ואצאפ
כפתור הקפץ למעלה

VoIP/PBX

PBX (Private Branch Exchange), היא מערכת טלפוניה פנימית המאפשרת למשתמשים לתקשר זה עם זה בטלפון באמצעות קווים פנימיים, ולבצע ולקבל שיחות חיצוניות גם כן. PBX יכולה להיות מבוססת חומרה או תוכנה.

PBX מבוססת חומרה היא מערכת טלפוניה פיזית המכילה ציוד טלפוני, כגון מרכזיית טלפון, מערכות ניתוב ושיחות ומערכות קול. PBX מבוססת תוכנה היא מערכת טלפוניה וירטואלית המריצה על שרת או ענן.

PBX יכולה לספק מגוון תכונות ושירותים, כגון:

  • העברת שיחות: PBX יכולה להעביר שיחות בין קווים פנימיים, בין קווים פנימיים לבין קווים חיצוניים ובין קווים חיצוניים.
  • ניתוב שיחות: PBX יכולה לכוון שיחות למיקום הרצוי, כגון תיבה קולית, משרד או מייל קולי.
  • קול: PBX יכולה לספק שירותי קול, כגון הודעות קוליות, פקסים ותרגום קול.

PBX היא כלי חשוב עבור עסקים ומשתמשים פרטיים. היא יכולה לשמש למגוון משימות, כגון:

  • ניהול שיחות: PBX יכולה לעזור לנהל שיחות פנימיות וחיצוניות בצורה יעילה יותר.
  • הפחתת עלויות: PBX יכולה לעזור להפחית את עלויות השיחות על ידי הפניית שיחות ליעדים אופטימליים.
  • שיפור שירות הלקוחות: PBX יכולה לעזור לשפר את שירות הלקוחות על ידי הפניית שיחות לעובדים המתאימים ביותר.

עם זאת, PBX גם מהווה סיכון לאבטחת הרשת. התקפות סייבר יכולות להשתמש ב-PBX כדי לפרוץ למערכת או לרשת, לגנוב מידע או לגרום נזק.

עם עליית מערכות הניתנות להגדרה נוחה יותר, והגידול של Voice Over IP (VoIP), מערכות PBX אלה שולבו יותר ויותר בתשתית ה- IT הארגונית הכוללת, ונעשו לחוליה חלשה בשרשרת האבטחה. איום זה ניתן לטיפול על ידי התקנת חומות אש שתוכננו במיוחד להגן על מערכות מבוססות נתונים וגם על מערכות טלפון.

ניצול נפוץ נוסף של PBXs כרוך בהאקרים טלפוניים (הידועים גם כ- phreakers) הפורצים למערכת ומשתמשים בה לביצוע שיחות בינלאומיות יקרות על חשבון החברה. התקפות מסוג זה עשויים להיחסם גם באמצעות חומות אש מיוחדות. למעשה, חומות אש כאלה מאפשרות להגדיר כללים לפיקוח על סוגיות כגון גישה למרחקים ארוכים בשעות מסוימות של היום, או לחייב קודי גישה להזנת המשתמשים לפני שיחות בינלאומיות או למרחקים ארוכים.

VoIP security 

הצפנת VoIP היא תהליך של ערבול מנות נתונים קוליים לבליל בלתי קריא בזמן שהן במעבר, ומונע אפשרות ליירט או לפענוח אותם על ידי האקרים. גם אם האקר מיירט את השיחה, ההצפנה מבטיחה שהם לא יוכלו להבין את התוכן.

שיטות עבודה מומלצות לאבטחת מערכות VoIP

1. אישורי משתמש מאובטחים עם סיסמה חזקה ואימות דו-גורמי

בעוד שסיסמאות ברירת המחדל משתנים בהתאם ליצרן ולדגם, קל להאקר למצוא אותם בחיפוש פשוט בגוגל ורק לעיתים רחוקות נעשה שימוש בסיסמה חזקה.

אם לארגון יש מדיניות ניהול אישורים, מומלץ ליישם את אותם סטנדרטים גם על טלפונים שולחניים וגם על ממשק האינטרנט. מדיניות חזקה של ניהול אישורים כוללת מורכבות מינימלית ודרישות תפוגה, חיונית לניהול יעיל של אישורי אבטחה. רצוי להזכיר מעת לעת לעובדים לעדכן את הסיסמאות שלהם.

גם אימות דו-שלבי צריך להוות חובה למשתמשים במערכת ה-VoIP. 

2. ביקורות יומני שיחות רגילות

טיפ אבטחה זה דורש ידע טכני מועט ברשתות או במערכות VoIP. עם זאת, שיטת העבודה הטובה ביותר היא להנהיג ביקורות קבועות של תעבורת VoIP ביומני השיחות.

