|
25 accorgimenti per rendere sicura la tua rete Voip
Rendere sicure le reti VoIP è un compito difficile, specialmente quando si considera che mancanza di standard e di procedure pe questo lavoro. Quanto è sicura una rete dipende dalla giusta scelta di hardware e software. Senza dubbio, le comunicazioni VoIP possono essere fatte in modo più sicuro che con le regolari comunicazioni PSNT se le appropiate misure di sicurezza sono state applicate.
Articolo tradotto da voiplowdown.com l’originale in Inglese è qui
1) Racchiudere tutto il traffico Voip in una Virtual Local Area Network (VLAN)
Cisco raccomanda di separare le VLANs della rete fonia con quella dati. Questo aiuta a prioritizzare il traffico voce rispetto a quello dati ed anche per nasconderlo agli utenti connessi alla rete dati.Le VLANS sono utili anche per protergersi da attacchi DoS e dall’ascolto non autorizzato delle conversazioni private con lo sniffing dei pacchetti.Una VLAN è una Lan virtuale questo significa che un dispositivo che si trova su una determinata Vlan per parlare con uno su un’altra Vlan deve passare per un router, che deve essere configurato per far passare soltanto il traffico utile. Se nella VLAN dati viene lanciato un’attacco, la tua rete VoIP non ne risentirà.
2) Monitorizza il traffico sulla tua rete VoIP
I sitemi di monitoraggio e gli intrusion detection possono aiutarti a identificare falle nella tua rete VoIP. Controllare i Log del VoIP puo portare alla luce delle inregolarità sulle chiamate internazionali effetuate in strani orari o in paesi con cui la tua organizzazione non ha legami, multipli tentativi di login evidenziano un tentato attacco brute-force per crackare una pasword
3) Proteggere I tuoi VoIP servers
I Servers devono essere al sicuro sia dalle intrusioni interne che da quelle esterne che possono intercettare i dati usando tecniche di sniffing al interno della Lan o dall’ISP quando i dati viaggiano su internet. Gary Miliefsky, fondatore e CTO di NetClarity, raccomanda di lasciare l’accesso alle interfacce di amministrazione dei sistemi VoIP solo a un numero chiuso di indirizzi IP e MAC e mettere un Firewall davanti al SIP gateway. Questi accorgimenti ne restringono l’accesso solo al personale autorizzato
4) Usare multipli livelli di criptografia
Non basta criptare i pacchetti di dati in uscita, bisogna criptare anche le segnalazioni delle chiamate.
Il Criptaggio dei pacchetti fonia previene le voie injection cioè la possibilità che l’intercettatore possa inserire parole nella conversazione, dando ad essa un nuovo significato.
Steve Mank, CEO di Qovia, cita due comuni metodi di criptaggio il Secure Real Time Protocol (SRTP) che cripta le comunicazioni tra endpoint, e il Transport Level Security (TLS) che cripta l’intero processo della chiamata. Il criptaggio del traffico fonia se implementato fornisce maggiore protezione ai gateway e agli host nella rete.
5) Creare sistemi ridondati nella rete VoIP
Essere preparati ai virus e agli attacchi DoS per impedire che la vostra rete vada down, create una rete che possa tollerare eventuali guasti creando più gateways, nodi, server e call routers e collegali con più ISP
Non fermarti alla creazione dell’infrastruttura; effetua frequenti controlli per assicurarti che lavori bene e stai sempre pronto ad eventuali guasti.
6) Mettere la vostra rete dietro firewalls
Mettete più firewalls nella vostra rete in modo che il traffico che attraversa le VLANs è ristretto solo a determinati protocolli.
Questo ti metterà al sicuro dalla minaccia di virus e Trojans sui server in caso di client infetti.
Il mantenimento di policies di sicurezza diventa semplice quando ciascun firewall è considerato separatamente.
Scegli prodotti che supportino il Session Initiation Protocol (SIP) e l’ the International Telecommunication Union’s H.323 protocol.
Sul Firewall devono essere permesse soltanto connessioni ai servizzi utili e chidere tutte le altre.
7) Installare gli aggiornamenti di sicurezza regolarmente
La sicurezza in una rete VoIP dipende dai sitemi operativi e dalle applicazioni che girano in essa.
Installare le patch sia per i sitemi operativi che per le VoIP application è un imperativo, che ti permettera di proteggere la rete dalla minaccia dei malware.
8) Tieni la tua rete lontana da internet
L’Universita di Huoston è una pioniera in questo approccio alla sicurezza. L’istituto ha messo il Call Manager e la rete che non ha accesso diretto ad internet; Gli IP PBXs sono in un dominio separato dagli altri server e ad accesso ristretto
9) Minimizza l’uso di softphone
I Voip softphones sono fonte di attacchi hacker, anche quando sono dietro ai firewall, perche sono usati su un normale PC, VoIP software e un paio di cuffie. Perquesto i softphone non separano voce e dati, e sono vulnerabili ai virus e ai worms che infettano normalmente un PC
10) Effetua verifiche di sicurezza a intervalli regolari
Fare un controllo delle sessioni di amministratori e utenti e dei servizi attivi puo aiutarti a mettere alla luce delle inregolarità.
