3.2.5.1 Các mối nguy hiểm
Kết nối thiết bị với Internet để lộ toàn bộ mạng lƣới đối với các loại mối đe dọa. Một ví dụ là một cuộc tấn công mà kẻ xâm nhập sẽ cố gắng để đăng nhập vào một dịch vụ sử dụng cơ sở dữ liệu tên ngƣời dùng / mật khẩu và cố gắng thử kết hợp một số lƣợng lớn các tên ngƣời dùng và mật khẩu cho đến khi kẻ xâm nhập thành công trong việc tìm kiếm một trong những quyền truy nhập. Sau khi truy cập đƣợc cấp kẻ đột nhập có thể thực hiện các loại tấn công dựa trên các lỗ hổng bảo mật tới các dịch vụ liên quan và theo cách này đƣợc tiếp cận với các dịch vụ hoặc các dữ liệu khác.
Một ví dụ khác của một mối đe dọa sẽ là tấn công từ chối dịch vụ (DoS) tấn công mà kẻ tấn công sử dụng nhiều máy chủ khác nhau hoặc "máy tính ma" để gửi một số lƣợng lớn các gói dữ liệu để làm cho chủ bị chết hoặc sập do có số lƣợng lớn các lƣu lƣợng truy cập.
Trên đây là hai ví dụ về các tấn công truyền thông dữ liệu truyền thống. Những cách thức này và nhiều phƣơng thức khác có thể dễ dàng đƣợc chuyển đổi thành các cuộc tấn công trên các thiết bị VoIP. Liên minh an ninh VoIP hoặc VoIP-SA đã phân loại các cuộc tấn công có thể và các mối đe dọa trên một hệ thống VoIP và thực hiện công bố công khai các thông tin này. Tài liệu này là một nguồn cho sự hiểu biết những gì các mối đe dọa cần phải thực hiện khi nói đến bảo vệ VoIP trong kịch bản SIP trunking.
3.2.5.2 Tầm quan trọng của một nền tảng ổn định
Các nhà cung cấp tƣờng lửa đã có nhiều kinh nghiệm trong việc đảm bảo thông tin liên lạc dữ liệu. Họ biết làm thế nào để thiết kế các hệ thống ổn định hệ thống đƣợc khóa đóng để chỉ cho phép các dịch vụ đã đƣợc cấu hình đi qua. Tƣờng lửa kiểm tra và ghi “log” lƣu lƣợng, nếu đủ thông minh, chúng thậm chí có thể ngăn chặn các cuộc tấn công tình nghi bao gồm cả lƣu lƣợng truy cập từ các mối nguy hiểm đã biết.
Tƣờng lửa một mình không thể ngăn chặn các tấn công DoS, nhƣng chúng có thể đƣợc xây dựng để chịu các cuộc tấn công, làm cho chúng khó xảy ra. Tƣờng lửa cũng có thể đặt nền móng cho sự phục hồi nhanh chóng. Quan trọng hơn, họ có thể đƣợc xây dựng để bảo vệ mạng LAN doanh khỏi sự tiếp cận của các cuộc tấn công DoS.
3.2.5.3 Bảo vệ báo hiệu SIP
Tƣờng lửa với một máy chủ SIP và SIP proxy đầy đủ đóng một vai trò quan trọng trong việc duy trì an ninh doanh nghiệp, và đảm bảo SIP trunking. Chúng có thể đóng gói lại tiến trình và báo hiệu SIP trong một cách rất linh hoạt, đảm bảo định tuyến chính xác và khả năng tƣơng tác với các hệ thống khác đƣợc xây dựng theo RFC 3261 và các tiêu chuẩn liên quan.
Một phần quan trọng của SIP proxy là phân tích cú pháp SIP. Phân tích cú pháp SIP xác nhận rằng các bản SIP là hợp lệ và nó có thể đƣợc chuyển tiếp đến các mạng LAN. Bản tin SIP bị thay đổi sẽ bị loại bỏ. Phân tích cú pháp SIP phải đủ mạnh để chịu đƣợc bất kỳ loại bản tin SIP bị thay đổi mà không bị sập. Ngoài ra, để giảm thiểu các tấn công DoS, phân tích cú pháp sẽ có thể xử lý một số lƣợng rất lớn các gói tin.
SIP proxy nên bao gồm hỗ trợ cho cơ chế phát hiện vòng lặp tùy chọn đƣợc định nghĩa trong tiêu chuẩn kỹ thuật SIP. Cơ chế này phân biệt xem một tin nhắn SIP đang bị lặp (gửi bản tin SIP tới chính nó), và nếu bị lặp sẽ thực hiện xử lý. Cơ chế phát hiện này cũng bảo vệ chống lại các tấn công DoS, nơi một bản tin SIP đƣợc xây dựng để tạo ra các vòng lặp và do đó giữ cho SIP proxy quá bận để tham gia vào xử lý hữu ích khác.
Để bảo vệ tài nguyên, ví dụ một cổng PSTN, việc xác thực đối với ngƣời sử dụng SIP cần đƣợc hỗ trợ. Các phƣơng thức tiêu chuẩn của xác thực thuê bao SIP là thông qua giao thức Digest. Thông tin SIP của ngƣời dùng đƣợc lƣu trữ trong một cơ sở dữ liệu tập trung ví dụ trên một máy chủ RADIUS. Điều này an toàn hơn và
Báo hiệu SIP bao gồm các bản tin dạng text theo mã ASCII (văn bản gốc), và do đó dễ đọc và dễ thao tác. Nó đƣợc khuyến nghị cao về mã hóa và xác thực hiệu SIP. Điều này thƣờng đƣợc thực hiện bằng cách hỗ trợ TLS hoặc MTLS. MTLS là phƣơng pháp an toàn nhất cả máy chủ và khách hàng cùng xác nhận lẫn nhau sử dụng chứng nhận CA-signed hoặc chuỗi chứng nhận.
Để cung cấp cơ chế bảo vệ tốt hơn và linh hoạt hơn, các bộ lọc là có tính năng rất hữu ích. Một bộ lọc thông thƣờng sẽ bao gồm:
• Các phƣơng pháp SIP có thể đƣợc cho phép hoặc bị cấm cho mỗi mạng. • Xác thực có thể đƣợc bật hoặc tắt cho mỗi mạng và phƣơng thức SIP. • Các bản tin SIP có thể đƣợc lọc theo loại nội dung.
• Ngƣời gọi đến có thể đƣợc giới hạn trong một danh sách trắng, danh sách này có thể đƣợc bật / tắt cho mỗi ngƣời dùng khác nhau.
• Một bộ lọc dựa trên tiêu đề bản tin từ đâu / đến đâu có thể đƣợc sử dụng để cho phép hoặc không cho phép xử lý.