بخشی از مقاله
راهکارهايي براي افزايش امنيت VoIP
چکيده
امروزه تکنولوژي 1VoIP که در آن انتقال صوت توسط شبکه هاي 2IP انجام مي گيرد، يکي از پرکاربردترين تکنولوژي ها در ارتباطات تلفني محسوب مي شود. هزينه کمتر و انعطاف پذيري بيشتر، از مزاياي اين تکنولوژي است . اين تکنولوژي هم اکنون در برخي برق هاي منطقه اي بر روي شبکه اختصاصي مخابرات آن ها بکار گرفته شده و در حال بهره برداري مي باشد. همچنين با راه اندازي مخابرات نوري و افزايش ظرفيت مخابراتي در اين صنعت ، اين تکنولوژي در ساير مناطق نيز مورد استفاده قرار خواهد گرفت . اين تکنولوژي همراه با مزاياي جديدي که ارائه مي دهد، ريسک هاي امنيتي نيز در پي دارد و بکارگيري VoIP نبايد بدون درنظر گرفتن ملاحظات امنيتي انجام شود. اين مساله در صنعت برق به دليل امکان استفاده از آن در DTS داراي اهميت خاصي مي باشد. اگرچه ساير ارتباطات VoIP در صنعت برق نيز به دليل آنکه کارمندان ، مديران و مسوولان بخش هاي مختلف همگي به اين سرويس دسترسي دارند، داراي اهميت بالايي مي باشد. VoIP در مقابل حملاتي همانند ويروس ها، کدهاي بدانديش ، DoS٣، مرد در ميان و ... آسيب پذير مي باشد درنتيجه بايد به دنبال راهکارهايي براي امن کردن آن بود. اين مقاله به شرح مختصري در مورد VoIP و دو پروتکل مهم سيگنالينگ آن مي پردازد و سپس به بررسي تهديدات امنيتي و آسيب پذيري هاي مرتبط با اين پروتکل ها پرداخته و در ادامه به منظور مقابله با حملات ناشي از اين آسيب پذيري ها، راهکارهاي امنيتي ارائه مي دهد.
١- مقدمه
VoIP نسخه جديدي از شبکه هاي تلفن سنتي يا 1PSTNها مي باشد که مکالمه هاي صوت را در بسته هايي تحت يک شبکه داده با استفاده از پروتکل اينترنت (IP) انتقال مي دهد. يکي از دلايل اصلي توسعه VoIP کاهش هزينه هاي مکالمات تلفني است . مکالمه هاي صوت سنتي بر روي PSTN با استفاده از سوييچينگ مداري ايجاد مي شوند. در اين روش يک مدار يا کانال اختصاصي بين دو طرف قبل از اينکه با همديگر صحبت کنند برقرار مي شود. مزيت اين روش کيفيت مناسب صوت بدليل استفاده از يک خط اختصاصي و مشخص است اما اين روش بدليل نياز به ظرفيت بالاي شبکه ، گران مي باشد. توسعه VoIP تغييرات زيادي در ارتباطات تلفني بوجود آورده است . در اين روش براي برقراري مکالمه ، سيگنالهاي صوت آنالوگ با استفاده از يک مبدل آنالوگ به ديجيتال ، ديجيتالي مي شوند. سيگنالهاي صوتي ديجيتال شده در مقابل نويز ايمن تر هستند و راحت تر مي توانند کنترل شوند و به شکل ديگري تبديل شوند. سپس داده هاي ديجيتال به بسته هايي تقسيم شده و ارسال مي شوند. مکانيزم هاي پشتيباني بلادرنگ و تحويل به موقع بايد بر روي بسته ها اعمال شود .
