدام انظمة اتصال عبر الانترنت لها القدرة على تشفير المراسلات بينها وبين الاجهزة الطرفيه Signaling encryption و تشفير الصوت RTP Stream encryption وذلك للوقاية من ان يعرف احد محتوى المعلومات الصوتية حتي لو استطاع ان يعترضها ويخزنها في جهاز الكمبيوتر الخاص به.
رابعا : عدم استخدام حسب الامكان الانظمة الصوتيه المفتوحة مثل Asterisk في المؤسسات الا اذا كانت هذه المؤسسات لديها خبراء في هذه الانظمة وفي نظام Linux وذلك لان نظام Asterisk نظام معروف خصوصا للهاكرز وممكن اختراقه بسهوله كذلك عدم استخدام Skype في الشركات والمكالمات الخاصة بالعمل لان الصوت والمراسلات بين الاجهزة تبعث الى سيرفر خدمة Skype أي بمعني ان الموسسة ليست لديها السيطره على خطوط الاتصال الخاصة بها.
خامسا : يجب وضع اجهزة الاتصال التي تقابل الانترنت Edge devices مثل SIP trunking Gateways خلف Firewall اذا كانت هي لاتملك هذه الميزة أو وضعها في منطقة DMZ للزيادة في الحماية .
في الختام اريد ان انوه الى ان انظمة الاتصال عبر الانترنت من مايتل تمتلك وسائل حماية كبيرة موجودة داخلها فان نظام MN3300 له القدرة على تشفير كل المراسلات بينه وبين كل أنواع التليفونات المتوفرة من مايتل كذلك هو يستخدم بروتوكول Minet الخاص من مايتل ولايمكن لهاكر عادي مستخدما البرامج التي ذكرناها ان يخترقه كذلك فان كل تليفونات مايتل التي تعمل عبر شبكات الكمبيوتر لها القدرة علي VLAN tagging و نظام مايتل Mitel Border Gateway MBG الذي يستخدم لمواجهة الانترنت وتشغيل التليفونات خارج المؤسسة وعمل SIP trunking مزود بنظام State full Firewall قادر على منع اي هاكر من الدخول الى الشبك
