مشكلة أمنية كبيرة عبر بروتوكول الإنترنت؟ انها رشفة

هناك احتمالات ، أن المستخدمين لم يسمعوا ببروتوكول بدء الجلسة (SIP) خارج أي اجتماعات قد تكون عقدت معهم بخصوص اتصالات شركتك. ولكن ، في الواقع ، ربما تشارك SIP في كل مكالمة هاتفية تقريبًا. SIP هو البروتوكول الذي يُجري مكالمات هاتفية ويكملها في معظم إصدارات Voice-over-IP (VoIP) ، سواءً كانت تلك المكالمات موضوعة على نظام هاتف مكتبك أو هاتفك الذكي أو على تطبيقات مثل Apple Facetime أو Facebook Messenger أو مايكروسوفت سكايب.

عند إجراء مكالمة ، يتصل SIP بجهاز الاستقبال ، ويوافق على طبيعة المكالمة ، ويقوم بالاتصال. بعد ذلك ، يحمل بروتوكول آخر (هناك عدة) محتوى المكالمة. عند انتهاء المكالمة وفصل الأطراف ، يكون SIP مرة أخرى هو البروتوكول الذي ينهي المكالمة. قد لا يبدو هذا كأنه مشكلة أمنية ، ولكنه في الحقيقة.

ذلك لأن SIP لم يكن مصممًا في الأصل ليكون آمنًا ، مما يعني أنه تم اختراقه بسهولة. ما لا يعرفه معظم محترفي تكنولوجيا المعلومات هو أن SIP هو بروتوكول مستند إلى نص يشبه إلى حد بعيد لغة توصيف النص التشعبي (HTML) ، مع معالجة تشبه ما ستصادفه في بروتوكول نقل البريد البسيط (SMTP) للبريد الإلكتروني العادي. يتضمن الرأس معلومات حول جهاز المتصل وطبيعة المكالمة التي يطلبها المتصل وتفاصيل أخرى ضرورية لإنجاح المكالمة. يقوم جهاز الاستقبال (الذي يمكن أن يكون هاتفًا خلويًا أو هاتف VoIP أو ربما تبادل فرع خاص أو PBX) بفحص الطلب وتحديد ما إذا كان يمكنه استيعابه أو ما إذا كان يمكنه العمل مع مجموعة فرعية فقط.

ثم يقوم جهاز الاستقبال بإرسال رمز إلى المرسل للإشارة إلى أن المكالمة إما مقبولة أو غير مقبولة. قد تشير بعض الرموز إلى أنه لا يمكن إكمال المكالمة ، مثل الخطأ 404 المزعج الذي تراه عندما لا تكون صفحة الويب على العنوان الذي طلبته. ما لم يتم طلب اتصال مشفر ، كل هذا يحدث كنص عادي قد ينتقل عبر الإنترنت المفتوح أو شبكة مكتبك. هناك حتى أدوات متاحة بسهولة تتيح لك الاستماع إلى المكالمات الهاتفية غير المشفرة التي تستخدم Wi-Fi.

حماية مكالمة SIP

عندما يسمع الناس أن البروتوكول الأساسي غير آمن ، فغالبًا ما يتخلون عنه. لكن ليس عليك القيام بذلك هنا ، لأن حماية مكالمة SIP ممكنة. عندما يريد الجهاز إجراء اتصال بجهاز SIP آخر ، فإنه يستخدم عنوانًا مثل هذا: SIP:. ستلاحظ أن هذا يشبه إلى حد كبير عنوان البريد الإلكتروني باستثناء "SIP" في البداية. سيسمح استخدام هذا العنوان لاتصال SIP بإعداد مكالمة هاتفية ولكن لن يتم تشفيره. لإنشاء مكالمة مشفرة ، يحتاج جهازك إلى استخدام عنوان مختلف قليلاً: SIPS:. يشير "SIPS" إلى اتصال مشفر بالجهاز التالي باستخدام أمان طبقة النقل (TLS).

تكمن المشكلة في الإصدار الآمن من SIP في وجود النفق المشفر بين الأجهزة أثناء توجيه المكالمة من البداية إلى نهاية المكالمة ولكن ليس بالضرورة أثناء مرور المكالمة عبر الجهاز. لقد أثبت هذا أنه نعمة بالنسبة لوكالات إنفاذ القانون وأجهزة الاستخبارات في كل مكان لأنه يتيح إمكانية الاستفادة من المكالمات الهاتفية عبر بروتوكول الإنترنت التي قد تكون مشفرة.

تجدر الإشارة إلى أنه من الممكن تشفير محتويات مكالمة SIP بشكل منفصل ، حتى إذا تم اعتراض المكالمة ، لا يمكن فهم المحتويات بسهولة. طريقة سهلة للقيام بذلك هي ببساطة تشغيل مكالمة SIP آمنة عبر شبكة خاصة افتراضية (VPN). ومع ذلك ، ستحتاج إلى اختبار هذا لأغراض العمل للتأكد من أن موفر VPN يوفر لك عرض نطاق ترددي كافٍ في النفق لتجنب تدهور الاتصال. لسوء الحظ ، لا يمكن تشفير معلومات SIP نفسها ، مما يعني أنه يمكن استخدام معلومات SIP للوصول إلى خادم VoIP أو نظام الهاتف عن طريق سرقة مكالمة SIP أو خداعها ، لكن هذا سيتطلب هجومًا متطورًا ومستهدفًا إلى حد ما.

