Để đáp ứng nhu cầu bảo mật cao cho Chứng Khốn ABC với hệ thống VoIP trên nền cơng
nghệ IP, Avaya với các giải pháp, mơ hình bảo mật trên từng thiết bị lõi, trên các kết nối: Avaya Media Server, Avaya Media Gateway, Switch, IP telephony và các phần mềm triển khai trên hệ thống; việc bảo mật trên từng phân đoạn mạng trong nội mạng, cũng như những kết nối từ bên ngoài vào hệ thống tổng đài của Chứng Khốn ABC.
4.1. Giải pháp an tồn trên Avaya Media Server:
4.1.1. Avaya Linux: Hệ thống Avaya Communication Manager Media Server chạy dưới hệ điều hành Linux chuẩn. Các thế mạnh của Avaya Linux: dưới hệ điều hành Linux chuẩn. Các thế mạnh của Avaya Linux:
• Netfilter trong Kernel của Linux giúp ta xây dựng tường lửa với khả năng chống lại các cuộc tấn công DoS (Denial of Service) rất mạnh như: SYN floods, ping loods, malformed packets, oversized packets, sequence number spoofing, ping/finger of death, ...
• Tất cả các tập tin và thư mục đều được gán ở mức khả năng truy cập thấp nhất. Trên ổ cứng lại chia ra nhiều phân vùng, mỗi phân vùng sẽ giới hạn một vài loại dữ liệu mà nó có thể chứa. Một vài phân vùng chỉ chứa các phần mềm có khả năng thực thi, các phân vùng này phải được "mounted" để cho phép chương trình chạy. Các phân vùng khác chỉ chứa dữ liệu, việc thực thi các phần mềm sẽ không được phép. Việc này giúp cho hệ thống tối thiểu hóa việc nhiễm virus và phát tán chúng.
• Avaya media server sử dụng hệ điều hành Linux được tối ưu hóa theo gói sản phẩm RedHat Linux. Điều này có nghĩa là chỉ có các thành phần cần thiết để hệ điều hành hoạt động mới được tích hợp vào, các thành phần được sử dụng để chỉ cấu hình server cũng sẽ vơ hiệu hóa khi khơng sử dụng như: NFS, SMB, X-windows, rcp, rsh, rlogin, and rexec. Và ta có thể yên tâm khi sử dụng một hệ điều hành được đảm bảo bởi Avaya: không virus, không rootkit (khi mới cài đặt).
• Tất cả các IP port khơng sử dụng sẽ đóng hết và sẽ bị firewall lọc hết nếu có ai đó cố ý bật lên mà không thông qua ban quản trị hệ thống.
4.1.2. Secure Access: Cơ chế truyền tập tin theo kiểu bình thường bao gồm: TELNET, HTTP, FTP. Các cơ chế này đều hổ trợ việc xác thực khi đăng nhập, tuy TELNET, HTTP, FTP. Các cơ chế này đều hổ trợ việc xác thực khi đăng nhập, tuy nhiên vẫn yếu do trong q trình đăng nhập mật khẩu khơng được mã hóa, thêm vào đó thơng tin các phiên làm việc cũng ở chế độ clear text. Để tránh tình trạng này Avaya Media Server cung cấp các ứng dụng như: SSH (Secure Shell Access), SCP/SFTP (Secure Copy), và sử dụng SSL với HTTPS an toàn trong việc truy cập các trang web:
• SSH, SCP/SFTP cung cấp cơ chế truy cập từ xa và sao chép tập tin. Các thơng tin đều được mã hóa trong q trình đăng nhập cũng như truyền dữ liệu.
• SSL/HTTPS cung cấp cơ chế lướt web bình thường nhưng HTTP sẽ tự động chuyển sang HTTPS.
• Trên Avaya Media Server, dịch vụ FTP ở dạng mặc định sẽ bị vô hiệu hóa. Khi có yêu cầu truyền dữ liệu, người quản trị phải đăng nhập vào và cho phép dịch vụ hoạt động. Sau đó tập tin sẽ được truyền bằng anonymous FTP và FTP server có thể được tự động vơ hiệu hóa sau khi kết thúc phiên làm việc.
4.1.3. One-Time-Passwords (OTP): Avaya Media Server cho phép bạn tùy chọn chế độ One-Time-Password. Ở chế độ thông thường trên một hệ thống, tên đăng nhập và độ One-Time-Password. Ở chế độ thông thường trên một hệ thống, tên đăng nhập và mật khẩu của người dùng sẽ được giữ cố định. Khi họ tiến hành đăng nhập vào hệ thống, thơng tin của họ có thể bị đánh cắp thông qua một số phần mềm theo dõi trong nội mạng (network sniffer). Với tùy chọn OTP, tên đăng nhập của người dùng vẫn được giữ nhưng mật khẩu thì khơng. Với mỗi người dùng, ta sẽ tạo ra một danh sách mật khẩu khác nhau cho người dùng đó sử dụng trong việc đăng nhập. Mỗi lần đăng nhập, người đó dùng một mật khẩu và sau khi đăng xuất mật khẩu đó sẽ bị vơ hiệu hóa.
4.1.4. Link Protection: Các kết nối được bảo vệ bao gồm: media gateway control links, registration, admission, RAS link, call signaling links, media (âm thoại hoặc dữ liệu) registration, admission, RAS link, call signaling links, media (âm thoại hoặc dữ liệu) links, và administration access links. Giải pháp đưa ra:
• Luồng âm thoại (voice streams) được mã hóa bằng thuật toán AES (Advanced Encryption Standard) hoặc AEA (Avaya Encryption Algorithm).
• Administration links có thể sử dụng các giao thức SSH, TLS/HTTPS.
4.2. Giải pháp an toàn trên Avaya Media Gateway: Hệ điều hành chuyên dụng trên
Gateway; các cổng kết nối được giới hạn; điều khiển, cấu hình thơng qua Media Server; cáp nối với các Media Gateway bằng cáp riêng chuyên dụng; cơ chế phòng ngừa tấn cơng từ chối dịch vụ (DoS) được tích hợp sẵn; dự phòng bằng nhiều module CLAN, MEDPRO,..
4.3. Giải pháp an toàn trên điện thoại IP: Việc đăng nhập vào điện thoại được quyết định bằng mật khẩu kết hợp số máy nhánh; mạng LAN ảo (VLAN) riêng cho quyết định bằng mật khẩu kết hợp số máy nhánh; mạng LAN ảo (VLAN) riêng cho thoại do đó khơng có sự xâm nhập bằng các phần mềm chạy trên cùng mạng LAN; khả năng kết nối với hệ thống thông qua nhiều kết nối CLAN khác nhau (8 kết nối), cuộc gọi được mã hóa,…