จัดทำโดย
นายศิรมณ์ เสถียรรัมย์
รหัสนักศึกษา 5207964
เสนอ
พ.อ.รศ.ดร.เศรษฐพงค์ มะลิสุวรรณ
รายงานนี้เป็นส่วนหนึ่งของรายวิชา
ITM 633 Information Security Management
หลักสูตรวิทยาศาสตรมหาบัณฑิต สาขาวิชาการจัดการเทคโนโลยีสารสนเทศ
(ระบบการศึกษาทางไกลทางอินเทอร์เน็ต) มหาวิทยาลัยรังสิต
- การศึกษา
• ปริญญาเอกวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม Ph.D. in Electrical Engineering (Telecommunications) จาก State University System of Florida; Florida Atlantic University, USA
• ปริญญาโทวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม (ระบบสื่อสารเคลื่อนที่) MS in EE (Telecommunications) จาก The George Washington University, USA
• ปริญญาโทวิศวกรรมไฟฟ้า (เครือข่ายสื่อสารคอมพิวเตอร์) MS in EE จาก Georgia Institute of Technology, USA
• ปริญญาตรีวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม (เกียรตินิยมเหรียญทอง) จาก โรงเรียนนายร้อยพระจุลจอมเกล้า (นักเรียนเตรียมทหารรุ่น 26, จปร. รุ่น 37) BS.EE. (Telecommunication Engineering)
• มัธยมปลาย จากโรงเรียนเตรียมอุดมศึกษา
เกียรติประวัติด้านการศึกษา
• จบการศึกษาปริญญาตรีวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม อันดับที่ ๑ ด้วยเกียรตินิยมเหรียญทอง
• ได้รับเกียรตินิยมปริญญาเอก Outstanding Academic Achievement จาก Tau Beta Pi Engineering Honor Society และ Phi Kappa Phi Honor Society
• ได้รับทุนวิจัยระดับปริญญาเอกจาก EMI R&D LAB (Collaboration between Florida Atlantic University and Motorola, Inc.) หลักสูตรประกาศนียบัตร
• หลักสูตรการรบร่วมรบผสม (Joint and Combined Warfighting Course), National Defense University, Norfolk ประเทศสหรัฐอเมริกา โดยทุนต่อต้านก่อการร้ายสากล (Counter Terrorism Fellowship Program) กระทรวงกลาโหม สหรัฐอเมริกา
• หลักสูตรการบริหารทรัพยากรเพื่อความมั่นคง (Defense Resourse Management) โดยทุน International Military Education and Training (IMET) program, Naval Postgraduate School ประเทศสหรัฐอเมริกา
• หลักสูตร Streamlining Government Through Outsourcing Course โดยทุน International Military Education and Training (IMET) program, Naval Postgraduate School ประเทศสหรัฐอเมริกา ตำแหน่งและหน้าที่ปัจจุบัน
• ประจำกรมข่าวทหาร กองบัญชาการกองทัพไทย
• กรรมการกำหนดและจัดสรรคลื่นความถี่ใหม่ ภายใต้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.)
• ผู้ช่วยเลขานุการในคณะประสานงานการบริหารคลื่นความถี่เพื่อความมั่นคงของรัฐ ภายใต้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.)
• กองบรรณาธิการ NGN Forum สำนักงานคณะกรรมการกิจการโทรคมนาคมแห่งชาติ
• บรรณาธิการวารสาร International Journal of Telecommunications, Broadcasting, and Innovation Management
• ประธานโครงการศึกษาความเป็นไปได้ในการกำกับดูแลเรื่องการบริหารคลื่นความถี่ด้วยเทคโนโลยี Dynamic Spectrum Allocation เพื่ออุตสาหกรรมโทรคมนาคมไทย ภายใต้การสนับสนุนของ คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.)
• อาจารย์พิเศษภาควิชาวิศวกรรมไฟฟ้าและคอมพิวเตอร์ โรงเรียนนายร้อยพระจุลจอมเกล้า
• รองศาสตราจารย์ Business School, TUI University International, USA. (Accredited Internet Distance Learning University)
• รองศาสตราจารย์ American University of London (Internet Distance Learning University)
• กรรมการกำกับมาตรฐานในหลักสูตรวิศวกรรมไฟฟ้าโทรคมนาคม, วิศวกรรมซอฟท์แวร์, เกมส์และมัลติมีเดีย, เทคโนโลยีสารสนเทศ, การจัดการสารสนเทศ ในหลายมหาวิทยาลัย ทั้งของรัฐบาลและเอกชน
• อาจารย์พิเศษในมหาวิทยาลัยหลายแห่ง เช่น จุฬาลงกรณ์มหาวิทยาลัย, มหาวิทยาลัยมหิดล, มหาวิทยาลัยธรรมศาสตร์, มหาวิทยาลัยรามคำแหง, มหาวิทยาลัยนเรศวร, มหาวิทยาลัยขอนแก่น, มหาวิทยาลัยอัสสัมชัญ, มหาวิทยาลัยกรุงเทพ และมหาวิทยาลัยรังสิต ตำแหน่งและหน้าที่สำคัญในอดีต
• ผู้บังคับหมวด กองพันทหารสื่อสารที่ ๑ รักษาพระองค์
• อาจารย์ภาควิชาวิศวกรรมไฟฟ้าและคอมพิวเตอร์โรงเรียนนายร้อยพระจุลจอมเกล้า
• ผู้พิพากษาสมทบศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง
• ช่วยราชการสำนักงานเสนาธิการประจำเสนาธิการทหารบก
• ปฏิบัติหน้าที่ใน บริษัท กสท โทรคมนาคม จำกัด (มหาชน) ๑. ตำแหน่งผู้เชี่ยวชาญและเลขานุการ ประธานกรรมการฯ ๒. ตำแหน่งกรรมการกำกับดูแล การดำเนินงานและโครงการ
• อนุกรรมการบริหารโปรแกรมเทคโนโลยีเพื่อความมั่นคงศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิว เตอร์แห่งชาติ (NECTEC)
• อนุกรรมาธิการ ทรัพยากรน้ำ ในคณะกรรมาธิการทรัพยากรธรรมชาติและสิ่งแวดล้อมสนช.
• ที่ปรึกษาโครงการดาวเทียมเพื่อความมั่นคงศูนย์พัฒนากิจการอวกาศเพื่อความมั่นคง กระทรวงกลาโหม
• หัวหน้าโครงวิจัย การศึกษาความเป็นไปได้การจัดสร้างพื้นที่ทดสอบความเข้ากันได้ทางแม่เหล็กไฟฟ้าและสอบเทียบสายอากาศ ศูนย์ทดสอบผลิตภัณฑ์ไฟฟ้าและอิเล็กทรอนิกส์ (PTEC) สนับสนุนโครงการโดย สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (NSTDA)
• อนุกรรมการ การประชาสัมพันธ์ สื่อทางอินเทอร์เน็ต ศาลยุติธรรม
• ที่ปรึกษาคณะอนุกรรมาธิการพิจารณาศึกษาหามาตรการในการป้องกันการแพร่ระบาดของเกมส์คอมพิวเตอร์ (ออนไลน์) ในสภาผู้แทนราษฎร
• กรรมการร่างหลักเกณฑ์ใบอนุญาตประกอบกิจการโทรคมนาคมผ่านดาวเทียมสื่อสาร และโครงข่ายสถานีวิทยุคมนาคมภาคพื้นดิน ภายใต้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.)