همچنين پروتکل هاي سيگنالينگ براي ايجاد لينک هاي ارتباطي بين تلفن ها مورد نياز است . در نهايت بسته ها دريافت مي شوند و داده هاي ديجيتالي بازسازي مي شوند. داده هاي ديجيتال ابتدا از حالت فشرده خارج شده سپس توسط يک مبدل ديجيتال به آنالوگ به سيگنال صوتي تبديل مي شوند .[1]
پياده سازي VoIP را مي توان به روش هاي مختلفي انجام داد که شامل موارد زير مي باشند:
. PC به PC. در اين روش هر دو گوينده و دريافت کننده ، از گوشي هاي متصل به PC استفاده مي کنند.
. PC به PSTN. فقط گوينده از يک گوشي متصل به PC
استفاده مي کند. گيرنده ، مکالمه را به روش سنتي دريافت مي کند.
. PSTN به PSTN. گوينده از يک تطبيق دهنده IP روي تلفن سنتي استفاده مي کند و مکالمه روي تلفن سنتي دريافت مي شود. اما صوت بر روي يک شبکه IP منتقل مي شود.
. تلفن IP به PSTN. گوينده از يک تلفن IP استفاده مي کند و صوت از شبکه IP به شبکه تلفن سنتي از طريق يک گذرگاه ٢ منتقل مي شود.
. تلفن IP به تلفن IP. صوت بر روي يک شبکه IP پايانه به پايانه ٣ منتقل مي شود [١].
بطور کلي از دلايل استفاده از VoIP مي توان به موارد زير اشاره کرد:
. VoIP امکان استفاده از زيرساخت هاي شبکه اي موجود براي انتقال هر دو ترافيک صوت و داده را فراهم مي کند.
. VoIP با کاهش هزينه هاي تعمير و نگهداري و استفاده از زيرساخت هاي يکسان در انتقال صوت و داده موجب صرفه جويي قابل توجهي مي شود.
. بعضي از کاربردهاي VoIP تمامي ويژگي هاي موجود در PBX سنتي را تحت پوشش قرار مي دهد [١].
لازم به ذکر است ارتباط تصوير نيز با استفاده از همين تکنولوژي و پروتکل هاي مرتبط با آن انجام مي شود.
٢- پروتکل هاي VoIP
VoIP از دو جزء اصلي تشکيل شده است . يکي سيگنال صوتي که بر روي شبکه منتقل مي شود و ديگري سيگنالينگ (که شامل پيام هاي مورد نياز براي کنترل کردن عناصر ديگر مکالمه بطور مثال رقم هاي شماره گيري مقصد، مي باشد). هر دو اين عناصر از استانداردها و پروتکل هاي مخصوصي استفاده مي کنند. ساختار اصلي يک مکالمه VoIP، همانند ديگر برنامه هاي کاربردي مبتني بر IP، داراي معماري لايه بندي OSI٥ مي باشد.جدول ١، لايه بندي و پروتکل هاي مورد استفاده در VoIP را نشان مي دهد.
مطابق اين جدول ، لايه هاي پايين (لايه فيزيکي و داده ) براساس تکنولوژي هايي همانند اترنت و 1WiFi با برنامه هاي کاربردي مبتني بر اينترنت مثل Web و 2FTP مرتبط مي باشند.
لايه شبکه ، نظير ديگر برنامه هاي کاربردي توسط پروتکل اينترنت (IP) انتقال اصلي بسته هاي داده (که به عنوان ديتاگرم شناخته مي شوند) را انجام مي دهد.
در VoIP از دست رفتن داده يا خطاي کم ، تأثير چنداني بر روي کيفيت يا کارايي صوت نمي گذارد و در عوض انتقال سريع داده از يک نقطه به نقطه انتهايي داراي اهميت مي باشد.