إعداد شبكة محلية افتراضية

بطبيعة الحال ، إذا كانت مكالمة VoIP المعنية هي أمر يتعلق بشركتك ، فيمكنك إعداد شبكة محلية ظاهرية (VLAN) لمكالمات الصوت عبر بروتوكول الإنترنت (VoIP) فقط ، وإذا كنت تستخدم VPN على مكتب بعيد ، يمكن لشبكة VLAN السفر عبر ذلك اتصال كذلك. تتميز شبكة VLAN ، كما هو موضح في قصتنا حول أمان VoIP ، بميزة توفير شبكة منفصلة لحركة الصوت بشكل فعال ، وهو أمر مهم لعدة أسباب ، بما في ذلك الأمان ، حيث يمكنك التحكم في الوصول إلى شبكة VLAN في مجموعة متنوعة من طرق.

المشكلة هي أنه لا يمكنك التخطيط لإجراء مكالمة عبر بروتوكول الإنترنت (VoIP) قادمة من داخل شركتك ، ولا يمكنك التخطيط للمكالمة التي نشأت أثناء وصول بروتوكول الصوت عبر الإنترنت (VoIP) عبر مفتاح المكتب المركزي لشركة الهاتف الخاص بك ، حتى إذا كنت متصلاً بأحد أولئك. إذا كان لديك بوابة الاتصال الهاتفي التي تقبل مكالمات SIP من خارج المبنى الخاص بك ، فسوف تحتاج إلى وجود جدار حماية قادر على SIP يمكنه فحص محتويات الرسائل للبرامج الضارة وأنواع مختلفة من الخداع. يجب أن يقوم جدار الحماية هذا بحظر حركة مرور البيانات غير المرتبطة بـ SIP كما يجب تكوينه كوحدة تحكم لحدود الجلسة.

منع اختراق البرامج الضارة

مثل HTML ، يمكن لرسالة SIP أيضًا توجيه البرامج الضارة إلى نظام هاتفك ؛ هذا يمكن أن يستغرق أكثر من شكل واحد. على سبيل المثال ، يمكن للرجل السيئ أن يرسل لك هجومًا يشبه Internot of Things (IoT) يشبه البرامج الضارة على الهواتف ، والتي يمكن استخدامها بعد ذلك لإرسال المعلومات إلى خادم الأوامر والتحكم أو لتمرير معلومات الشبكة الأخرى. أو يمكن أن تنتشر مثل هذه البرامج الضارة في هواتف أخرى ثم تُستخدم لإغلاق نظام هاتفك.

بدلاً من ذلك ، يمكن استخدام رسالة SIP المصابة لمهاجمة جهاز softphone على جهاز كمبيوتر ثم إصابة الكمبيوتر. لقد حدث ذلك لعميل Skype الخاص بـ Apple Macintosh ومن المحتمل أن يحدث لأي عميل softphone آخر أيضًا. هذا احتمال يزداد احتمالًا لأننا نرى عددًا متزايدًا من الهواتف المحمولة الناشئة من العديد من بائعي الصوت عبر بروتوكول الإنترنت (VoIP) وموردي التعاون ، بما في ذلك أمثال Dialpad و RingCentral Office و Vonage Business Cloud ، من بين عدة شركات أخرى.

الطريقة الوحيدة لمنع مثل هذه الهجمات هي التعامل مع نظام VoIP الخاص بمؤسستك بنفس القدر من القلق الأمني ​​تمامًا مثلما تفعل شبكات البيانات الخاصة بك. يعد هذا تحديًا إلى حد ما ، فقط لأنه ليس كل منتجات الأمان على دراية بـ SIP ، ولأن SIP يُستخدم في أكثر من مجرد تطبيقات صوتية - كون مؤتمرات الفيديو والنصوص مثالين بديلين فقط. وبالمثل ، لا يمكن لجميع مزودي شبكة VoIP اكتشاف مكالمات SIP وهمية. هذه كلها أسئلة ستحتاج إلى معالجتها مع كل مورد قبل المشاركة.

• أفضل موفري خدمات الصوت عبر بروتوكول الإنترنت لعام 2019 أفضل موفري خدمات الصوت عبر بروتوكول الإنترنت لعام 2019
• 9 خطوات لتحسين شبكتك لـ VoIP 9 خطوات لتحسين شبكتك لـ VoIP
• جوائز Business Choice 2018: أنظمة نقل الصوت عبر بروتوكول الإنترنت (VoIP) جوائز اختيار الأعمال لعام 2018: أنظمة نقل الصوت عبر بروتوكول الإنترنت (VoIP)

ومع ذلك ، يمكنك اتخاذ خطوات لتكوين أجهزة نقطة النهاية الخاصة بك بحيث تتطلب مصادقة SIP. يتضمن ذلك المطالبة بمعرف موارد موحد صالح (URI) (يشبه عنوان URL الذي اعتدت عليه) ، واسم مستخدم يمكن المصادقة عليه ، وكلمة مرور آمنة. نظرًا لأن SIP يعتمد على كلمات المرور ، فهذا يعني أنه سيتعين عليك فرض سياسة كلمة مرور قوية لأجهزة SIP ، وليس لأجهزة الكمبيوتر فقط. أخيرًا ، بالطبع ، ستحتاج إلى التأكد من أن أنظمة كشف التسلل والوقاية الخاصة بك ، بغض النظر عن وجودها على شبكتك ، تفهم شبكة VoIP الخاصة بك أيضًا.

كل هذا يبدو معقدًا ، وهو كذلك إلى حد ما ، ولكنه في الحقيقة مسألة إضافة محادثة VoIP إلى أي محادثة شراء مع بائع مراقبة شبكة أو أمان تكنولوجيا المعلومات. مع نمو SIP إلى حالة واسعة الانتشار تقريبًا في العديد من مؤسسات الأعمال ، سيؤكد بائعي منتجات إدارة تكنولوجيا المعلومات عليها المزيد والمزيد ، مما يعني أن الوضع يجب أن يتحسن طالما أن مشتري تقنية المعلومات يجعلونه أولوية.