• คณะทำงานกำหนดคุณลักษณะเฉพาะเครื่องคอมพิวเตอร์และระบบเครือข่าย และกำหนดขอบเขตการจ้างที่ปรึกษาในการออกแบบและพัฒนาระบบงาน สำนักงานตรวจเงินแผ่นดิน
• ที่ปรึกษาในคณะกรรมการเทคโนโลยีสารสนเทศและการสื่อสาร (CIO Board) สำนักงานตรวจเงินแผ่นดิน
• อนุกรรมการปรับปรุงระบบข้อมูลสารสนเทศ สำนักงานตรวจเงินแผ่นดิน
• นักวิจัย Visiting Researcher, Asian Center for Research on Remote Sensing (ACRoRS); Asian Institute of Technology (AIT)
• นักวิจัย Visiting Researcher, FAU EMI R&D LAB, Boca Raton, Florida, USA
• ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัย พัฒนาและวิศวกรรม ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)
* ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัยและพัฒนา กระทรวงกลาโหม
• ผู้ประเมินนักวิจัยดีเด่นประจำปี ของสภาวิจัยแห่งชาติ
• Adjunct Professor, School of Information Technology, Southern Cross University, Australia
• Adjunct Professor, Southern Cross University, Australia (Cooperation with Narasuan University, Thailand)
• Adjunct Professor, University of Canberra, Australia (Cooperation with Narasuan University, Thailand) ผลงานตีพิมพ์ทางวิชาการ
• วารสารวิจัยระดับนานาชาติ ๒๒ ฉบับ
• วารสารการประชุมทางวิชาการระดับชาติและนานาชาติ ๖๓ ฉบับ
เทคโนโลยี Voice Over Internet Protocol (VoIP)
เทคโนโลยี Voice Over Internet Protocol หรือ การส่งเสียงบนเครือข่ายไอพี เป็นเรื่องของการส่งเสียงพูดหรือข้อมูลประเภทของเสียงผ่านเครือข่าย Internet หรือ Intranet ของทางบริษัทหรือหน่วยงาน โดยที่จะมี Gateway อยู่ระหว่างตู้โทรศัพท์หรือ PMX (Private Branch Exchange) กับระบบ LAN โดยทำหน้าที่บีบขนาดไฟล์ข้อมูลของการคุย แปลงข้อมูลให้อยู่ในรูปของแพ็กเกต IP แล้วส่งเข้าไปในเครือข่าย จากนั้น Gateway ฝั่งตรงข้ามจะทำการขยายขนาดและแปลงข้อมูลกลับมาอยู่ในรูปของเสียง ทำให้ผู้ใช้คุยกันได้ด้วยโทรศัพท์ธรรมดา(www.thaiinternetwork.com)
VoIP สามารถประยุกต์ใช้ได้กับข้อกำหนดของการสื่อสารได้เกือบทั้งหมด ตั้งแต่การสื่อสารระหว่างอินเทอร์คอมของสำนักงาน ไปจนถึง multi-point teleconference การที่จะประยุกต์ใช้ VoIP นั้นส่วนใหญ่จะเป็นแบบ real time อุปกรณ์ที่จะใช้ต้องมีความยืดหยุ่นสูง สามารถสร้างความพึงพอใจให้กับทุกฝ่ายและใช้งานได้กับทุกสภาพแวดล้อมที่หลากหลาย และยังสามารถทำงานร่วมกับระบบโทรศัพท์ดั้งเดิมได้อีกด้วย
มาตรฐานของเทคโนโลยี VoIP
มาตรฐานของเทคโนโลยี VoIP โดยทั่วไปจะมีอยู่ 2 มาตรฐาน คือ
1. H.323 Standard
โดยทั่วไปแล้วระบบนี้ไม่ได้ถูกออกแบบมาให้ใช้งานกับระบบเครือข่ายที่ใช้ IP นอกจากนั้นมาตรฐานนี้มีการทำงานที่ค่อนข้างช้า โดยปกติจะใช้ก็ต่อเมื่อในระบบเดิมของลูกค้ามีการใช้มาตรฐาน H.323 อยู่แล้วเท่านั้น
2. SIP (Session Initiation Protocol) Standard
เป็นมาตรฐานใหม่ในการใช้งานของเทคโนโลยี VoIP ซึ่งมาตรฐาน SIP ได้ถูกออกแบบมาเพื่อใช้กับระบบ IP โดยเฉพาะ ซึ่งโดยปกติแล้วจะแนะนำให้ลูกค้าใหม่ที่จะมีการใช้ VoIP ให้มีการใช้งานอยู่บนมาตรฐาน SIP และเป็นมาตรฐานที่มี Reliability ที่ค่อนข้างสูง (พ.อ.รศ.ดร.เศรษฐพงค์ มะลิสุวรรณ: http://www.guru-ict.com/guru/files/VOIP.doc)
ความแพร่หลายของ เทคโนโลยี Voice over IP (VoIP) ซึ่งปัจจุบันได้รับการพัฒนาจนสามารถให้คุณภาพในการสื่อสารที่ใกล้เคียงกับ การใช้โทรศัพท์พื้นฐานแบบ Time Division multiplexing (TDM) ที่มีมาแต่อดีต นอกจากจะเป็นการช่วยลดต้นทุนในการให้บริการของผู้ประกอบการเครือข่าย ด้วยเหตุที่ว่า VoIP ทำให้มีการใช้งานแบนด์วิดธ์ของวงจรสื่อสารได้อย่างมีประสิทธิภาพมากกว่าการ สื่อสารแบบ TDM ที่ต้องมีการจองแบนด์วิดธ์ตายตัวให้กับวงจรสื่อสารแต่ละวงจร (วงจรละ 64 กิโลบิตต่อวินาที) ความง่ายและความสะดวกของการใช้งาน VoIP ไม่ว่าจะเป็นการใช้งานผ่านเครื่องคอมพิวเตอร์ ความหลากหลายของผู้ให้บริการ ซึ่งมีทั้งที่เป็นผู้ให้บริการสื่อสารเครือข่ายโทรศัพท์เดิม และบรรดาผู้ให้บริการบนโลกอินเทอร์เน็ตอย่าง Skype ก็ทำให้ผู้บริโภครู้สึกสะดวกในการใช้งาน ทั้งนี้ยังไม่นับถึงผลพวงจากต้นทุนในการให้บริการที่ลดต่ำลง และการแข่งขันของผู้ประกอบการที่ทำให้อัตราค่าบริการของโทรศัพท์แบบ VoIP ถูกมาก โดยเฉพาะการใช้บริการระหว่างประเทศ