پروتکل لايه انتقال 3UDP ترتيب بسته هاي ورودي را کنترل نمي کند و کنترل ترتيب صحيح بسته ها بر عهده برنامه کاربردي است بنابراين اين پروتکل داراي سرعت بالايي مي باشد. در حاليکه در ارتباطات TCP، بازگشت ACK تاخيراتي توليد مي کند. اين تاخير در شرايطي که بسته ها گم شوند، بسيار بيشتر مي شود زيراکه TCP بسته هاي گم شده را دوباره ارسال مي کند که اين عمل سبب ايجاد تاخير بيشتر مي شود. لذا پروتکل UDP در مواقعي که تحويل سريع مدنظر است ، گزينه مناسبي مي باشد. البته درصورتي که قابليت اعتماد معيار مهمي باشد، استفاده از 4TCP به عنوان يک پروتکل انتقال ، انتخاب بهتري مي باشد. در انتقال صوت تحمل چند بسته گم شده بسيار بهتر از تاخير است . بنابراين براي انتقال صوت در لايه انتقال از UDP به جاي پروتکل TCP استفاده مي شود و پروتکل کنترل انتقال معمول TCP براي ارتباط سيگنالينگ استفاده مي شود. همچنين سيستم هاي VoIP در لايه ارتباط از پروتکل انتقال بلادرنگ RTP ٥ و پروتکل کنترل انتقال بلادرنگ RTCP٦ استفاده مي نمايند. لايه هاي بالاتر (ارتباط ، نمايش و کاربرد) نيز سيگنالينگ مورد نياز براي يک سيستم ارتباط تلفني را برقرار مي سازند. در واقع اين پروتکل ها کنترل ارتباط بين دو نقطه انتهايي مکالمه به عنوان مثال راه اندازي مکالمه و سيگنالينگ مورد نياز براي انتقال ترافيک بر روي يک شبکه IP را کنترل مي کنند.
7 پروتکل هاي ٣٢٣.H و پروتکل راه اندازي ارتباط (SIP)، دو استاندارد اصلي سيگنالينگ در VoIP هستند. براين اساس دو معماري مختلف براي شبکه هاي VoIP تعريف مي شود لذا در ادامه به شرح اين پروتکل ها پرداخته مي شود [١].
٢-١- پروتکل ٣٢٣.H
8 پروتکل ٣٢٣.H تدوين شده توسط موسسه ITU-T، ارتباط بين تجهيزات متفاوت تلفني و چندرسانه اي را در شبکه هاي IP برقرار کرده و ارتباط صوت ، ويديو و داده را بصورت بلادرنگ فراهم مي کند.
چهار نهاد مختلف به عنوان واحدهاي عملياتي يک شبکه کامل ٣٢٣.H تعريف شده اند که عبارتند از: نقاط انتهايي (پايانه ها)، گذرگاه ٩، محافظ گذرگاه ١٠ و واحد کنترل چندنقطه اي (MCU١١). نقاط انتهايي (تلفن ها، تلفن هاي نرم افزاري ، پست صوتي ، دوربين هاي ويدئويي و ... ) امکاناتي هستند که کاربران نهايي با آن ها در تعامل مي باشند. گذرگاه ها، سيگنالينگ و انتقال رسانه (صوت و تصوير) را انجام مي دهند و به صورت واسط به ديگر شبکه ها همانند ISDN و PSTN ارتباط برقرار مي نمايند. البته براي ارتباط بين دو ترمينال روي يک شبکه 323.H نيازي به استفاده از گذرگاه نيست . محافظ گذرگاه نيز يک جزء اختياري در شبکه مبتني بر پروتکل 323.H مي باشد که گذرگاه هاي VoIP در آن ثبت نام مي کنند و مهم ترين عمل آن ، ترجمه آدرس بين آدرس هاي سمبليک مستعار و آدرس هاي IP مي باشد. محافظ گذرگاه مي تواند مغز شبکه 323.H درنظر گرفته شود و در واقع يک نقطه ي مرکزي براي تمام تماس هاي داخل شبکه ٣٢٣.H است . محافظ گذرگاه خدمات مهمي مثل ترجمه آدرس ، کنترل پذيرش ، مديريت پهناي باند سيگنالينگ و شمارش تماس ها را فراهم مي کند. مجموعه ترمينال ها، گذرگاه ها و MCUهايي که يک محافظ گذرگاه کنترل مي کند به عنوان يک ناحيه شناخته مي شوند. MCUها نيز کنفرانس هاي چند طرفه را بين سه يا تعداد بيشتري از نقاط انتهايي فراهم مي کنند. در واقع پروتکل
323.H مجموعه اي از رويه هاي ايجاد مکالمه و مذاکره را تعريف مي کند. مهم ترين آن ها در برنامه هاي کاربردي VoIP، 225.H، 235.H، 245.H و اعضاي سري هاي سيگنالينگ 900.Q مي باشند. 323.H گروهي از کد گذارهاي صوت براي ارتباطات VoIP، مانند سري هاي 700.G را نيز مشخص مي کند [٢].
