רקע
ארגונים בכל הגדלים אשר אימצו Telephony IP חייבים לשקול ברצינות את נושא אבטחת המידע. אל מול מספרים גדלים והולכים של ארגונים המאמצים Telephony IP עולים האקרים ופושעים מסוגים שונים המנצלים חולשות הקיימות בטכנולוגיה זו למטרותיהם. ארגון המתכנן שימוש במערכות IPT כחלק מרענון התשתיות בוחן בדרך כלל אפשרויות שונות המוצעות ע"י ספקים שונים במטרה לאתר את החלופה המתאימה.
צורות התקשרות עיקריות
• Centrex - שירות מנוהל באופן מלא. שירות זה מאפשר הסתייעות מלאה במרכזיות וציודים של ספק השירות. המרכזייה הינה מרכזיה ראשית אליה מחוברים כלל לקוחות הספק.
• התקנת מרכזיית VoIP מקומית - צורה זו הינה היפך הגמור משיטת ה - Centrex. בשיטה זו ההפעלה של המרכזייה הינה בכוחות עצמאיים של הלקוח באופן מלא.
• שירותי VoIP ב HOSTING - שירות זה מתחלק לשתי אפשרויות:
• מרכזיה משותפת למספר לקוחות מנוהלת ע"י הספק (דומה מאוד ל - Centrex).
• מרכזיה ייעודית ללקוח המנוהלת ע"י הספק וממוקמת אצלו.
סיכונים עיקריים
מעצם שימוש בתשתית תקשורת IP עולות מספר בעיות, חלקן ייחודיות ל IP וחלקן מוכרות מסביבת ה - PSTN (תשתיות התקשורת הישנות והמוכרות):
• הונאה: גניבת שיחות מתרחשת כאשר תוקף חודר לרשת ולמרכזיית ה - IP תוך שהוא "חוטף" קווים לשם ביצוע שיחות חיוב מקומיות, שיחות מעבר לים, או כל שירות אחר המסוגל לבצע חיוב על בסיס קו טלפון.
• ציטוט והאזנה: הגם שציטוט והאזנה אינם סיכון ייחודי ל - Telephony IP, הרי שאופי רשת ה - IP הופך אותה לנגישה וחדירה הרבה יותר. אין צורך עוד בגישה פיזית למרכזיה לשם ציטוט לקווים ומרגע שהושגה גישה ניתן לבצע האזנה רציפה מנקודה מרוחקת בכל מקום בעולם.
• מניעת שירות - Denial of Service: התקפות מניעת שירות מסוגלות להשפיע על כל רשת שהיא, כמו גם רשתות - Telephony IP. פעולת מניעת השירות מתבצעת ע"י "הצפת" הרשת בבקשות ובכלל זה- IP Logic Attack / IP Flood Attack כמו גם - SIP Logic Attack / SIP Flood Attack .
• פריצה ל VoIP: כמו לכל מערכת המבוססת IP, גם ברשת Telephony IP קיים סיכון של פריצה מבחוץ. פריצה מעין זו משפיעה של כלל המשתמשים ועלולה להסתיים בפריצה גם לרשת המידע הארגונית (ע"י שימוש ב - Ping of death, Teardrop, Land etc וכו'. במקרה זה בחר הבנק על ניתוק פיזי של השרתות ובכך מנע חשיפה של רשת ה DATA מכיוון רשת ה - IP). מעבר להתקפות ברמת התקשורת קיימות התקפות ברמת האפליקציה כגון "זיוף זהות" - identity forging.
• ספאם - Spit - (Spam over Instant Messaging): בעוד דואר אלקטרוני ניתן לבחינה כי הוא נקי מספאם טרם העברתו למשתמש, הרי שספאם על ערוץ תקשורת הטלפוניה אינו ניתן לניקוי בשיטה דומה, לאור העברת המידע המיידית המתרחשת בעת שיחה. בשל כך קיים הסיכון כי SPIT יפגע במשתמשי ה - Telephony IP בדיוק כמו ש - SPAM פוגע כיום במשתמשי הדואר האלקטרוני.
אורן שני, מנכ"ל משותף SecAudit - כי הניסיון הוא ההבדל. SecAudit הינו משרד המתמחה בתחום הבקרה ואבטחת המידע. למשרד התמחויות מגוונות לרבות ביקורת מערכות מידע וסקרי סיכונים, ביקורת פנימית, ביקורת מעילות והונאות ותחקור נתונים.