ลำพังเฉพาะการใช้งาน VoIP ในหมู่ผู้บริโภคทั่วไป ก็จะเห็นได้ว่าเป็นการพึ่งพาเครือข่ายอินเทอร์เน็ตอย่างไม่มีพรมแดน ภาพของการใช้งานบริการ VoIP ของผู้บริโภคที่อาศัยอยู่ในประเทศหนึ่ง ผ่านทางอุปกรณ์ VoIP Gateway และ VoIP Server (หรือ Softswitch) ที่เป็นของผู้ประกอบการที่ติดตั้งอยู่ ณ อีกซีกหนึ่งของโลก หรือแม้กระทั่งการใช้งานบริการ VoIP ของผู้ประกอบการเครือข่ายที่อยู่ในประเทศเดียวกัน ก็ยังมีความเป็นไปได้ว่าบนเส้นทางการรับส่งสัญญาณเสียงจากโทรศัพท์ต้นทางไป สู่ปลายทาง ย่อมจะต้องมีบางช่วงที่ถูกส่งผ่านเครือข่ายอินเทอร์เน็ต หรือแม้กระทั่งผ่านเครือข่าย IP ที่มีการเช่าใช้งานแบบสาธารณะร่วมกับผู้ประกอบการหรือผู้เช่าใช้งานรายอื่น
ประเด็นในเรื่องของความปลอดภัย ไม่ว่าจะเป็นการถูกจู่โจมจากบรรดาไวรัส วอร์ม หรือโทรจันต่าง ๆ ที่มีแพร่กระจายอยู่บนเครือข่ายอินเทอร์เน็ต หรือแม้กระทั่งการถูกลักลอบดักฟังการสนทนาทางโทรศัพท์โดยบุคคลที่สาม ซึ่งสามารถจับ (Trace and Track) สัญญาณโทรศัพท์ที่อยู่ในรูปของโปรโตคอล VoIP กลายเป็นการละเมิดสิทธิส่วนบุคคล หรืออาจนำไปสู่การมุ่งร้ายอื่น ๆ กำลังกลายเป็นเรื่องที่ได้รับความสนใจจากผู้ใช้บริการ VoIP โดยเฉพาะกับกลุ่มผู้ใช้บริการในลักษณะองค์กร (Enterprise Customer) ซึ่งผลจากการถูกลักลอบดังฟังจะกระทบโดยตรงกับธุรกิจหรือกิจการที่องค์กร ดำเนินการอยู่
(ภาพจาก http://sendanonymousemail.com/mail/wp-content/uploads/2009/03/voip.jpg)
ในปัจจุบันมีมาตรฐานโปรโตคอลที่ได้รับการออกแบบมา เพื่อให้ผู้ประกอบการเลือกใช้อยู่หลายประเภท ไม่ว่าจะเป็นมาตรฐาน H.323 มาตรฐาน SIP (Session Initiation Protocol) ซึ่งมีแนวโน้มว่าจะได้เป็นมาตรฐานหลักสำหรับ VoIP ในอนาคต นอกจากนั้นยังมีมาตรฐานอื่น ๆ ที่เติบโตขึ้นจากโลกของเครือข่ายโทรคมนาคมเดิม ทั้งมาตรฐาน Media Gateway Control Protocol (MGCP) และ Megaco/H.248 มาตรฐานโปรโตคอลเหล่านี้เน้นให้ความสำคัญกับการรักษาคุณภาพในการรับส่ง สัญญาณโทรศัพท์ VoIP ผ่านเครือข่าย IP และเครือข่ายอินเทอร์เน็ต ซึ่งมีความซับซ้อนของการเชื่อมต่ออุปกรณ์เครือข่ายต่าง ๆ ไม่ว่าจะเป็นไฟร์วอลล์ เราเตอร์ เกตเวย์ ฯลฯ โดยมุ่งลดความล่าช้า (delay) ในการส่งผ่านแพ็กเก็ตข้อมูล VoIP ไปบนอุปกรณ์เหล่านี้ เพื่อหวังผลให้คุณภาพของการสนทนาปลอดจากผลกระทบของ jitter ซึ่งเป็นความหน่วงในการสื่อสารที่เกิดขึ้นและแฝงเร้นอยู่บนเส้นทางการสื่อสาร
(ภาพจาก http://195.224.249.41/images/products/voip_diagram.jpg)
ไม่ว่าการให้บริการ VoIP โดยผู้ประกอบการจะเลือกใช้โปรโตคอลแบบใด รวมถึงความใส่ใจของผู้ประกอบการในการปรับแต่งค่าพารามิเตอร์ในการให้บริการ เพื่อให้คุณภาพการสนทนาแบบ VoIP อยู่ในระดับที่ทัดเทียมกับการใช้งานโทรศัพท์แบบ TDM เพียงใด แต่ในแง่ของผู้ใช้งาน โดยเฉพาะกับกลุ่มผู้ใช้งานที่เป็นองค์กรแล้ว ก็ยังต้องให้ความสำคัญกับการเลือกใช้และออกแบบเครือข่ายคอมพิวเตอร์ และ/หรือ เครือข่าย IP ที่อยู่ภายในองค์กรของตนเองด้วย ไม่ว่าจะเป็นการกำหนดมาตรการ (policy) ในการให้อุปกรณ์เครือข่ายอย่างเราเตอร์ ไฟล์วอลล์ หรือแม้กระทั่ง Border Gateway มีคุณสมบัติในการรองรับข้อมูลที่เป็นแพ็กเก็ต VoIP เป็นพิเศษนอกเหนือจากข้อมูลที่อยู่ในรูปแพ็กเก็ตโปรโตคอลอื่น ๆ จะหวังพึ่งการกำหนดค่าของผู้ให้บริการเพียงอย่างเดียวลำพังก็ย่อมจะยากที่จะ รักษาคุณภาพในการใช้บริการ VoIP
มาตรการป้องกันความปลอดภัยของผู้ใช้บริการ VoIP
สำหรับแนวทางในการหามาตรการป้องกันความปลอดภัยของข้อมูลนั้น แนวทางที่เป็นไปได้สำหรับผู้ใช้บริการ VoIP ทั้งที่เป็นลูกค้ารายย่อยและลูกค้ากลุ่มองค์กร ก็คือการหาทางป้องกันเท่าที่จะทำได้ ณ จุดที่ตนเองใช้งาน ซึ่งยังมีความเป็นไปได้ที่จะป้องกันการลักลอบดักฟัง ณ จุดเชื่อมต่อ (Access Point) อันหมายถึงทุก ๆ สถานที่ที่ผู้ใช้งานมีความเป็นไปได้ที่จะใช้บริการ VoIP และการกำหนดนโยบายป้องกันการดักฟังระหว่างที่ข้อมูลแพ็กเก็ต VoIP วิ่งผ่านเครือข่ายของผู้ให้บริการ รวมถึงบนเครือข่ายเชื่อมต่ออย่าง IP และอินเทอร์เน็ต
