پیشگفتار
سلام خدمت همه دوستان، امیدواریم از قسمت اول مقاله آموزشی (امنیت ویپ در 20 گام) نهایت استفاده را برده باشید قسمت دوم این مقاله آماده است که می توانید از ان استفاده کنید.
در پایان هر قسمت از مقاله نسخه PDF آن را می توانید دانلود کنید.
قسمت دوم مقاله آموزشی (امنیت ویپ در 20 گام)
امنیت ویپ و کاهش آسیب پذیری در بیست گام
پیشنهاد ها, توصیه ها, پیش بینی ها و نکات کلیدی ذیل جهت تامین امنیت سرویس ها و سیستم های ویپ در مقابل آسیب پذیری و نفوذ می باشند.
یکم: محدودیت دسترسی شبکه
محدود کردن دسترسی سرویس دهنده ویپ
محدود کردن دسترسی برای همه آی پی های بیرون شبکه و دسترسی گروه خاص از آی پی های مورد نیاز.
به ویژه محدود کردن دسترسی برای آی پی های خارج از ایران
محدود کردن دسترسی تنها به پورت های ضروری
ضروری
(SIP: 5060(TCP/UDP
(RTP: 10000-20000(UDP
(IAX2: 4569(UDP
اختیاری
با توجه به تنظیمات سرویس دهنده:Web Access
(SSH: 22 (TCP
با توجه به تنظیمات سرویس دهنده: AMI
دوم: تغییر پورت های دسترسی شبکه
پورت های دسترسی پیش گزینه یا متداول را تغییر دهید. این تغییر برای جلوگیری از حمله و نفوذ از سیستم های نفوذ و هک خودکار تا درصد قابل ملاحظه ای مفید می باشد. این تغییر بهتر است یک عدد تصادفی و نا معمول باشد.
پورت های متداول و پیش گزینه ای که پیشنهاد می شود تعویض شود:
SSH, Web Access, SSL, SIP, IAX2
سوم: استفاده از NAT
از سرویس NAT استفاده کنید. سرویس دهنده ویپی که پشت سرویس NAT قرار دارد از امنیت قابل ملاحظه بیشتری برخوردار است. استفاده از DMZ بدون هیچ امکانات دیگری می تواند بدترین گزینه انتخابی باشد که آسیب پذیری را بسیار افزایش می دهد. وقتی از سرویس NAT استفاده می کنید باید مراقب ملاحظات پروتکل SIP نیز باشید.
چهارم: استفاده از Fail2Ban
از سرویس Fail2Ban استفاده کنید. سرویس Fail2Ban برای جلوگیری از هک و نفوذ نام کاربری و رمز سیستم با روش سعی و خطا می شود. سرویس Fail2Ban دارای Log مناسب می باشد و در صورتی که نفوذ از یک منبع تکراری باشد, آی پی منبع مورد نظر تا مدت زمان دلخواه مسدود می شود.
پنجم: محدودیت امکان ریجیستر شدن داخلی های سیستم
امکان ریجیستر شدن داخلی های سیستم را به یک شبکه خاص و یا آی پی خاص محدود کنید. این امکان در سیستم های مبتنی بر استریسک با پارامترهای Permit/Deny امکان پذیر است.
با این محدودیت اگر نام کاربری و رمز داخلی فاش شده و یا به سرقت برود آی پی آدرس های غیر مجاز، نمی تواند با آن داخلی رجیستر شود.
ششم: محافظت از Outbound Route
در واقع بخش با اهمیت و نگران کننده سرویس دهنده ویپ مسیر خروج تماس ها به مخابرات است. نفوذ و هک به منظور دسترسی به این بخش صورت می گیرد.
در یک سیستم می توان محدودیت های ذیل را برای سخت تر شدن نفوذ در نظر گرفت:
رمز برای Outbound Route, به ویژه برای تماس های بین اللملی (00).
محدودکردن داخلی های مشخص به Outbound Route
فعال بودن در محدوده زمانی مشخص برای Outbound Route
هفتم: استفاده از رمزهای عبور مناسب
کلیه رمزهای عبور مناسب می بایست پیچیده, غیر قابل پیش بینی, تصادفی. یک رمز قوی و مناسب کلمه ای است ترکیبی از عدد, حروف(کوچک و بزرگ), نشانه با حداقل طول 12 کاراکتر.
هشتم: محدود کردن تعداد مکالمات همزمان
تعداد مکالمات هم زمانی را که یک داخلی می تواند انجام دهد را محدود کنید. همین طور تعداد کانال های همزمان برای ترانک را هم محدود کنید.
نهم: مانیتورینگ و نظارت
تنظیمات مربوط به لاگ های سیستم, نگهداری در محل مناسب و مدت مناسب و در ادامه بررسی به طور منظم و برنامه ریزی شده به پیش بینی و پیش گیری از آسیب های امنیتی و یا پوشش حفره یا خلاء امنیتی کمک می کند.
دهم: امنیت لایه شبکه
برای تامین امنیت حداکثری پیاده سازی شبکه ای با ساختار امن و مطمئن برای سرویس دهنده ویپ ضروری است. بهره گیری از فایروال مناسب, مانیتورینگ و….. که توسط کارشناس مورد نظر پیاده سازی و نصب گردیده ضروری به نظر می رسد.
ادامه دارد…