  • משך השיחה הממוצע
  • זמן החזקה ממוצע
  • המספר הכולל של שיחות נכנסות/יוצאות
  • סך כל השיחות / שיחות שלא נענו
  • משך הזמן הכולל לפי משתמש

על ידי בדיקה קבועה של דוחות שיחות אלה והשוואה בין תקופות, ניתן להבחין בשינויים משמעותיים בפעילות. פיסות מידע אלו יכולות לרמוז על אזורים שבהם עשוי להיות שימוש לרעה.

מנהלי מערכת ירצו לבדוק משכי שיחות חריגים, יעדים וזמנים שבהם מתבצעות שיחות יוצאות. יש לחקור כל חריג ביומנים אלה כדי לוודא שהמערכת לא הותקפה.

דיווח שיחות מפורט הוא תכונה חשובה שיש להעדיף כאשר שוקלים שירות VoIP חדש. יומנים אלה יספרו לך הרבה על השימוש הבסיסי והם לא רק שימושיים בניטור תקינות מערכת הטלפון, אלא הם בעלי ערך בתכנון להתרחבות עתידית.

3. השבת שיחות בינלאומיות או הפעלת גידור גיאוגרפי

אם ארגונך חייב לבצע שיחות בינלאומיות, מומלץ להפעיל גידור גיאוגרפי. גידור משמש גם בחומת אש של רשת ושרתי דוא"ל כדי למנוע חיבורים למדינות שבהן מקורן מספר גבוה של פריצות פוטנציאליות.

אמצעי זהירות דומה נוסף יהיה להשתמש ברשימות שחורות של IP בחומת האש לחסום חיבורים, כולל תעבורת VoIP, לכתובות IP זדוניות ידועות. ניתן למצוא רשימות שחורות של IP באתרים ציבוריים בעלי מוניטין כגון dnschecker.org.

4. שימוש ב-SaaS לשיחות VoIP

תוכנה כשירות הפכה לחלק חשוב מהפעילות המשרדית היומיומית, שכן אנשים וארגונים גדולים ממנפים את המומחיות של מומחים לניהול תוכנה או אפליקציה מורכבת. במקום לבנות ולתחזק תשתית VoIP, אפשר לשקול מיקור חוץ לשירותי המרכזיה וה-VoIP באמצעות ספק SaaS.

5. עדכונים של תיקוני אבטחה

כפי שצריך לעדכן את כל התקני אבטחת הרשת והמחשבים, כך גם טלפון ה-VoIP.

יש לבדוק את עדכוני הקושחה באופן קבוע (מומלץ מדי רבעון), להתקין בהקדם האפשרי ולהיכלל בלוח הזמנים הרחב יותר של העדכונים עבור כל המכשירים ברשת כחלק ממדיניות ניהול נכסי ה-IT.

6. השתמש בנתב עם חומת אש

מעת לעת אנו שומעים על מי שמחברים את טלפון ה-IP שלהם ישירות לאינטרנט מבלי להשתמש בנתב או חומת אש. המשמעות היא שכל אחד עם חיבור לאינטרנט יכול לגשת לממשק האינטרנט של הטלפון, ואם סיסמת המנהל של הטלפון היא עדיין ברירת המחדל של היצרן, עבודת העבריין פשוטה.

אם לנתב יש חומת אש, יש להפעיל את התכונה. חומות אש מסתכלות על התעבורה שנכנסת ויוצאת מהרשת, ומנסות לחסום כל דבר שנראה חשוד.

7. הגבלת גישה פיזית לציוד רשת

יש לאחסן ציוד רשת בחדר או בארון נעולים ונגיש רק לצוות ה-IT. אבטחת הגישה לחומרה הפיזית המגנה על הרשת היא המפתח כדי להבטיח שכל מערכות ה-IT, כולל VoIP, יישארו מוגנות. התקנת מצלמות אבטחה והטמעת יומן גישה שנבדק על בסיס קבוע מומלצים גם הם לאבטחת חדר הרשת

8. הגבלת הרשאות משתמש

אין סיבה לספר הרשאות מיותרות למשתמשים. תוקף שמשתלט על מחשב של משתמש כזה, זוכה בכל ההרשאות לעצמו.

9. הצפנת נתונים

חשוב לשתף פעולה עם ספק VoIP שמצפין את נתוני עיבוד השיחות הנשלחים בין שרתי ה-VoIP והרשת. חיוני שהרשת תהיה מוצפנת. גם אם מישהו יכול לקבל גישה למערכת, חיבורי VoIP מוצפנים מבטיחים שהנתונים לא יהיו שמישים עבורו.