การป้องกัน ณ จุดเชื่อมต่อ (Access Point)
แนวทางแรกซึ่งเป็นเรื่องของการ ป้องกันการลักลอบดักฟัง ณ จุดเชื่อมต่อ ก็คือการกำหนดมิให้บุคคลที่สามมีโอกาสเข้ามาจับเชื่อมต่อ (Tapping) เครือข่ายภายในบ้านหรือองค์กร ซึ่งในกรณีของเครือข่าย LAN ที่มีการเชื่อมต่อแบบเคเบิ้ลทั้งหมดนั้นไม่น่าจะมีปัญหามากนัก ทั้งนี้อาจมีการล็อกรหัสเลขหมาย MAC ของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่ายต่าง ๆ ที่ได้รับอนุญาตให้เชื่อมต่อกับเครือข่าย หรืออาจถึงขั้นกำหนดให้มีการล็อกอินก่อนผ่านเข้าใช้งานเครือข่าย
อย่างไรก็ตามในกรณีที่เปิดให้มีการใช้เชื่อมต่อผ่านทาง เครือข่ายไร้สาย โดยเฉพาะอย่างยิ่งกับเครือข่าย Wi-Fi ซึ่งตามที่อยู่อาศัยทั่วไปที่มีการติดตั้งอุปกรณ์ Wi-Fi ADSL Router และประยุกต์ใช้งาน VoIP ผ่านคอมพิวเตอร์โน้ตบุ๊คที่เชื่อมต่อกับเครือข่ายภายในบ้าน โดย Wi-Fi หรือแม้กระทั่งใช้โทรศัพท์ VoIP ที่เป็นแบบ Wi-Fi เสียเอง ในกรณีนี้แนะนำให้เปิดใช้งานฟังก์ชั่นการเข้ารหัสแบบ WPA (Wi-Fi Protected Access) ผ่านทางอุปกรณ์ Wi-Fi Router พร้อมทั้งกำหนดค่าบนเครื่องคอมพิวเตอร์โน้ตบุ๊ค และโทรศัพท์ VoIP แบบ Wi-Fi (ถ้าทำได้) หลีกเลี่ยงที่จะใช้โปรโตคอลรักษาความปลอดภัยง่าย ๆ อย่าง WEP (Wired Equivalent Privacy) นอกจากนี้หากเป็นไปได้ควรทำการล็อกเลขหมาย MAC ในอุปกรณ์ Wi-Fi Router ให้ยอมรับเฉพาะเครื่องคอมพิวเตอร์ที่ใช้งานภายในบ้านหรือองค์กรเท่านั้น ก็จะสามารถป้องกันการลักลอบจับใช้งานเครือข่ายต้นทางเพื่อดักฟังการสนทนา VoIP ได้แล้วในระดับหนึ่ง
(ภาพจาก http://www.dialaphone.co.uk/blog/wp-content/uploads/2008/02/voip_1.jpg)
การป้องกันข้อมูล VoIP บนเครือข่าย
ปัจจุบันแนวทางในการรักษาความ ปลอดภัยให้กับแพ็กเก็ตข้อมูล VoIP ที่ถูกส่งผ่านเครือข่าย ดูจะมีข้อสรุปไปที่การใช้โปรโตคอล IP Security (IPsec) ซึ่งสามารถทำได้ทั้งที่จุดเชื่อมต่อต้นทาง (End-point) ซึ่งหมายถึงอุปกรณ์เครือข่ายขององค์กรต้นทางและปลายทาง หรือทำที่เครือข่ายของผู้ให้บริการต้นทางและปลายทาง มีข้อถกเถียงกันมากว่าการนำโปรโตคอล IPsec มาใช้งานเข้ารหัสแพ็กเก็ต VoIP จะทำให้เกิดความหน่วงในการรับส่งข้อมูลจนส่งผลให้คุณภาพในการสนทนาด้วย เทคโนโลยี VoIP ลดลงหรือไม่ ผลจากการทดสอบโดย National Institute of Standards and Technology (NIST) พบว่าการใช้งานโปรโตคอล IPsec ทำให้เวลาหน่วงในการขอเชื่อมต่อวงจรสื่อสารเพิ่มขึ้นประมาณ 3 วินาที ในขณะที่ไม่มีผลกระทบมากนักต่อการหน่วงของเสียงสนทนาหลังจากการเชื่อมต่อแล้ว
(ภาพจาก http://www.baacs.com/voip.jpg)
อย่างไรก็ตามยังมีประเด็นที่ต้องดำเนินการทดลองและหาข้อสรุป เกี่ยวกับการประยุกต์ใช้โปรโตคอล IPsec กับการให้บริการ VoIP แบบเข้ารหัส ซึ่งส่วนใหญ่เกี่ยวข้องกับการรักษาคุณภาพของสัญญาณสนทนาแบบ VoIPsec ซึ่งยิ่งความนิยมในการใช้บริการ VoIP เพิ่มขึ้นมากเท่าไร ความหนาแน่นของแพ็กเก็ตข้อมูล VoIP บนเครือข่าย IP และอินเทอร์เน็ตย่อมเพิ่มมากขึ้น และความหนาแน่นนี้อาจส่งผลรบกวนต่อประสิทธิภาพในการทำงานของโปรโตคอล VoIP และ VoIPsec ในภาพรวมมากขึ้น ในทางปฏิบัติจึงมีนักพัฒนาบางรายเสนอแนวคิดในการเข้ารหัสสัญญาณเสียงโดยใช้ ซอฟท์แวร์เฉพาะกิจพิเศษ ซึ่งจะทำการแปลงสัญญาณเสียงอนาล็อกที่พูดผ่านไมโครโฟนของโทรศัพท์ VoIP ต้นทาง ให้มีคุณสมบัติเฉพาะด้วยการสลับสเปกตรัมของสัญญาณเสียงก่อนที่จะแปลงไปเป็น สัญญาณดิจิตอล ซึ่งโทรศัพท์ปลายทางเท่านั้นที่จะทราบกันว่าเมื่อแปลงสัญญาณดิจิตอลที่ได้ รับกลับมาเป็นสัญญาณอนาล็อกแล้ว จะต้องทำการสลับสเปกตรัมของสัญญาณอนาล็อกในรูปแบบที่ย้อนกลับกับโทรศัพท์ต้น ทาง จึงจะสามารถเข้าใจเนื้อหาของการสนทนานั้นได้ดังเดิม แต่วิธีการนี้ก็ต้องการซอฟท์แวร์หรือโทรศัพท์ VoIP พิเศษ บางครั้งอาจต้องการฮาร์ดแวร์พิเศษ ซึ่งมองว่ามีโอกาสในการทำตลาดแบบ mass ได้ไม่ง่ายนัก การรอคอยให้มีการพัฒนาโปรโตคอล VoIPsec ให้แข็งแกร่งและสามารถรับปริมาณการสื่อสารแบบ mass ได้โดยไม่ส่งผลกระทบต่อคุณภาพในการสนทนามากจนเกินไปนักจึงน่าจะเป็นทางเลือก ที่ดีที่สุด (http://www.numsai.com)
รูป Inter Phone Adapter
รักษาความปลอดภัยให้กับ VoIP
