Các kế hoạch bảo mật đối với hệ thống VOIP
Tác giả: Nguyễn Thanh Phước
6.1 Các cơ sở cấu trúc bảo mật hiện hành
Chúng ta bắt đầu quá trình bảo mật cấu trúc VoIP bằng cách xem lại các cấu trúc bảo mật hiện hành. việc các thành phần VoIP hoạt động với dữ liệu mạng là một cơ hội tốt để xem lại và bổ sung các chính sách bảo mật hiện có, cũng như cấu trúc và quá trình xử lý của chúng.
Hình bên dưới mô tả các thành phần cấu trúc bảo mật
Hình 6.1: các thành phần cấu trúc bảo mật
Interface giữa dữ liệu và thoại với mạng bên ngoài được mô tả bằng những vòng tròn từ 1 đến 6. Thêm vào đó, dữ liệu và thoại chia sẻ interface với giao diện vật lý và Social. Interface từ data mạng bao gồm VPN, điện thoại và modem, các loại web và dịch vụ mail điện tử, các kết nối từ các công ty con bên ngoài thông qua đường WAN. Các kỹ thuật bảo mật như là Firewall, IDS và ACLs hữu dụng cho những Interface này.
Interface từ 7 đến 9 mô tả ứng với admin, user và các tổ chức kết nối mạng
Interface 10 đến 12 là những interface giữa phần vật lý với dữ liệu và thoại. Gần đây, một số vấn đề xảy ra trong khu vực này, kết quả là làm mất dữ liệu quan trọng
Cuối cùng interface 13 miêu tả VLAN (Virtual LAN) interface
Việc liệt kê các danh sách này thực ra cũng không cần thiết, nhưng nó cũng chỉ cho chúng ta biết nơi mà việc thực hiện bảo mật đạt hiệu quả nhất.
Mục đích của phần này là giúp chúng ta củng cố lại các khái niệm với nhiều thành phần mà bạn được yêu cầu đảm bảo trên mạng VoIP/data
- Phương pháp và chính sách bảo mật
Từ lợi ích của thông tin liên lạc, yêu cầu đảm bảo hệ thống mạng và bao gồm cả cơ sở kiến trúc thông tin liên lạc
Quá trình bảo mật hội tụ mạng VoIP/Data bắt đầu bằng sự đưa ra, sự bổ sung, sự liên lạc hiệu quả của các chính sách bảo mật. Một chính sách khi được viết ra, thì cũng cần thêm một khoảng thời gian để đưa ra thảo luận. Một chính sách có những ưu điểm thuận lợi được xây dựng dựa trên hệ thống báo cáo của một tổ chức nào đó cần phải đảm bảo các tiêu chuẩn về chất lượng, tính tin cậy, tính toàn diện. Khi đạt được điều này, việc bảo mật thông tin trở nên dễ dàng đối với người quản trị cũng như gánh nặng về kỹ thuật, và thêm nhiều thuận lợi khác nữa.
Việc đề ra chính sách là một bước quan trọng tiến đến việc chuẩn hóa các hoạt động tổ chức kinh doanh. Chính sách của tổ chức là phương tiện truyền tải quản lý đảm bảo các vấn đề bảo mật IT, đồng thời cũng làm sang rõ đối với các bên cộng tác, liên quan hoặc những người có trách nhiệm. Những chính sách đề ra phải thiết lập các chuẩn cho việc bảo vệ tài nguyên thông tin bằng cách đưa ra các chương trình quản lý, những nguyên tắc cơ bản, những định nghĩa, những hướng dẫn cho mọi người bên trong tổ chức. Mục tiêu chính của chính sách bảo mật là ngăn chặn những hành vi có thể dẫn tới nguy hiểm
Không có một quá trình tốt nhất cho sự phát triển các chính sách bảo mật. Những quá trình này phụ thuộc vào các biến như kích thước, tuổi và vị trí của tổ chức đó, sự điều chỉnh tác động của tổ chức, tính nhạy cảm của tổ chức về các nguy cơ.
Vậy ta tìm hiểu thế nào là chính sách tốt???
Bất chấp điểm xuất phát, sự phát triển của những chính sách kia là một quá trình lặp lại, chính sách đầu tiên được loại bỏ.
