Telefon sistemlerinin güvenliği

Çoğu zaman, iş dünyasında, telefon sistemlerinin güvenlik sorunu önemli bir sorun değildir ve telefon her zaman bilgi sistemi güvenlik politikasına entegre edilmez . Telefondan sorumlu ekipler her zaman güvenlik konusunda yeterince bilinçli değildir (bazen genel servisler tarafından yönetilir). IP telefonunun (ToIP) gelişi sayesinde telefon ve BT ekipleri gittikçe daha fazla birleşiyor , ancak güvenliğe duyarlı BT uzmanları telefonun belirli sorunlarını her zaman bilmiyor.

Geçmişte, PABX'ler , uzmanlar ve bilgisayar korsanları tarafından bilinen, belirli güvenlik açıklarına sahip, anlaşılması zor kapalı ekipmanlardı. Günümüzde VoIP ile, PABX'ler (veya IPBX) aynı zamanda üzerinde bir telefon uygulamasının bulunduğu gerçek bilgisayar sunucularıdır. Bilinen işletim sistemlerinde çalışırlar, bilgisayar ağlarına bağlanırlar ve diğer sunucularla aynı güvenlik sorunlarına sahiptirler. Telefona özel, kaybolmayan güvenlik açıkları eklememiz dışında.

Ses-veri yakınsaması, IP dünyasının güvenlik açıklarının yanı sıra geleneksel telefonun güvenlik açıklarını da miras alır.

Telefon ağına yönelik beş büyük tehdit

Yasadışı dinleme

Bu uygulama, telefon konuşmalarını yasa dışı bir şekilde dinlemek için telefon sistemini ele geçirmekten ibarettir.

Uygulama örnekleri:

• Dinleme işlevlerinin yanlış kullanımı.
• Sesli posta sistemlerine hileli erişim.
• Kimlik Hırsızı.
• Görüşmelerin yasadışı kayıtları.

Etkiler:

• Casusluk:
  • Kişilerin tanımlanması (müşteriler, ortaklar, tedarikçiler, vb.).
  • Patent hırsızlığı, teknolojiler.
  • Kurumsal stratejiler açıklandı.
  • Bilinen hassas operasyonlar (birleşme / devralma projeleri).
• Gizli bilgilerin kamuya açıklanması.
• Mahremiyet ihlali.

Telefon dolandırıcılığı

Bu uygulama, ücretsiz aramayı ve bir şirketin telefon sisteminden yararlanmayı içerir.

Uygulama örnekleri:

• Telefon hizmetinin kötüye kullanılması ( DISA işlevi vb.).
• Dışarıya arama yönlendirme işlevlerini etkinleştirmek için dışarıdan erişilebilen sesli posta kutularının ele geçirilmesi.
• Çoğunlukla yurtdışında olmak üzere prim oranlı numaralara yönlendirme.
• Üçüncü şahıslarla iletişimin yeniden satışı.

Etkiler:

• Önemli telefon aşırı şarjı.
• Sorunun kaynağını ararken zaman boşa gitti.

Hizmet reddi

Bu uygulama, telefon sistemini kullanılamaz hale getirmeyi amaçlamaktadır.

Uygulama örnekleri:

• PABX sabotajı.
• Operatör bağlantılarının doygunluğu (sel).
• PABX ve telefonlara protokol saldırıları.
• Telefon ekipmanının yanıt süresinde artış (QoS bozulması).
• Trafiğin yeniden yönlendirilmesi veya çağrıların yasadışı aktarımı, otomatik sıçramalar.
• Çağrıların veya faksların kötüye kullanılması.

Etkiler:

• Telefon hizmetinin kullanılamaması.
• Müşterilerden veya üçüncü şahıslardan gelen şikayetler.
• Kötü şöhrete verilen hasar.
• Ciro kaybı.
• Kayıp iş sözleşmeleri.

Bilgisayar sistemine izinsiz girişler

Bunlar, bilgisayar sistemine telefon sisteminden sıçrama yoluyla girmeyi amaçlayan manevralardır.

Uygulama örnekleri:

• Dışarıdan: uzaktan bakım modemlerinin veya dahili modemlerin hacklenmesi (Wardialing, ardından ağ penetrasyonu).
• İçeriden: İnternet güvenlik politikasını (Web filtreleme) geçersiz kılmak için İnternete korsan bağlantılar kurmak için analog hatların (örneğin fakslar ) kullanılması.
• "Fantom" veya "unutulmuş" modemler, "Çeviriciler" programları.