ปัจจุบันนี้ VoIP ดูจะกลายเป็นส่วนหนึ่งของหลายๆ บริษัทไปเสียแล้วโดยอาศัยโครงสร้างพื้นฐานเดิมที่มีอยู่ภายในองค์กร ทำให้ VoIP ที่วิ่งกันอยู่ในระบบนั้นอาศัยเพียงแค่ไอพีในการทำงาน หรือมากขึ้นมาหน่อยก็เป็น VPN เพื่อรักษาความปลอดภัยให้กับข้อมูล เพียงเท่านี้ก็ทำให้หลายๆ บริษัทใช้ฟีเจอร์ทั้งพื้นฐานและฟีเจอร์ขั้นสูงของระบบ IP Telephony ได้แล้ว และยุคนี้ยังมีเครื่องมือที่พัฒนาขึ้นมาในแบบเว็บเบสที่ช่วยให้การควบคุม หรือการดูแลระบบของผู้ดูแลระบบไอทีทำได้ง่ายขึ้น รวมทั้งพนักงานสามารถเข้าถึงระบบได้ง่ายอีกด้วยเช่นกัน ซึ่งถ้าหากมองทิศทางในอนาคตของระบบ VoIP แล้วจะเห็นว่ามีความเป็นไปได้สูงที่จะเข้ามาอยู่ร่วมเป็นส่วนหนึ่งของ แอพพลิเคชันหลักในระบบที่ทำงานบนเครือข่ายไอพี เช่น แอพพลิเคชันฐานข้อมูลหรือระบบที่ใช้ติดต่อลูกค้าของบริษัทนั้นสามารถติดตั้ง โมดูล VoIP ลงไปทำให้แอพพลิเคชันมีความสามารถในการใช้ระบบ VoIP ได้ทันที ซึ่งด้วยความสามารถดังกล่าวนี้ทำให้แอพพลิเคชันสมัยใหม่นั้นทำมีประสิทธิภาพ สูงขึ้น และยังดูไร้ขีดจำกัดตามความต้องการใช้งานของผู้ใช้ และยังส่งผลให้เกิดรูปแบบการทำงานใหม่ๆ และสร้างผลผลิตจากองค์กรได้สูงขึ้นตามไปด้วยเช่นกัน
(ภาพจาก http://www.quintum.com/images/hospitality-voip.jpg)
โดยธรรมชาติของ ทราฟฟิก VoIP ที่ใช้กันอยู่ทุกวันนี้ ก็ไม่ได้แตกต่างอะไรจากข้อมูลแบบอื่นๆ ที่วิ่งอยู่บนเน็ตเวิร์กแบบไอพี เพียงแต่มีสิ่งที่ต้องการเพิ่มขึ้นมาเล็กน้อยสำหรับ VoIP ก็คือเรื่องของประสิทธิภาพในการทำงานแบบเรียลไทม์ที่ถือว่าเป็นสิ่งที่จำเป็นและขาดไม่ได้เลยทีเดียว กับอีกประเด็นนั่นก็คือเรื่องของการรักษาความปลอดภัยในระบบ VoIP ที่ไม่ควรมองข้ามเช่นกัน ซึ่งในการรักษาความปลอดภัยของระบบ VoIP นั้นมีหลากหลายประเด็นที่เราต้องให้ความสำคัญซึ่งถือเป็นพื้นฐานอยู่แล้วในการติดตั้งระบบ และจะต้องปรับแต่งโครงสร้างพื้นฐานรวมทั้งโพรซีเยอร์ต่างๆ ให้เหมาะสมกับระบบเช่นกัน โดยเฉพาะอย่างยิ่งในบางจุดที่เสี่ยงต่อการถูกโจมตี
เป้าหมายในการรักษาความปลอดภัย
สำหรับระบบ VoIP นั้นมีเป้าหมายในการรักษาความปลอดภัยไม่แตกต่างไปจากระบบอื่นๆ ในทุกๆ ประเด็น ซึ่งถ้ามองว่าข้อมูลที่สื่อสารกันเป็นโทรศัพท์ส่วนตัวของใครสักคนหนึ่ง แน่นอนว่าทุกคนย่อมไม่อยากให้การติดต่อโทรศัพท์ของตนเองถูกดักฟัง แม้ว่าการพูดคุยครั้งนั้นจะเป็นเรื่องธรรมดา ไม่มีความลับใดๆ ก็ตาม แต่จะยิ่งแย่ลงไปกว่าเดิมหากว่าเป็นการคุยเรื่องที่ค่อนข้างจะส่วนตัวสัก หน่อย หรือร้ายที่สุดก็คือเรื่องที่เป็นความลับ ซึ่งความเสียหายที่เกิดขึ้นกับการถูกดักฟังโทรศัพท์ในการใช้งานส่วนตัวนั้น อาจจะไม่เกิดขึ้น หรือเกิดขึ้นน้อยมาก ไม่ต่างจากระบบคอมพิวเตอร์ส่วนบุคคลที่โดนเจาะผ่านระบบรักษาความปลอดภัยเข้า ไป สุดท้ายแล้วก็แค่ข้อมูลส่วนตัวของแต่ละคนที่อาจจะไม่มีประโยชน์สำหรับบุคคล อื่นเลยก็เป็นได้ แต่สำหรับองค์กร มันไม่ได้เป็นเช่นนั้น เพราะว่าระบบคอมพิวเตอร์ในองค์กรมีหลายสิ่งที่เป็นความลับอยู่มากมายทีเดียว จึงเป็นเหตุผลว่าทำไมทุกองค์กรจึงต้องติดตั้งระบบรักษาความปลอดภัยให้ดีที่ สุด มีการติดตั้งไฟร์วอลล์ป้องกันเอาไว้หลายชั้น บางหน่วยงานยกเลิกการใช้แผ่นดิสก์ไปนาน จนมาพบปัญหากับไดรฟ์ USB ที่สามารถก๊อปปี้ข้อมูลออกจากระบบได้ บางแห่งถึงขนาดนำข้อมูลไปรวมศูนย์และไม่เก็บสำเนาเอาไว้ในเครื่องพีซีพนักงาน หรือเปลี่ยนไปใช้เป็น Thin Client ไปเลยก็มี ซึ่งถ้าข้อมูลในคอมพิวเตอร์สำคัญเช่นนั้น เสียงที่ส่งผ่าน VoIP ก็สำคัญไม่แพ้กัน การติดต่อหรือพูดคุยก็ล้วนแต่มีความลับขององค์กรวิ่งผ่านในระบบ การรักษาความปลอดภัยของระบบ VoIP จึงเป็นเรื่องที่มองข้ามไปไม่ได้เลยเช่นกัน และไม่ใช่เพียงแค่การโจมตีเพื่อขโมยข้อมูลเพียงอย่างเดียว แต่การโจมตีเพื่อทำลายระบบให้ระบบ VoIP ใช้งานไม่ได้ก็เป็นปัญหาใหญ่สำหรับหลายๆ องค์กรที่ยอมรับไม่ได้เลยทีเดียว
ประเด็นสำคัญในการรักษาความปลอดภัยของระบบ VoIP
ประเด็นสำคัญในการรักษาความปลอดภัยของระบบ VoIP นั้นจริงๆ แล้วสามารถแยกออกมาได้เป็นสามส่วนหลักๆ เท่านั้น ซึ่งก็นับว่าเป็นประเด็นที่ต้องพิจารณาและมองข้ามไปไม่ได้เลยแม้แต่ข้อเดียว
