BẢO MẬT TRONG VoIP 3.1 Vấn đề bảo mật trong VoIP
3.4.8 IDS (Intrusion Detection)
IDS là hệ thống giám sát tất cả các lưu lượng trong mạng. IDS là thiết bị thụ động, lưu lượng không đi qua nó, mà nó chỉ lấy tất cả các gói trên mạng để phân tích. Nếu có lưu lượng không bình thường bản thân nó sẽ phát cảnh
Hình 3- 9: Vị trí của IDS trong hệ thống
Hoạt động của IDS:
- IDS theo dõi tất cả những trạng thái bình thường của hệ thống và do đó phát hiện ra những tấn công bất thường vào hệ thống. Kiến trúc của nó gồm Call State Fact Base, chứa các trạng thái điều khiển và các biến trạng
thái, cho phép theo dõi tiến trình của cuộc gọi. Thông tin trạng thái được cập nhật từ Event Distributor. Attack Scenarino chứa những kiểu tấn công đã biết.
- IDS quản lý sự thay đổi trạng thái của các gói được phân tích bằng chức năng Call basis. Tất cả gói của một cuộc gọi được phân thành một nhóm, rồi lại chia thành các nhóm nhỏ dựa trên loại giao thức, rồi đưa vào các bộ máy phân tích khác nhau, các bộ máy này được đồng bộ bằng các tham số chung và các sự kiện nội bộ. Event Destributor cũng phân loại các gói nhận
được cho Attack Scenarino.
Các gói từ Event Destributor và thông tin trạng thái từ Attack Scenarino/ Call State Fact Base được đưa đến Analysis Engine. Khi có sự bất
thường nào về giao thức hay trùng với một kiểu tấn công biết trước thì IDS sẽ bật cờ cảnh báo cho người quản trị phân tích thêm.
Hình 3- 10: Cấu trúc bên trong của thiết bị IDS 3.5 Bảo vệ các thiết bị VoIP
Để có được tính sẵn sàng của thiết bị VoIP, bạn cần phải bảo vệ những thiết bị mà lưu lượng âm thanh nguồn hay thiết bị đầu cuối của thiết bị đó phải có khả năng chống lại các cuộc tấn công, như được mô tả chi tiết ở phần dưới đây:
Vô hiệu hoá những cổng và những dịch vụ không thường sử dụng: Điển hình là những cổng hoặc những dịch vụ không thường sử dụng mà được mở trên các thiết bị thoại làm cho chúng có thể công kích được tới sự khai thác của hacker. Luyện tập được khuyến cáo là vô hiệu hoá những cổng hoặc thiết bị của VoIP hoặc thiết bị hạ tầng IP (ví dụ như bộ switch, routers,…) sau đây là một vài điều mà bạn nên làm:
Vô hiệu hoá Telnet,TFTP, và những thiết bị tương tự nếu chúng không được sử dụng.
Nếu bạn chỉ đang sử dụng quản lý mạng đơn giản (SNMP) trên một thiết bị để thu nhặt dữ liệu, thì nên đặt SNMP ở chế độ chỉ đọc (read-only).
switches.
+ Sử dụng hệ thống bảo vệ sự xâm nhập dựa vào Host (HIPS):
Bạn có thể sử dụng HIPS để bảo mật cho những thiết bị thoại như là những nhân tố xử lý cuộc gọi. HIPS là phần mềm điển hình mà tập hợp thông tin về những cách dùng đa dạng rộng rãi của tài nguyên thiết bị như CPU, login attemp, số lượng ngắn,…Thông tin này được so sánh chống lại một tập hợp các quy tắc để xác định phải chăng một sự xâm phạm bảo mật đã xảy ra. Bằng việc phụ thuộc vào cách định hình những tham số, những hệ thống này có thể lấy những hoạt động phòng ngừa, ví dụ như kết thúc ứng dụng offen- ding, nhịp độ dữ liệu giới hạn từ những người sử dụng địa chỉ IP…