Daha önceki yazılarımızda anlatmaya çalıştığımız gibi, VoIP teknolojisi, analog ses sinyallerini dijital ses paketleri akışı haline getirerek, Internet üzerinden telefon görüşmesi yapmanıza ve fax yollamanıza yarar.

VoIP’e olan ilgi artmakla beraber, servis sektöründe de patlama yaratmıştır. Çünkü VoIP hem eski telefon sistemlerini hemde Internet’i kullanarak telefon görüşmeleri yapmayı sağlamakta ve eski sisteme göre daha verimli olmaktadır. VoIP hem iş hemde ev kullanıcılarına bir takım avantajlar sağlamaktadır:

• Düşük maliyetli telefon görüşmesi
• Daha fazla özellik
• Yaratıcılık ile gelişmeye açık olması
• Gelişmiş işbirliği
• Kolay yönetim

VoIP Nasıl Güvenli hale gelir?

Popülaritesi artmakta olan ve gelişmekte olan VoIP yanında aynı hızda gelişen bir güvenlik problemini taşımaktadır. Sonuçta VoIP trafiği de aynı diğer veri akışlarında olduğu gibi bir router (yönlendirici) dan diğerine giden trafik olarak değerlendirilmelidir. Bu durumda VoIP trafiği kötü niyetli biri tarafından kesilebilir, kopyalanabilir, engellenebilir, yavaşlatılabilir veya değiştirilebilir.

Birçok altyapı ve güvenlik sağlayan üretici firmalar, VoIP güvenliği için çeşitli bant genişliği güvenliği sağlamaktadır. Bu trafik sınırlama, rate sınırı koyma veya servis kalitesini arttırma (QoS) gibi özelliklerdir. Ama VoIp’de güvenliği sağlamak demek trafiğin başladığı noktadan bittiği noktaya kadar güvenliğinin sağlanması demektir. Bant genişliği üzerindeki korumalar bir çözüm olamaz.

VoIP Güvenlik Teknolojisi Ne Yapmalı?

İdeal VoIP güvenliği için bütün Internet tehditlerine karşı önlem alınmalıdır. Yani sadede VoIP aygıtlarını değil VoIP protokolünü de güvenli hale getirmek gerekmektedir.
Yazımızın ilerleyen bölümlerinde detaylarına girilecek olsa da, kısaca yapılması gerekenleri sıralamak istersek:

• Anahtar konumdaki VoIP protokolleri için, VoIP denetlemesi ve güvenliği otomatik olarak yapılmalıdır
• Uzaktan gerçekleştirilen hafıza taşması, açıklara sahip olan windows, Unix ve Linux gibi sistemlere karşı korunması gerekmektedir.
• DDoS, worm ve diğer saldırılara karşı ağ katmanında önlem alınması zorunludur.
• VoIP bant genişliği korunması sağlanmalıdır.
Internet Security System’ın öngördüğü ve öne sürdüğü en çok tehdit altında olan VoIP protokolleri şunlardır:

• H.323
• H.225
• Session Initiation Protocol (SIP)
• Sşmple Traversal of User Datagram Protocol (UDP) üzerinden NAT
• Q.931
• H.245
• T.120

Güvenlik Tehditleri Nelerdir ?

AT&T’nin yaptığı bir açıklamaya göre, en çok karşılaşılan güvenlik tehdidi, VoIP ses akışına kelimeler sokmaktır. Bu veri ağlarında ortadaki adam (man-in-the-middle) olarak tanınır. Bu saldırıda saldırgan hali hazırda konuşmakta olan 2 kişinin akmakta olan VoIP trafiğine (UDP den giden ses akışı) küfür veya benzeri kelimeleri ekleyebilir. Bunu taraflardan birisinin (yollanılan taraftakinin karşısındaki) duymasına imkan yoktur. Örneğin; sevgilinizle konuşuyorsunuz ve “Nasılsın Sevgilim” dediniz. Araya giren saldırgan kelimelerin arasına ek yaparak cümlenizin “Nasılsın Lan Sevgilim” olarak gitmesini sağlayabilir. Sanırım bu ve bunun gibi esneklik isteyen durumlarda özellikle iş dünyasında pek istenmeyecek bir durumdur ve açıklaması ise çok ama çok güçtür.

Diğer bir güvenlik problemi ise SPAM’dir. Ses posta kutunuzda (VoIP Mailbox – Voice Mail) istenmeyen binlerce ses kaydı ile karşılaşabilirsiniz. Veya DoS saldırısıda oldukça zarar verici olabilir. Ses sisteminize yapılan bir DoS saldırısı ile ses kalitesinde ciddi kayıplar hatta kesilmelere sebep olabilir. Daha öncede dediğimiz gibi ses çok hassastır ve tekrar yollanabilen bir trafik değildir, olamazda. Gerçek zamanlı akışa ihtiyaç duyar.

