CHƢƠNG 3 : GIẢI PHÁP BẢO MẬT VoIP
3.3. xuất giải pháp khắc phục
3.3.1. Bảo vệ thiết bị Voice
Để có được tính sẵn sàng của thiết bị VoIP, bạn cần phải bảo vệ những thiết bị mà lưu lượng âm thanh nguồn hay thiết bị đầu cuối của thiết bị đó phải có khả năng chống lại các cuộc tấn công, như được mô tả chi tiết ở phần dưới đây:
Vô hiệu hóa những cổng và những dịch vụ không thường sử dụng: Điển hình là những cổng hoặc những dịch vụ không thường sử dụng mà được mở trên các thiết bị thoại, làm cho chúng có thể công kích được tới sự khai thác của hacker. Luyện tập được khuyến cáo là vô hiệu hóa những cổng hoặc thiết bị của VoIP hay là thiết bị hạ tầng IP (ví dụ như là bộ switch, routers,…) sau đây là một vài điều mà bạn nên làm:
Vô hiệu hóa Telnet, TFTP, và những thiết bị tương tự nếu chúng không được sử dụng. Nếu bạn chỉ đang sử dụng quản lý mạng đơn giản (SNMP) trên một thiết bị để thu nhặt dữ liệu, thì nên đặt SNMP ở chế độ chỉ đọc(read-only) Nếu bạn đang sử dụng sự quản trị trên nền mạng, thì luôn luôn sử dụng sự truy nhập an toàn với những giao thức như SSL.
Vô hiệu hóa bất kỳ cổng nào không thường sử dụng trên Layer 2 switches.
Sử dụng hệ thống bảo vệ sự xâm nhập dựa vào Host (HIPS): Bạn có thể sử dụng HIPS để bảo mật cho những thiết bị thoại như là những nhân tố xử lý cuộc gọi. HIPS là phần mềm điển hình mà tập hợp thông tin về những cách dùng đa dạng rộng rãi của tài nguyên thiết bị như CPU, login attemp, số lượng ngắt, vân vân. Thông tin này được so sánh chống lại một tập hợp những quy tắc để xác định phải chăng một sự xâm phạm bảo mật đã xảy ra. Bằng việc phụ thuộc vào cách định hình những tham số, những hệ thống này có thể lấy những hoạt động phòng ngừa ví dụ như là kết thúc ứng dụng offending, nhịp độ- dữ liệu giới hạn từ những người sử dụng/ địa chỉ IP , ….
3.3.2. Kế hoạch và chính sách bảo mật
Có rất nhiều cách để bảo mật tín hiệu, nhưng điều quan trọng là phải đánh giá được những nguy cơ bảo mật nào là quan trọng và mức độ ưu tiên bảo mật của những nguy cơ đó.
Đầu tiên cần thiết kế tài liệu về một kế hoạch hoạt động, phác thảo những ứng dụng, những thiết bị và mức độ ưu tiên bảo mật của chúng. Trong tài liệu này cần phải hướng dẫn những công nghệ được triển khai và mức độ ưu tiên triển khai. Kế hoạch hoạt động này cũng cần phải bao gồm một kế hoạch phúc đáp lại biến cố được phác thảo ở bước ban đầu, đặc biệt là có thể lấy ra sử dụng trong trường hợp có sự xâm phạm bảo mật. Kế hoạch cũng cần phải lấy tài liệu từ những chính sách bảo mật: mật khẩu, sự điều khiển truy nhập
Sự tin tưởng bắc cầu: Là sự tin tưởng được truyền từ server này tới server khác. Chẳng hạn, trong một hệ thống VoIP với nhiều phần tử server, một client có thể xác nhận với một trong những phần tử server. Những phần tử server khác không cần xác nhận client lần nữa. Mô hình tin tưởng này thường được sử dụng trong nhiều hệ thống phân tán. Khi bạn sử dụng mô hình này, những phần tử server phải có sự sắp xếp những chính sách bảo mật đề phòng những mối liên kết yếu mà một thiết bị hiểm độc có thể lợi dụng.
Những vấn đề chuyên biệt về nghi thức VoIP: Sự lựa chọn của những dịch vụ và công nghệ VoIP đặc biệt được triển khai luôn giữ một vai trò quan trọng trong kế hoạch bảo mật. Chẳng hạn, softphones chạy trên PC làm phức tạp sự phân đoạn data-voice. Bạn cũng cần xem xét sự phức tạp và tỷ lệ risk-reward của việc thực hiện một công nghệ nhất định. Chẳng hạn, kỹ thuật mật mã khóa- công cộng bao gồm cả những khó khăn trong việc triển khai cơ sở hạ tầng ban đầu như: những căn cứ chứng thực(CAs), những chứng thực, ... Thêm vào đó, một cơ sở hạ tầng khóa công cộng (PKI) yêu cầu phải được bảo trì hàng ngày.
NAT/Firewall Traversal Firewalls là một giao thức báo hiệu VoIP điển hình làm việc bằng cách kiểm thanh tra nội dung của các thông điệp báo hiệu: Dựa vào nội dung của những thông điệp báo hiệu này, chúng mở ra pinholes cho phương tiện truyền thông thoại để kiểm tra. Thoại ứng dụng Firewalls này đôi khi cũng được tham chiếu tới như là cổng vào tầng ứng dụng (ALG). Khả năng của firewalls là bẻ gãy VoIP-signaling- protocol aware nếu những thông điệp báo hiệu được mã hóa. Vì firewalls trung gian không thể khảo sát nội dung của việc báo hiệu những thông điệp, nên phương tiện truyền thông có thể bị tắc nghẽn. Bởi vậy, một lời khuyên là nên sử dụng một vùng địa chỉ riêng chỉ dành riêng cho VoIP thay vì bằng cách sử dụng sự chuyển đổi địa chỉ mạng (NAT) bên trong vùng địa chỉ VoIP
3.3.3. Mật khẩu và sự điều khiển truy cập
Đa số những thiết bị đều có những mật khẩu mặc định mà dễ dàng đoán được. Đối với mọi mật khẩu, bạn cần phải đề phòng việc thay đổi chúng và giữ chúng bí mật. Chẳng hạn, trong một môi trường VoIP, bạn cần phải giữ bảo mật sự quản trị và SNMP server. Vì vậy, những thiết bị có thể cho phép thiết lập lại mật khẩu nếu những người sử dụng có những truy nhập vật lý tới thiết bị đó (sự khôi phục mật khẩu power-on trên thiết bị IOS). Quản lý từ xa những thiết bị cũng là bình thường. Quan trọng là hạn chế những truy nhập tới thiết bị và dùng một hệ thống quản lý out-of-band.