Etkiler:

• Bir arka kapı oluşturulması, İnternetin kurumsal ağ ile gizli bağlantısı: bilgisayar korsanları, virüsler, kötü amaçlı yazılımlar, Truva atları vb. İçin ağ geçidi.
• Sızıntılar, bilginin kötüye kullanılması ...

Softphones vakası

Bir softphone internet telefon yapımında kullanılan bir yazılım türüdür. İş istasyonunun ses ağına erişimi olmasını gerektirir (güvenlik nedenleriyle genellikle veri ağından ayrıdır).

Sorun:

• Yazılım telefonlarıyla donatılmış iş istasyonlarında "ses" ve "veri" ağlarını bölümlemede zorluk.

Etkiler:

• İki ağ arasında geçirgenlik.
• Yazılım telefonu bulunan bir iş istasyonundan ses ağına saldırılar başlatma olasılığı.
• Ağlar arasında virüslerin ve diğer kötü amaçlı programların yayılması.

Şirket için ciddi sonuçlar.

• Mali sonuçlar.
• Ünlü olmanın sonuçları.
• Yöneticiler için cezai sonuçlar: ceza kanunun 121-2 ve 226-17. Maddeleri.

Çözümler

Öncelikle sorunun farkında olmanız ve ardından telefon sisteminizin güvenliğini sağlamanız gerekir.

Telefonu şirketin güvenlik havuzuna entegre edin

• "Sesli" bir güvenlik politikasına sahip olun ve uygulayın.
• Telefonu Bilgi Sistemi Güvenliği Uç Raporları ve Tabloları'na (TBSSI) entegre edin.

Ekipmanınızı koruyun (PABX, IPBX, ...)

• Düzenli denetimler ve konfigürasyon analizleri yapın (manuel olarak veya özel otomatik araçlar kullanarak).
• "Hassas" işlevlerin etkinleştirilmesini düzenli olarak kontrol edin.
• Yapılandırma değişikliklerini izleyin (değişiklik algılama araçlarının kullanımı).
• Telekom ekipmanına, yönetim konsollarına ve uzaktan bakım modemlerine güvenli erişim (erişimleri algılama ve kaydetme).

Telefon ağını koruyun

• Trafik analizi araçlarını ayarlayın (VoIP: dahili / harici ve ISDN: T0 / T2 / E1).
• Anormalliklerin algılanmasına ve saldırılara karşı korumaya izin veren IDS / IPS özel Ses kullanın .
• Şirketin "hayalet" veya "korsan" modemlerini keşfedin, onları yok edin.
• Akışları mümkün olan en kısa sürede filtreleyerek iş istasyonlarını yazılım telefonlarıyla bölümleyin (ses akışlarının VLAN işaretlemesi).
• Ses ağını gerçek zamanlı olarak izleyin ve anormallikler algılandığında güvenlik uyarıları verin.

Olayların izlenebilirliğini garanti edin

• Gerekirse, geçmiş iletişimlerle ilgili bilgilere erişime izin verin (arayan / aranan numara, tarih ve süre, arama türü: ses, faks, modem, vb.).
• Düzenli olarak PABX yapılandırmalarını arşivleyin.
• Güvenlik araçlarının kullanıcıları tarafından gerçekleştirilen eylemleri günlüğe kaydedin (ad, IP adresi, eylemin tarihi, eylemin niteliği).

Notlar ve referanslar

1. Clusif "Sesli iletişim, güvenlik sorunları" Teknik Dosyası, 2010
2. Panonuzu herhangi bir izinsiz girişten korumak için ipuçları
3. Voip güvenliği, ana kusurlar
4. Neden güvenli telefon?
5. İşletmelerde IP telefonunun güvenliği
6. Clusif Konferansı "Telefondaki habislikler: Riskler ve çareler", 2003

Ayrıca görün

• Phreaking
• Kulak misafiri
• Kimlik Hırsızı
• Hizmeti engelleme saldırısı
• Telefon altyapısı güvenlik yönetim sistemleri yayıncısı olan Checkphone .
• Elektromanyetik alanların biyolojik ve çevresel etkileri

Dış bağlantılar

• (tr) Telefon, bilgisayar korsanlarının hedefi!
• (tr) Neden güvenli telefon?
• (tr) Telefon sistemlerinin (TDM ve VoIP ) güvenlik açıkları: Riskler ve Çözümler: Videolar
• (tr) Telefonda hatalı uygulama