225.H سيگنالينگ ايجاد مکالمه و خاتمه آن را تعيين مي کند و شامل آدرس هاي IP مبدا و مقصد درگاه ها، کد کشور و اطلاعات درگاه 245.H مي باشد. همچنين پروفايل ١ اين پروتکل (245.1.H)، پيام هاي 1RAS شامل سيگنالينگ ، پذيرش ثبت نام و وضعيت و اطلاعات رشته رسانه را مشخص مي کند. 245.H تبادل پيام هايي شامل امکانات پايانه ، ارتباط رئيس . مرئوس ٢ و اطلاعات کانال منطقي براي رشته هاي رسانه (صوت و تصوير) را مشخص مي کند.
از آن جاکه در معماري ٣٢٣.H منشا درخواست کننده ، توسط عمليات رمزنگاري تصديق نمي شود لذا تهديدات امنيتي براي آن بوجود مي آيد که در استاندارد ٢٣٥.H به آن پرداخته شده است . پروتکل ٢٣٥.H نيز مجموعه اي از پيام ها، رويه ها، ساختارها و الگوريتم ها براي امن کردن سيگنالينگ ، کنترل و ارتباطات رسانه تحت معماري ٣٢٣.H را پيشنهاد مي کند. بحث مهم ٢٣٥.H تهديدات امنيتي در ارتباطات ، شنود شبکه يا روش هاي ديگر منحرف کردن رسانه مي باشد.
حمله هاي مطرح در اين پروتکل ، صحت پيام هاي يک مکالمه را به خطر مي اندازند. اين تهديد نشان مي دهد که به سرويس هاي امنيتي نياز مي باشد که افراد را قادر به تصديق کردن هويت منبع درخواست ها سازد و بررسي عدم تغيير محتويات پيام ها و رشته هاي کنترلي در حين انتقال را انجام دهد. اصولا تصديق هويت بر اساس يک راز اشتراک گذاشته شده يا روش هاي مبتني بر کليد عمومي با گواهي نامه ها مي باشد. همچنين براي امن کردن پيام ها، پروتکل هاي TLS 3 (TLS، جانشين لايه سوکت امن (SSL)٤ و بر اساس ٣.٠ SSL مي باشد) و IPSec٥ (امنيت IP) پيشنهاد مي شوند. IPSec اغلب اطلاعات سربار مهم را نيز علاوه بر بار مفيد رمز مي کند درحاليکه TLS فقط بار مفيد بسته را رمز مي کند بنابراين رمزنگاري TLS، آدرس IP را بدون رمز نگه مي دارد. ٢٣٥.H داراي تعدادي پروفايل هاي امنيتي است که هر پروفايل به صورت يک ماژول شامل مجموعه اي از اصطلاحات ، تعاريف ، خواسته ها و رويه ها مي باشد. پروفايل ها مي توانند توسط سرويس هاي امنيتي که هر پروفايل خاص پشتيباني مي کند، متمايز شوند. سرويس هاي امنيتي پشتيباني شده در اين پروفايل ها عبارتند از: تصديق هويت ، عدم انکار، صحت ، محرمانگي ، کنترل دسترسي و مديريت کليد. در هر پروفايل امنيتي سرويس هاي امنيتي براي مقابله با يک سري از حملات تعريف مي شوند. براي مثال در پروفايل اصلي ٢٣٥١.H حمله هاي زير خنثي مي شوند:
. حمله ي مرد در ميان ١. سرويس تصديق صحت پيام سطح کاربرد، از چنين حمله اي جلوگيري مي کند.