I tentativi di Phishing possono essere contrastati, lo spam puo essere filtrato in modo che non blocchi la rete e i tentativi di intrusione possono essere fermati
11) Valutare la sicurezza a livello fisico
Assicurati che soltanto i dispositivi e gli utenti che sono stati autenticati e autorizzati possano accedere alla tua rete limitando l’accesso alle porte ethernet.
Gli amministratori sono spesso restii nell’accettare i softphone e non ne permettono l’uso nella rete perché gli hacker possono facilmente cambiarsi IP e MAC collegandosi alla rete…
12) Usa soltanto fornitori che sono certificati in sicurezza informatica
Quando il fornitore dei dispositivi è certificato, gli utenti possono stare sicuri che le conversazioni sono sicure.
Verisign è stata la pioniera nella fornitura di certificati di autenticazione per telefoni IP wireless, che ostacolano l’intercettazione delle chiamate.
13) Proteggi i tuoi gateways
Configura i gateways in modo che soltanto chi è autorizzato puo ricevere e effettuare chiamate VoIP. Questo impedira di effettuare chiamate non autorizzate a spese della azienda.
Proteggi i gateway e la LANs attraverso una combinazione di SPI firewall, application layer gateway (ALG), network address translation (NAT) tools, e il supporto del SIP per i VoIP soft clients.
14) Controlla il traffico SIP
Esamina il tuo traffico SIP e controlla le anormalità dei pacchetti e degli schemi del traffico questo ti aiuterà a eliminsare il traffico inutile
Aunomaie nella sintassi o nella semantica del SIP e eventi che sono iregolari e fuori luogo incano un attacco in corso.
15) Esamina le richieste di call setup a livello applicazione
Le chiamate VoIP sono suscettibili all’hijacking di estranei che vogliono accedere alla rete. Settate appropiate security policies così che soltanto le chiamate conformi alle policies vengano accettare
16) Isolate il traffico Fonia
Per le comunicazioni con l’esterno utilizza le Virtual Private Network (VPN).
Separa il traffico fonia e dati per impedire che le vostre conversazioni arrivino ad orecchie indesiderate.
Kevin Flynn, senior manager di Unified Communication di Cisco, il più grande problema per le aziende è “Il traffico spazzatura della rete dati che viaggia sulla rete fonia”. Così raccomanda di bloccare l’accesso ai PC alla VLAN fonia
17) Utilizza i proxy servers
Proteggi la tua rete oltre che con i firewalls utilizzando dei proxy servers che processano i dati in entrata e in uscita. L’autenticazione e l’integrità sono assicurate quando i messaggi di segnalazione viaggiano attraverso user agents e SIP proxy da l’integrazione dei SSL tunnels con i SIP proxy
18) Utilizza soltanto le applicazioni che sono necessarie a fornire e mantenere i servizi VoIP
E inutile aggiungere servizi non necessari su una rete VoIP, la cifratura del traffico all’interno della LAN potrebbe facilitare il lancio e la riuscita di un attacco DoS. Gli Attackers infatti sarebbero nascosti al monitoraggio dalla cifratura dei dati.
20) Configura le applicazioni contro l’uso impropio di esse
Previeni la possibilita che la tua rete possa essere usata per effettuare frodi,attività di phishing e chiamate illegali
21) Controllare gli accessi alla rete
Utilizzare tecniche di controllo degli accessi alla rete e protocolli basati sullo standard IEEE 802.1X per tenere fuori dalla tua LAN o WLAN i dispositivi non autorizzati.
Applicazioni di Network Access Control (NAC) sono disponibili da Cisco – Network Admission Control (NAC), Microsoft – Network Access Protection (NAP), e TCG – Trusted Network Connect (TNC)
22) Limita l’accesso secondo determinati criteri
Gli Amministratori di una rete VoIP possono configurare determinati criteri di accesso per prevenire l’introduzione di dispositivi potenzialmente pericolosi – come quelli infettati da virus o worm, quelli non aggiornati con le ultime patch o quelli che non hanno firewall installato. Questi dispositivi possono essere reindirizzati su una rete a parte in modo da mantenere sicura la rete principale
23) Evitare l’amministrazione remota quando possibile
Se possibile, è meglio evitare l’amministrazione e il controllo remoto; ma quando necessario, è meglio utilizzare Secure Shell (SSH) or IPsec (IP Security) per lo scopo. Accedere sempre al tuo IP PBX da sistemi che sono sicuri.
24) Utilizare Tunneling IPSec piuttosto che il trasport IPSec
Tunneling e trasport sono due differenti modi di criptare i dati che viaggiano su IP Layer. Con l’uso dell’IPsec transport si criptano soltanto i dati mentre si nascondo indirizzo sorgente e di destinazione. Ciò impedisce agli amministratori di trovare chi ha inizializzato la chiamata quando si analizza il traffico.
25) Proteggi le tue piattaforme VoIP
Le piattaforme VoIP che forniscono servizi ai clients, sono costruite su un sistema operativo che deve essere concepito per proteggere l’integrità della reti che girano su di esse e tenere fuori gli attacchi. Disabilita i servizi che non sono assolutamente necessari.
Ultimo aggiornamento: 01-11-2007 15:22
|