Her ne kadar tüm ses paketlerini şifreleyerek karşıya yollamak araya girenleri etkisiz hale getirse de, bunu yapmak kullanılan sistemin daha fazla performans harcaması anlamına geldiği gibi, güvenlik her geçen gün artan bir tehlike olduğu için ne kadar kalıcı ve pozitif bir çözüm olmaktadır tartışılır.

Çözümlerden diğer biri ise IP telefonların dijital sertifika kullanmasıdır. Ama unutulmamalıdır ki, VoIP sadece Ip telefonlar ile gerçekleşmemektedir. Ya eski tip telefonlar ?

Ateş Duvarları ile koruma sağlanabilir mi ? Avaya ve Juniper’ın yaptıkları testlerde, ses trafiği için gerekli olan portları açıp kapatabildikleri gözlenmiştir. Fakat problem ses trafiğinin kullandığı yüksek UDP portlarının (4000 ve yukarısı) bir mekanizması olmamasıdır. Bu durumda ateş duvarı ses sistemi ile tam bütünleşik çalışmadığı sürece konuşmayı kapatacağı zamanı kestirememektedir. Bu durumda ateş duvarı konuşmanın bittiği anda portu kapatabilmelidir.

Genel çözüm VoIP’in katmanlarda (layer) güvenliğinin sağlanmasıdır. Aynı model veri ağlarında da uygulanmaktadır. Ateş duvarları ağ katmanında, kendisine gelen bir ses sinyalini tahlil etmeli ve izin verilen bir IP den geliyorsa portları VPNⁱ kullanarak açmalı ve izin olmayan bir IP ise bloklamalı hatta kara listeye ekleyebilmelidir. Tabi bunu yapmak bile hala DoS saldırısından kurtulmanızı sağlayamaz ve ses kalitesinin önemli olduğu bir ortamda sesi etkileyen bu saldırıyı gözardı etmemek gerekir.

Diğer bir saldırı biçimi ise sistemin kaynaklarını kullanmak olarak karşımıza çıkımaktadır. Örneğin sahip olduğunuz softswitch (gatekeeper veya gateway), izinsiz kullanıcılar tarafında bir şekilde ele geçirildi ise (ki bu cihazlar bildiğimiz sistemlerden hiç farklı değildir) artık sizin üzerinizden ses trafiği yollayarak bedava trafik elde etmiş olur. Bu sayede sadece 1 gecede sisteminizin büyüklüğüne göre 50-60 bin dolardan birkaç yüzbin dolara kadar zarara uğramanız mümkün. Kimseye hiçbirşey anlatamadığınız gibi ispatlamak veya yakalamak da bir o kadar zor olacaktır. Ve zararınızı direkt olarak parayla ödeyerek karşılamanız gerekmektedir (Editör Notu: Genelde büyük taşıyıcılar-carrier- ile yapılan anlaşmalarda ödemeler haftalık yada aylık olmaktadır. Bu durumda belki ertesi gün kalktığınızda, karşıdaki taşıyıcıya bir önceki gün olduğu gibi 100 bin euro değil de 200bin euro ödemek durumunda kalabilirsiniz. Ve bunu anlatabilmenizde mümkün değildir. Kimse sizin saldırıya uğradığınızı dikkate almaz ve hatta belki güvenilirliğinizden bile şüpheye düşebilirler. Çünkü sizin onlara trafik yollayabilmeniz için sizin IP adreslerinize izin verilmiş olması gerekmektedir. Bu da saldırganların sizi kullanarak oraya atlayabileceği anlamına gelmektedir).

Kaynaklarınızı ele geçirmiş bir saldırgan bunu sizin ekipmanınızı bedava kullanmak için değil de ses trafiğinizdeki bazı kullanıcıların telefon konuşmalarını dinleyebilmek için yapacaklarınıda unutmayın. Telefon dinlemek için eskiden çok özel ve pahalı ekipmanlar lazımdı. Ama genişleyen ve özelleşen sektör ile telefon dinlemek artık eskisi kadar zor değildir.

Bunlar bildiklerimiz veya söyleyebildiklerimiz. Bir de gelişen IT sektöründe (özellikle dörtnala giden VoIP sektöründe) her gün gittikçe artan bir tehdit olan güvenlik, eminim ki ilerleyen zamanlarda hayal gücümüzü zorlayan sahnelere tanık olacaktır. Tüm bunlardan korunmak için öncelikle sisteminizi çok iyi tanımanız, çok iyi dizayn etmeniz ve konfigüre etmeniz gerekmektedir. Tabii tüm bunların yanında düzenli olarak güvenlik test edilmeli bulunan her türlü sistematik veya akıl oyunlarına dayalı açıkların kapatılması gerekmektedir.

Yazımızın bundan sonraki bölümünde sistemin biraz daha içine girip, hem çalışmasını daha detaylı görmeye çalışacağız hem de aynı zamanda bunların yaratacağı tehditleri daha gerçek platformda görmeye çalışacağız.

Referanslar: NetworkWorldFusion - VoIP security a moving target

__________________________