1. ความสามารถของบริการและ Availability ของระบบ เราจะต้องมั่นใจว่ารูปแบบการให้บริการของระบบนั้นตรงกับความต้องการ และระบบต้องมี availability สูงพอกับความต้องการใช้งาน แอพพลิเคชันต่างๆ ที่เชื่อมต่อเข้ากับระบบ VoIP จะต้องพร้อมใช้งานได้ทันทีเมื่อต้องการ และจะต้องมีหน้าตาที่สะดวกต่อการใช้งานของยูสเซอร์ มีโพรโตคอลสื่อสารที่แน่นอนควบคุมได้ง่าย หน่วยความจำของเครื่อง ซีพียู และแบนด์วิดธ์ของระบบต้องมีมากพอ รวมไปถึงแม้แต่การรองรับสำหรับปัญหาเนื่องจากซีพียูทำงานไม่ทันกับระบบจะต้องไม่เกิดขึ้นอีกด้วย ไม่เช่นนั้นแล้ว VoIP ก็ไม่ต่างอะไรจากโปรแกรม Chat ของเล่นสำหรับวัยรุ่นเท่านั้น
2. Service Integrity หรือระดับสิทธิในการใช้บริการ ซึ่งประเด็นนี้ค่อนข้างสำคัญสำหรับการป้องกันการใช้งานระบบโดยไม่ได้รับอนุญาต ซึ่งสิทธิทุกอย่างนั้นก็จะไปสัมพันธ์กับฟังก์ชันของระบบ และข้อมูลในระบบด้วยเช่นกัน อย่างเช่นพนักงานฝ่ายการเงิน หรือฝ่ายบัญชีอาจจะไม่สามารถติดต่อข้ามสำนักงานได้โดยตรง แต่ผู้จัดการฝ่ายสามารถติดต่อข้ามสาขาและข้ามประเทศได้ หรือพนักงานอาจจะติดต่อได้เฉพาะในเวลางานเท่านั้น เว้นแต่ฝ่ายบริการลูกค้า และระดับผู้บริหารเท่านั้นที่มีสิทธิในการใช้งานได้ตลอด 24 ชั่วโมง ตรงนี้ก็เพื่อรักษาสิทธิของบริษัทที่ป้องกันพนักงานนำระบบ VoIP ไปใช้โทรทางไกลข้ามประเทศในเรื่องส่วนตัวของพนักงานเอง ซึ่งอาจจะส่งผลให้องค์กรสูญเสียรายได้ก้อนใหญ่ทีเดียว
3. การรักษาความลับและความเป็นส่วนตัวของระบบ ตรงนี้มักจะเป็นประเด็นหลักที่ส่วนใหญ่จะมองเป็นประเด็นแรกเสมอ เพราะเราจะต้องทำอย่างไรก็ได้ให้สัญญาณที่ส่งออกไปนั้นกลายเป็นความลับ หรือถ้าโดนดักจับจากระบบ Sniffer ก็จะต้องไม่สามารถถอดรหัสออกมาได้ ซึ่งไม่จำเป็นว่าจะต้องเป็นสัญญาณเพียงอย่างเดียว แม้แต่เสียงหรือการสื่อสารอื่นๆ ผ่านเว็บก็จะต้องรักษาความลับได้ดีไม่แพ้กัน และแม้แต่ข้อมูลส่วนตัวของลูกค้า หรือพนักงานก็จะหลุดออกไปจากระบบไม่ได้เลยเช่นกัน
(ภาพจาก http://www.callrecordingcenter.com/images/crc_voip_multimedia_diagram.jpg)
หลากหลายการโจมตีกับ VoIP
ในเรื่องของการโจมตีระบบ VoIP นั้นจะว่าไปแล้วก็สามารถแยกได้เป็นสามกลุ่มหลักๆ เช่นเดียวกับประเด็นในเรื่องของการรักษาความปลอดภัย เพราะเราจำเป็นต้องรักษาความปลอดภัยให้ตรงจุดกับตำแหน่งที่กำลังจะถูกโจมตี โดยหลักแล้วจะแย่งได้เป็น Denial of Service, Fraud and Aubse และ Data Confidentiality ซึ่งถ้ามองลึกกันลงไปแล้ว ทั้งสามอย่างนั้นต่างส่งผลร้ายต่อการให้บริการของ VoIP ได้ไม่แพ้กันเลยทีเดียว
1. Denial of Service Attacks หรือที่คุ้นเคยกันในชื่อของ DoS นั้นเป็นการโจมตีแบบหนึ่งที่พบเห็นได้บ่อยครั้งบนอินเทอร์เน็ต ซึ่งอาศัยช่องโหว่ของซอฟต์แวร์ในระบบเน็ตเวิร์กที่เราใช้งานอยู่ หรือปัญหาที่เกิดจากการอิมพลีเมนต์ที่ไม่ลงตัว ซึ่งจะส่งผลทำให้อุปกรณ์ในระบบเน็ตเวิร์กต้องสูญเสียรีซอร์สที่ต้องการไปโดย ไม่จำเป็น และอาจจะไปรบกวนโพรโตคอลที่ให้บริการ รวมทั้งมีการประมวลผลโปรเซลที่ไม่จำเป็น ส่งผลให้องค์กรไม่สามารถให้บริการที่ตอบสนองกับสมาชิกได้ในระดับที่คาดหวัง เอาไว้ ซึ่งในการโจมตีโดยส่วนใหญ่แล้วจะมุ่งเป้าไปที่อุปกรณ์ต่างๆ ในระบบเน็ตเวิร์ก แต่ก็มีบางครั้งที่โจมตีไปที่อุปกรณ์ของลูกค้า (CPE) เช่นกัน อย่างในกรณีของอุปกรณ์ในเน็ตเวิร์กนั้นจะเป็นคอมโพเนนท์ที่จำเป็นทั้งต่อการสร้างสัญญาณโทรศัพท์และกำหนดเส้นทางในการติดต่อของระบบ โดยอุปกรณ์แต่ละตัวก็จะมีระบบปฏิบัติการของมันเองที่ใช้เพื่ออินเทอร์เฟซ ระหว่างอุปกรณ์ที่เป็นฮาร์ดแวร์ภายในตัวมัน และแอพพลิเคชันที่ติดตั้งอยู่ภายใน ซึ่งจะช่วยให้อุปกรณ์ดังกล่าวทำงานได้อย่างถูกต้อง รูปแบบการโจมตี แบบ DoS นั้นมีอยู่หลายแบบด้วยกัน วิธีหนึ่งก็คือการบังคับให้ระบบปฏิบัติการของอุปกรณ์เน็ตเวิร์กตัวใดตัวหนึ่งหยุดทำงาน หรือทำงานผิดพลาด ซึ่งจะส่งผลต่อการทำงานของตัวมันเอง แล้วทำให้ระบบโดยรวมไม่สามารถใช้การได้ หรือมีประสิทธิภาพต่ำลงกว่าที่ลูกค้าคาดหวังเอาไว้ ส่วนอีกวิธีหนึ่งที่ใช้กันมากก็คือการเข้าไปทริกอุปกรณ์เน็ตเวิร์ก หรือ CPE ให้รับข้อความที่ผิดพลาดเข้าไปจากหลายๆ โพรโตคอลที่ใช้ในบริการดังกล่าว ซึ่งข้อความที่ผิดพลาดนี้จะเข้าไปรบกวนการทำงานปกติของบริการ ทำให้ระบบเข้าใจผิดและต้องเสียเวลาในการตัดสินใจ ซึ่งก็จะส่งผลให้คุณภาพของการบริการต่ำลง ส่วนการโจมตีที่เราเรียกว่า floos หรือการโจมตีแบบ Distributed Denail of Service(DDoS) นั้นเป็นการโจมตีที่คล้ายๆ กันแต่จะส่งผลให้รีซอร์สของเน็ตเวิร์กส่วนใหญ่หายไปในทันที และระบบต้องรับภาระจำนวนมหาศาล เพราะ DDoS จะเป็นเหมือนการบังคับให้รีซอร์สทั้งหมดไม่ว่าจะเป็นซีพียูหรือ หน่วยความจำในเครื่องต้องรับมือกับรีเควสที่ผิดพลาดจำนวนมากที่ส่งเข้ามา ซึ่งจะส่งผลกระทบทำให้ระบบมีคุณภาพต่ำลงทันที จนอาจจะทำงานไม่ได้เลยทีเดียว แต่ก็ไม่ใช่ว่าจะต้องเป็นการโจมตีของบุคคลเสมอไป บางครั้งแม้แต่เวิร์มหรือไวรัสก็สามารถสร้างการโจมตี DDoS ขึ้นมาได้เช่นกัน ซึ่งเมื่อมีทราฟฟิกจำนวนมากวิ่งเข้ามา นอกจากจะสร้างภาระให้กับอุปกรณ์แล้ว ทราฟฟิกจำนวนมากก็ลดคุณภาพเน็ตเวิร์กไปโดยปริยาย การโจมตีอาจจะมุ่งไปที่ระบบหนึ่ง แต่ทราฟฟิกที่วิ่งอยู่ทำให้แพ็กเก็ตเสียงมีไม่พอ ทำให้เสียงเกิดดีเลย์ หรือสูญหายไปเลยก็มี
2. Fraud and Abuse หรืออธิบายได้ง่ายๆ ว่าเป็นการขโมยใช้บริการ ซึ่งเกิดจากกรณีที่บุคคลใดก็ตามสามารถใช้บริการหรือรีซอร์สได้มากกว่าสิทธิ์ที่เขาควรจะมี ซึ่งถ้าแบ่งเป็นประเภทแล้วก็ยังสามารถพิจารณาได้เป็นสองประเภทหลักๆ ก็คือ การขโมยใช้งานเต็มรูปแบบก็คือมีการเข้าใช้บริการโดยที่ผู้ใช้ไม่มีสิทธิในการใช้งานเลย หรือไม่ได้ลงทะเบียนเป็นสมาชิกเอาไว้ กับอีกประเภทหนึ่งคือการขโมยใช้งานบางส่วน ซึ่งเป็นการใช้งานของสมาชิกที่มีอยู่ในระบบแต่ใช้งานเกินกว่าสิ่งที่ได้รับอนุญาตเอาไว้ หรือว่ามากกว่าที่เขาจ่ายค่าบริการลงไป แต่ไม่ว่าจะเป็นแบบใดก็ตาม ถ้าหากมีการใช้งานนอกเหนือไปจาก policy ที่กำหนดเอาไว้ในระบบก็ถือว่าเป็นการขโมยใช้งานโดยทั้งสิ้น ซึ่งพฤติกรรมของผู้ใช้เองอาจจะมีทั้งจงใจขโมยใช้งาน หรือใช้เกินขอบเขตโดยไม่ได้ตั้งใจ อย่างกรณีแรกนั้นคงชัดเจนในตัวอยู่แล้ว แต่การใช้งานโดยไม่ได้ตั้งใจนั้น อาจจะเกิดจากพนักงานไม่ทราบสิทธิที่แท้จริงของตน แต่ระบบยอมให้ทำได้เนื่องจากการจัดการระบบผิดพลาด หรือว่าดูแลไม่ทั่วถึงนั่นเอง แต่ทั้งการโจมตีแบบ Fraud และ Abuse นั้นในวันนี้ถือว่าเป็นเรื่องที่ค่อนข้างใหม่สำหรับระบบ VoIP ซึ่งอาจจะเกิดขึ้นได้โดยง่ายเมื่อมีการติดตั้งฟีเจอร์ใหม่ๆ หรือฟีเจอร์ขั้นสูงเพิ่มเติมลงไปในระบบ โดยที่ไม่มีการป้องกันเอาไว้อย่างดีเพียงพอ และเนื่องจากระบบ VoIP นั้นก็ยังถือว่าเป็นของใหม่สำหรับโลกในปัจจุบัน เพราะแม้ว่าจะมีการพัฒนามานับสิบปีแล้วก็ตาม แต่การนำมาใช้งานนั้นยังไม่กว้างขวางและยังไม่กลายเป็นอุปกรณ์พื้นฐานเสียที เดียว ดังนั้นเทคนิคในการหลอกลวงหรือขโมยใช้ระบบก็ยังมีเกิดขึ้นใหม่อยู่เรื่อยๆ และก็เป็นตัวผลักดันให้มีการพัฒนาระบบป้องกันให้ดีขึ้นตามไปด้วยเช่นกัน
(ภาพจาก http://www.atsgreece.gr/cms/images/stories/revenueassurance.jpg)
3. Confidentiality and Data Privacy สำหรับในเรื่องของ Data Privacy นั้นถูกมองว่าเป็นเรื่องสำคัญจึงต้องป้องกันสิทธิของผู้ใช้เอาไว้โดยการปกป้องข้อมูลส่วนตัวของผู้ใช้ให้ปลอดภัยตามไปด้วยเช่นกัน ข้อมูลหลายอย่างของสมาชิกนั้นมีความจำเป็นในการเข้าสู่ระบบ ซึ่งข้อมูลดังกล่าวนั้นอาจจะเก็บเอาไว้ในฐานข้อมูลอื่นๆ ภายในระบบ ดังนั้นการโจมตีที่เกิดขึ้นในส่วนนี้ จะโจมตีเข้าไปที่ไอพีและละเมิดความเป็นส่วนตัวของเจ้าของทันที โดยเจาะตรงไปที่อุปกรณ์บนเน็ตเวิร์ก หรือโจมตีเข้าไปที่ฐานข้อมูลของระบบที่บรรจุข้อมูลส่วนตัวของลูกค้าเอาไว้ ซึ่งหากโจมตีสำเร็จข้อมูลดังกล่าวก็จะตกไปอยู่ในมือของแฮกเกอร์ และสามารถนำมาใช้เพื่อการย้อนกลับเข้าสู่ระบบในภายหลัง หรือแม้แต่นำไปใช้ในเรื่องอื่นๆ ก็ยังได้เช่นกัน ข้อมูลต่างๆ ของยูสเซอร์ในระบบ VoIP นั้นจะถูกมองว่าเป็นข้อมูลลับ และเป็นข้อมูลส่วนตัวที่รั่วไหลไม่ได้ แต่ขณะเดียวกันก็จะต้องถูกส่งออกแบบร่วมกับเสียงที่วิ่งผ่านในระบบ รวมไปถึงโพรโตคอลสื่อสารที่ใช้อีกด้วย ซึ่งข้อมูลส่วนตัวที่อยู่ภายในโพรโตคอลสัญญาณนั้นอาจจะรวมตั้งแต่หมายเลขโทรศัพท์ปลายทางที่กำลังติดต่อไป หรืออาจจะมีข้อมูลต้นทาง และอื่นๆ รวมไปด้วยเช่นกัน ซึ่งทั้งเสียงและสัญญาณที่ไม่ได้มีการป้องกัน และส่งผ่านเน็ตเวิร์กแบบไอพีที่ใช้งานร่วมกันกับผู้อื่น หรือระบบสาธารณะนั้นอาจจะถูกดับจับและโจมตีได้โดยง่าย แต่แม้ว่าป้องกันเอาไว้แล้ว ก็อาจจะมีข้อมูลบางส่วนที่ถอดรหัสออกมาได้เช่นกัน