. حمله ي تکرار٢. استفاده از مهر زماني و دنباله عددي باعث جلوگيري از چنين حمله اي مي شود.
. فريبکاري ٣. تصديق هويت کاربر مانع از اين حمله مي شود.
. دزديدن ارتباط . براي جلوگيري از اين حمله از تصديق صحت براي پيام هاي سيگنالينگ مي توان استفاده کرد [٢].
در اين استاندارد بحث هاي امنيتي مرتبط با حمله هاي DoS (ممانعت از سرويس ) در نظر گرفته نمي شوند.
٢-٢- پروتکل SIP
پروتکل راه اندازي شبکه (SIP) تدوين شده توسط موسسه 4IETF، يک پروتکل سيگنالينگ لايه کاربرد برمبناي کد اسکي است که به منظور راه اندازي ارتباط هاي محاوره اي روي يک شبکه IP بکار مي رود و هدف آن برقراري ، نگهداري و خاتمه دادن جلسات بين دو يا بيشتر نقطه انتهايي مي باشد. SIP با چند پروتکل ديگر IETF مثل پروتکل توصيف جلسه (SDP)5، پروتکل جريان بلادرنگ RTSP6 و پروتکل اعلام جلسه SAP7 استفاده مي شود. اين پروتکل به تعيين مکان ، امکانات و ميزان دردسترس بودن يک کاربر و تنظيم و مديريت يک ارتباط مي پردازد. دو جزء اصلي که توسط پروتکل SIP بکار مي رود، عامل هاي کاربر و سرورهاي آن مي باشد. البته عامل کاربر مي تواند در نقش مشتري که درخواست ها را توليد مي کند يا سرور که به درخواست ها پاسخ مي دهد عمل کند. سرور SIP مي تواند در نقش هاي متفاوت پراکسي ، ثبت کننده ٨ و redirect عمل کند. همانند پروتکل ٣٢٣.H، پروتکل SIP نيز از پروتکل UDP استفاده مي کند. همچنين در اين معماري به منظور برقراري امنيت بين برنامه هاي کاربردي که روي يک شبکه IP ارتباط برقرار مي کنند، مي توان از پروتکل امنيت لايه انتقال (TLS) جهت امن کردن پيام هاي سيگنالينگ و تصديق صحت استفاده کرد. پروتکل هاي توصيف ارتباط ، انتقال بلادرنگ ، کنترل گذرگاه رسانه و بلادرنگ رشته اي نيز پروتکل هايي هستند که SIP براي فرستادن داده ، کنترل کردن رسانه و دسترسي به وسايل مختلف از آن ها استفاده مي کند. همچنين از SRTP٩ جهت اطمينان به قابليت اعتماد و محرمانگي RTP استفاده مي شود [٢].
افراد بسياري SIP را بسيار قويتر از ٣٢٣.H و راه حل بسيار انعطاف پذيرتر، ساده تر، آسانتر براي انجام ، مناسبتر براي پشتيباني وسايل کاربر و مناسب تر جهت تکميل ويژگي هاي پيشرفته مي دادند. اين فاکتورها براي فروشنده تجهيزات يا اپراتور شبکه از اهميت زيادي برخوردار است . سادگي به اين معناست که محصولات و سرويس ها مي توانند سريعتر پيشرفت کنند و بسيار سريعتر در دسترس قرار گيرند.
٣- بررسي تهديدات و آسيب پذيري هاي VoIP