Các tài liệu các chính sách bảo mật phác thảo được đánh giá an toàn dựa trên một số đặc trưng:
+ Phạm vi của tài liệu có thích hợp?
+ Áp dụng chính sách đối với những ai?
+ Thông tin của tổ chức được định nghĩa toàn diện?
+ Chính sách này có phù hợp với chỉ thị, hướng dẫn của tổ chức, có phù hợp với luật pháp hay không?
+ Và còn nhiều điều kiện khác nữa…
Những hướng dẫn, những chính sách, những thủ tục có hiệu quả cho việc bảo vệ hệ thống mạng của bạn:
+ Chính sách điều khiển truy cập
+ Chính sách quản lý tài khoản
+ Chính sách sẵn sàng
+ Chính sách quản lý cấu hình và những thủ tục
+ Chính sách quản lý tường lửa (Firewall)
+ Chính sách mã hóa chung
+ Chính sách điều khiển truy cập Internet
+ Chính sách giáo dục và ý thức an toàn Internet
+ Chính sách dò tìm xâm nhập
+ Chính sách quản lý mật khẩu
+ Chính sách tài khoản người dùng
+ Chính sách ngăn ngừa virus
…
Tuy nhiên, kết quả của sự thi hành các chính sách bảo mật trên lại là một quá trình khác.
- Sau đây là ví dụ chính sách bảo mật VoIP:
Bảo mật trong môi trường điện thoại IP bao gồm tất cả các đặc tính an toàn truyền thống cộng thêm các đặc tính an toàn dữ liệu mạng. thoại IP biến đổi thoại thành dữ liệu, và đặt các gói dữ liệu này vào trong các gói IP. Hoạt động của các hệ thống bên dưới như là IP-PBXs, gateway dễ bị ảnh hưởng bởi những tấn công mà điều đó sẽ làm ảnh hưởng đến những server khác.
- Sự an toàn về mặt vật lý: thiết bị IP-PBX phải được khóa trong phòng kín và hạn chế sự truy cập. loại truy cập này được xác nhận bởi hệ thống xác thực user với một khóa card. việc truy cập bằng bàn phím là không được phép. Tất cả các phương pháp vào phòng phải cung cấp danh sách user truy nhập vào phòng cùng với tem ngày tháng/thời gian.
- VLANs: việc tách thoại và luồng dữ liệu qua VLAN được yêu cầu để ngăn chặn đụng độ broadcast trong VoIP, và bảo vệ dữ liệu mạng khỏi các luồng thoại.
- Softphones: softphone trong một môi trường an toàn chứa đựng bất kỳ phần mềm quảng cáo nào đều phải bị cấm. Việc cài đặt softphone cần được kiểm tra trước khi thực thi. Và những phần mềm mà không mã hóa thư người gửi thì không nên sử dụng. Bởi vì softphone là một ứng dụng chạy trên một hệ điều hành, việc bảo mật phụ thuộc nhiều vào tình trạng của hệ điều hành đó, cũng như phụ thuộc vào các chương trình trưyền thông khác như email, duyệt web, IM.
- Mã hóa (Encryption): tất cả các hệ thống VoIP nên sử dụng một hình thức mã hóa Media Encryption (RTP channel) để tránh sniffing dữ liệu VoIP. Các thông tin giữa các thành phần mạng cần phải được mã hóa. Người ta khuyến cáo nên hoàn thành việc mã hóa thoại IP từ đầu cuối đến đầu cuối (end-to-end) để hạn chế mối đe dọa nghe trộm thoại. Đồng thời, tất cả các truy cập đến server cũng như các thành phần mạng phải được mã hóa bằng các giao thức như SSL, SSH.
- Điều khiển truy cập lớp 2 (layer 2 access control): giải pháp toàn diện nhất yêu cầu tất cả thiết bị xác thực trên lớp 2 dùng 802.1X trước khi thiết lập cấu hình tại lớp 3 IP. Thêm vào đó, nên xem xét việc cho phép các port an toàn cũng như việc lọc địa chỉ MAC trên switch. Các đặc tính port security trên các thiết bị cung cấp khả năng hạn chế sử dụng port đến một địa chỉ MAC đặc biệt hoặc thiết lập một địa chỉ MAC. Nhìn chung nó khó có thể thực hiện , nhưng với kế hoạch đúng đắn, port security không phải là không làm được.
Comment