Một trong những vấn đề phổ biến hiện nay là bảo mật mạng VoIP – cụ thể là cách khóa SIP Trunks, IP PBX, điện thoại SIP và bộ định tuyến khỏi bị hack. Sau đây, chúng tôi giới thiệu các cách khác nhau mà tin tặc có thể xâm nhập vào mạng thoại của bạn và các bước bạn có thể thực hiện để bảo mật hệ thống của mình.
VoIP so với điện thoại truyền thống
Hệ thống giọng nói truyền thống nổi tiếng là khó xâm nhập. Những kẻ tấn công sẽ phải có quyền truy cập vào các hệ thống độc quyền từ rất ít điểm vào sẵn có để xâm phạm chúng. Sự hiện diện thực tế thường là cần thiết hoặc từ bên trong văn phòng trung tâm của viễn thông hoặc từ bên trong tủ cáp của một doanh nghiệp để nghe trộm các cuộc trò chuyện thoại hoặc thực hiện hành vi gian lận số phí hoặc các hành động có hại khác. Một bảo mật vật lý mạnh mẽ trong cả hai lĩnh vực này hầu như luôn luôn đủ để bảo vệ mạng thoại khỏi tất cả những kẻ tấn công xảo quyệt nhất.
Nhập Thoại qua IP. Công nghệ VoIP tận dụng cơ sở hạ tầng của mạng gói IP. Điều này đã cho phép các dịch vụ thoại tiên tiến và truyền thông hợp nhất (UC) không thể thực hiện được với điện thoại truyền thống. Đồng thời, nó mở ra các mạng thoại trước những rủi ro bảo mật cố hữu giống như các mạng gói IP.
Tin tốt là những rủi ro bảo mật này có thể được giảm thiểu. Để làm như vậy, điều quan trọng là phải xác định và hiểu các rủi ro cũng như các phương pháp được sử dụng để giảm thiểu chúng. Với các biện pháp phòng ngừa bảo mật này, lợi thế của VoIP vượt trội hơn hẳn so với nỗ lực bảo vệ chúng khỏi những kẻ tấn công tiềm năng.
Các mối đe dọa thoại qua IP
Sau đây là một số mối đe dọa phổ biến nhất đối với hệ thống VoIP:
1. Đánh cắp danh tính và dịch vụ
Những kẻ tấn công có thể cố gắng ăn cắp dịch vụ từ nhà cung cấp dịch vụ trong khi tính phí cho bên thứ ba. Ví dụ, kẻ tấn công có thể có được quyền truy cập vào đường trục SIP của bên thứ ba và sử dụng thông tin đăng ký của người đăng ký để bắt đầu cuộc gọi của riêng họ. Điều này không chỉ gây ra chi phí cho thuê bao trung kế SIP hợp pháp, mà còn cho phép kẻ tấn công thực hiện hành động trên trung kế SIP bằng cách sử dụng danh tính của thuê bao.
2. Nghe trộm
Một mối đe dọa phổ biến khác đối với hệ thống VoIP là nghe trộm. Với điện thoại truyền thống, cần phải có quyền truy cập vật lý vào các dây dẫn của một mạch điện thoại cụ thể để thực hiện wiretapping để nghe trộm. Với điện thoại IP, phần mềm dò tìm gói tin có thể được sử dụng để bắt các gói tin thoại và tập hợp lại chúng để nghe cuộc trò chuyện đã diễn ra. Các cuộc trò chuyện không cần phải được nghe trong thời gian thực nhưng có thể được lưu và nghe vào một ngày sau đó. Kiểu tấn công này tương tự như kiểu tấn công Man-In-The-Middle (MITM) có thể xảy ra trên các mạng gói IP.
3. Vi rút và phần mềm độc hại
Vì VoIP tồn tại trong phạm vi mạng máy tính nên nó rất dễ bị tấn công giống như máy tính – từ vi rút và phần mềm độc hại. Các hệ thống VoIP như tổng đài IP, máy chủ IP Voice và thậm chí một số loại điện thoại IP có thể dễ bị tấn công bởi vi-rút được thiết kế đặc biệt để lây nhiễm hệ thống thoại. Phần mềm độc hại cũng có thể tự cài đặt vào các hệ thống này và làm ảnh hưởng đến chức năng của chúng.
4. Giả mạo cuộc gọi
Loại tấn công này liên quan đến việc giả mạo cuộc gọi điện thoại đang diễn ra. Điều này có thể làm giảm chất lượng cuộc gọi, gây nhiễu tín hiệu SIP hoặc ngắt kết nối hoàn toàn cuộc gọi. Mục đích của nó là cố tình gây ra hiệu suất mạng thoại chất lượng thấp.
Giảm thiểu mối đe dọa
Đây là những phương pháp hay nhất để giảm thiểu phần lớn các cuộc tấn cổng mạng VoIP:
1. Mã hóa các gói thoại và báo hiệu
Việc áp dụng một thuật toán mã hóa trên tất cả các gói thoại và các gói báo hiệu SIP là một phương pháp hay nhất mà tất cả các chuyên gia VoIP nên tuân theo. Hầu hết tất cả các thiết bị VoIP có sẵn trên thị trường, bao gồm cả tổng đài IP, cổng kết nối, điện thoại IP và điện thoại mềm, đều cung cấp một số cấp độ mã hóa tương đối dễ thực hiện. Các thuật toán mã hóa mạnh nhất hiện nay bao gồm Tiêu chuẩn mã hóa nâng cao sử dụng kích thước khóa 256 bit. Việc mã hóa như vậy sẽ giảm thiểu khả năng nghe trộm cũng như đánh cắp danh tính và dịch vụ.
Mã hóa là một dịch vụ mà các nhà cung cấp đường trục SIP thường áp dụng cho các gói thoại, nhưng ít thường xuyên hơn trên các gói báo hiệu SIP. Bạn nên đảm bảo rằng nhà cung cấp SIP của bạn triển khai cả hai và rằng cổng thoại và/ hoặc IP PBX của bạn hỗ trợ các phương pháp mã hóa được sử dụng bởi telco.
2. Bảo mật mạng IP thông thường
Phần lớn, các biện pháp được coi là thực tiễn tốt nhất để giảm thiểu rủi ro vốn có đối với mạng IP là đủ để bảo vệ mạng VoIP. Phần mềm chống vi-rút và phần mềm chống phần mềm độc hại, bảo vệ tường lửa, bảo vệ chống tấn công DDoS, cũng như cách ly VLAN và phân tách mạng con, tất cả đều góp phần bảo mật cho mạng VoIP. Điều này là do mạng dữ liệu VoIP và IP là một và giống nhau. Các biện pháp bảo mật này sẽ làm giảm việc giả mạo cuộc gọi cũng như truy cập trái phép vào các hệ thống và thiết bị VoIP.
3. Bảo mật vật lý – An ninh
Vật lý cũng quan trọng đối với các mạng VoIP hiện đại như đối với các mạng điện thoại truyền thống. Mặc dù các cuộc tấn công từ xa phổ biến hơn trên mạng VoIP, nhưng các hạn chế vật lý lỏng lẻo đối với các mạng lưới viễn thông vẫn có thể dẫn đến sự xâm phạm mạng VoIP.
Bảo mật các phần tử cụ thể của mạng thoại
Có các bước cụ thể mà bạn có thể thực hiện để bảo mật các phần khác nhau của mạng thoại của mình.
1. Điện thoại IP
Bản thân các điện thoại IP cần được bảo vệ khỏi truy cập vật lý để tránh thực hiện các cuộc gọi trái phép, đặc biệt là trong giờ ngoài giờ. Bảo mật bổ sung có thể được thêm vào bằng cách sử dụng mã ủy quyền phải được quay trước mỗi cuộc gọi tổng đài hoặc quốc tế hoặc thậm chí là mã khóa bảo mật chung sẽ khiến điện thoại không thể hoạt động cho đến khi nhập mã PIN. Bảo mật cấp độ mạng bổ sung có thể được triển khai bao gồm mã hóa các gói thoại đến và đi từ điện thoại IP, phân tách giọng nói trên một VLAN thoại riêng biệt và cập nhật thường xuyên chương trình cơ sở của điện thoại để giải quyết mọi lỗ hổng bảo mật có thể đã được phát hiện.
2. Tổng đài IP
Hầu hết các tổng đài IP đều chạy trên các máy chủ dựa trên Linux hoặc ở mức độ thấp hơn là các máy chủ dựa trên Windows. Các phương pháp hay nhất thông thường được sử dụng cho các máy chủ này, chẳng hạn như chống vi-rút, tường lửa phần mềm, bảo vệ phần mềm độc hại và sao lưu thường xuyên dữ liệu quan trọng, thường đủ để cung cấp bảo mật cần thiết cho IP PBX. Các tổng đài IP khác có thể chạy trên các thiết bị giống như một bộ định tuyến hơn là một máy chủ. Các thiết bị này phải được tiếp cận giống thiết bị mạng hơn là máy chủ Windows hoặc Linux.
3. Bộ định tuyến
Các thiết bị mạng như bộ định tuyến phải được bảo mật bằng cách sử dụng các phương pháp hay nhất điển hình được sử dụng để làm cứng các thiết bị đó. Điều này bao gồm bảo vệ bằng mật khẩu, giao tiếp quản lý được mã hóa, danh sách truy cập chặn các dải địa chỉ IP cụ thể và các cổng của Lớp truyền tải, cũng như tắt bất kỳ dịch vụ nào không được sử dụng. Các phương pháp hay nhất này cũng áp dụng cho bất kỳ thiết bị VoIP giống bộ định tuyến nào như IP PBX hoặc cổng thoại.
4. Đường trung kế SIP
Khi một cuộc trò chuyện thoại diễn ra qua đường trục SIP (hoặc giữa bất kỳ thiết bị hỗ trợ SIP nào), các gói thoại và gói điều khiển SIP được trao đổi tạo thành hai phiên hoặc kênh riêng biệt và độc lập giữa các điểm cuối SIP tham gia. Mã hóa là một dịch vụ mà các nhà cung cấp đường trục SIP thường áp dụng cho phần thoại của giao tiếp, nhưng không thường xuyên cho các gói điều khiển và báo hiệu SIP. Bạn nên đảm bảo rằng nhà cung cấp SIP của bạn triển khai mã hóa trên các tin nhắn SIP và cổng thoại và/ hoặc IP PBX của bạn hỗ trợ các phương pháp mã hóa được sử dụng bởi telco.
Bảo mật mạng VoIP thường là một vấn đề đơn giản khi thực hiện một số phương pháp hay nhất về bảo mật mạng cơ bản. Do sự hội tụ của mạng, hầu hết các lỗ hổng đối với mạng VoIP có thể được giảm thiểu bằng các phương pháp tương tự được sử dụng để bảo mật mạng IP. Nỗ lực bổ sung liên quan đến việc khóa mạng thoại còn vượt trội hơn rất nhiều bởi những lợi ích to lớn mà nó mang lại dưới dạng các dịch vụ thoại, dịch vụ UC và năng suất doanh nghiệp tiên tiến và hiệu quả hơn về chi phí.