10. הכשרת משתמשים

משתמשי ה-VoIP הם רק חלק מקו ההגנה הראשון מפני פעילות הונאה במערכת, ויכולים להיות היעילים ביותר במניעה. חינוך נכון לגבי אישורי אבטחה יכול לעזור לשמור על אבטחת המערכת. משתמשי קצה ערניים מספקים זוגות עיניים נוספות המחפשות פעילות חריגה שעלולה להצביע על כך שהמערכת הותקפה.

חשוב גם ליישם מדיניות לגבי מה יש לחשוף במהלך שיחת טלפון כדי למנוע חשיפה בלתי מכוונת של מידע אישי מזהה, נתונים עסקיים, גניבת זהות או פעילות פלילית חודרנית אישית אחרת. יש להתייחס לאימון אבטחה כעל תהליך מתמשך. כשנושאים אבטחה חדשים ואיומים פוטנציאליים צצים, חשוב מאוד שההכשרה תשתנה כדי לטפל גם באיומים חדשים. יש לשמור על חינוך המשתמשים מכיוון שהם המשתמשים במערכת על בסיס יומי.

11. מנע שיחות רפאים

אם הטלפון מוגן, יש סיכוי קטן מאוד שההאקר יוכל לקבל גישה לניצול הטלפון. אבל, הוא עדיין יכול לשלוח בקשות לסריקת יציאות אלה כדי לגרום לטלפון לצלצל, מה שיכול להיות מטריד עבור אנשים בעבודה. צלצולים אלו מכונים 'קריאות רפאים'.

למרבה המזל, יש דרך קלה למנוע שיחות רפאים אלה. לרוב טלפונים IP יש הגדרה שאומרת לטלפון לקבל רק שיחות נכנסות מהשרת שאליו הם מחוברים.

12. הטמעת מערכות למניעת חדירה

מערכות למניעת חדירות ישמרו עין על הביצועים הכוללים של מערכת ה-VoIP ויאזנו את העומס על הרשת כדי להבטיח שאיכות השירות תישאר גבוהה. אמצעים אלו לאיזון עומסים, יחד עם מאפייני אבטחה נוספים, יאתרו גם פעילות חריגה המלווה באירועים כגון התקפת מניעת שירות מבוזרת (DDoS).

Session Border Controller - SBC

בקר גבול שיחה (session border controller - SBC) הוא רכיב רשת שנפרס כדי להגן על רשתות קול על גבי פרוטוקול אינטרנט (VoIP) מבוססות SIP.

המונח "Session" מתייחס לתקשורת בין שני צדדים או יותר בהקשר של טלפוניה, כלומר: שיחה. 

בכל שיחה מתנהלים חילופי 'הודעות איתות' אשר מאפשרים שליטה בשיחה, ורצף מדיה של שיחה הנושאת את אודיו, הווידאו או הנתונים האחרים של השיחה יחד עם מידע על נתונים סטטיסטיים ואיכותיים על השיחה. יחד, הזרמים הללו מייצרים "שיחה". תפקידו של SBC להשפיע על רצפי הנתונים של השיחות.

המונח "גבול" מתייחס לנקודת תיחום בין חלק אחד של רשת לאחר. כדוגמה פשוטה, בקצה של רשת ארגונית, חומת אש תוחמת את הרשת המקומית (בתוך התאגיד) משאר האינטרנט (מחוץ לתאגיד). דוגמה מורכבת יותר היא של תאגיד גדול שבו למחלקות שונות יש צרכי אבטחה עבור כל מיקום ואולי עבור כל סוג של נתונים. במקרה זה, נתבי סינון או רכיבי רשת אחרים משמשים לשליטה בזרימת זרמי הנתונים. תפקידו של בקר גבולות שיחה לסייע למנהלי מדיניות בניהול זרימת נתוני השיחה מעבר לגבולות אלו.

המונח "בקר" מתייחס להשפעה שיש לבקרי גבול הפעלות על זרמי הנתונים המרכיבים הפעלות, שכן הם חוצים גבולות בין חלק אחד של רשת לאחר. בנוסף, בקרי גבול שיחה מספקים לעתים קרובות מתקני מדידה, בקרת גישה והמרת נתונים עבור השיחות שהם שולטים בהם.

 

עבור למאמר הבא

 

MORE ARTICLES

אבטחת תעבורה ומידע ברשת
עבור למאמר
שירות גישה מרחוק (RAS)
עבור למאמר
אבטחת רשתות אלחוטיות - Wireless Security
עבור למאמר