กลไกการรักษาความปลอดภัยของ VoIP
การรักษาความปลอดภัยของ VoIP ให้มีประสิทธิภาพสูงสุดนั้นจะรวมทั้งกลไกพื้นฐานของการรักษาความปลอดภัยในระบบเครือข่ายแบบไอพี และกลไกการรักษาความปลอดภัยเพิ่มเติมสำหรับ VoIP ด้วย โดยสามารถแยกออกมาได้หลายส่วน ดังนี้
1. โพลีซีรักษาความปลอดภัย: ระบบการรักษาความปลอดภัย เริ่มต้นจากการกำหนดโพลิซีหรือเงื่อนไขต่างๆ ในการใช้งานเพื่อให้ครอบคลุมการใช้งานได้อย่างถูกต้องที่สุด โดยที่โพลิซีสำหรับ VoIP นั้นเปรียบได้เหมือนกับการเป็นศูนย์กลางสำหรับการทำงานในเรื่องการรักษาความ ปลอดภัยอื่นๆ ที่เกี่ยวข้องกันทั้งหมด การสร้างระบบขึ้นมาจากพื้นฐานโพลิซีนี้ จะช่วยให้กระบวนการติดตั้งระบบ VoIP นั้นกลายเป็นเรื่องง่าย และสามารถควบคุมสิทธิในการใช้งานของยูสเซอร์ทุกๆ คนได้ตั้งแต่เริ่มต้นวางแผนติดตั้งระบบ ซึ่งไม่จำเป็นว่าจะต้องติดตั้งระบบลงไปก่อนเสียด้วยซ้ำ เพราะว่าการกำหนดโพลิซีนั้นสามารถทำได้ตั้งแต่ในกระบวนการของเอกสาร หรือแม้แต่ในส่วนของการวางแผนโครงการ ซึ่งอาจจะต้องแบ่งกลุ่มผู้ใช้ หรือระดับผู้ใช้ ไปจนถึงแบ่งเขตพื้นที่รับผิดชอบต่างๆ เอาไว้ให้ชัดเจน เมื่อควบคุมโครงสร้างของโพลิซีได้แล้ว ที่เหลือก็เพียงแค่นำไปประกอบเข้ากับระบบ VoIP ที่ติดตั้งแล้วเท่านั้น ซึ่งก็เป็นขั้นตอนที่สามารถแยกกันทำได้โดยอิสระ และสามารถปรับแต่งเพิ่มเติมได้ โดยการกำหนดโพลิซีย่อยในภายหลังเช่นกัน
2. ป้องกันความเสียหายจาก Denail of Service: การโจมตี DoS หรืออย่างที่รู้จักกันก็คือการ flood ข้อมูลนั้นนับว่าเป็นเรื่องร้ายแรงและอันตรายเป็นอย่างมากสำหรับระบบ VoIP เนื่องจากระบบ VoIP นั้นต้องการประสิทธิภาพในการทำงานค่อนข้างสูงเพื่อที่คงไว้ซึ่งการส่งผ่านทราฟฟิกเสียงได้ในแบบเรียลไทม์ หากว่าไม่สามารถส่งแพ็กเก็ตได้แบบเรียลไทม์ระบบนี้ก็จะหมดความหมายในทันที ซึ่งสำหรับการโจมตี DoS นั้นจะต้องวางแผนรับมือเอาไว้ในทุกๆ ส่วนของเน็ตเวิร์กที่ระบบ VoIP ของเราต้องวิ่งผ่าน ไม่ว่าจะเป็นในส่วนของ LAN, WAN หรือเน็ตเวิร์กอื่นที่จำเป็นต้องเข้าถึงเพื่อกำหนดเป็นเส้นทางสำหรับ VoIP เป็นต้น โดยปกติแล้ว ในกลไกการรับมือ DoS นั้นจะต้องติดตั้งเอาไว้ในระดับโครงสร้างพื้นฐานของระบบ โดยที่ขอบระหว่างเน็ตเวิร์กนั้น อุปกรณ์เน็ตเวิร์กจะต้องมีอุปกรณ์ป้องกันสำหรับ VoIP ติดตั้งเอาไว้และต้องสามารถบล๊อกทราฟฟิกที่ไม่ถูกต้องหรือทราฟฟิกที่ต้องการ โจมตีให้หยุดตั้งแต่จุดดังกล่าวได้เสียก่อน เงื่อนไขในการป้องกันระบบเน็ตเวิร์กก็จะต้องอนุญาตให้เฉพาะบริการ และเฉพาะไอพีที่กำหนดเท่านั้นที่สามารถวิ่งผ่านเข้าหรือออกจากเครือข่ายที่ เราดูแลได้ ส่วนในการคอนฟิกไฟร์วอลล์, เราเตอร์, สวิตซ์ หรือเซิร์ฟเวอร์จะต้องลดผลกระทบจากการ flood หรือการโจมตี DoS แบบอื่นๆ ให้ได้ทั้งหมดเช่นกัน ซึ่งการตรวจสอบอุปกรณ์เน็ตเวิร์กทุกตัวรวมทั้งเครื่องพีซีทั้งหมดอยู่เป็น ประจำจะช่วยลดปัญหาดังกล่าวนี้ไปได้มาก และยังช่วยอัพเดตระบบให้ทันสมัยอยู่ตลอดเวลาเช่นเดียวกัน ส่วนในการป้องกัน DDoS นั้นนับเป็นส่วนจำเป็นที่จะต้องติดตั้งเอาไว้เพื่อปกป้องจากการโจมตีโดยการ flood โดยที่อุปกรณ์เน็ตเวิร์กต่างๆ นั้นจะต้องกำหนดขอบเขตความสามารถเพื่อใช้จำกัดปริมาณของรีซอร์สที่จำเป็น ต้องใช้งานสำหรับบริการ ซึ่งในส่วนนี้ถือเป็นเรื่องสำคัญในการบริหารจัดการบริการเพื่อให้รองรับกับ ความต้องการใช้งานได้ตลอดเวลา ซึ่งเมื่อพบว่ามีการโจมตีเข้ามาในระบบ การรับมือกับปัญหาก็จะทำได้อย่างรวดเร็วทั้งในการสืบหาที่มา และรับมือกับปัญหาทั้งหมด ก่อนที่จะเกิดผลกระทบต่อระบบ
3. รักษาความปลอดภัยสำหรับฟีเจอร์ขั้นสูงของ VoIP: จุดเด่นที่นับเป็นข้อได้เปรียบของ VoIP ก็คือการรวมกันระหว่างทั้งเสียงกับเว็บ อย่างเช่น ผู้ใช้ VoIP นั้นสามารถบริหารจัดการแอคเคานต์ของตนเองได้ และเลือกใช้ฟีเจอร์ขั้นสูง รวมทั้งเข้าถึงแอคเคานต์ของตนเองได้จากระยะไกลผ่านทางเว็บ ดังนั้นในการเข้าถึงฟีเจอร์ขั้นสูงต่างๆ เหล่านี้ล้วนแต่จำเป็นต้องมีการระบุตัวตนและป้องกันการเข้าถึงโดยไม่ได้รับ อนุญาต ยิ่งไปกว่านั้นแล้ว ฟีเจอร์ขั้นสูงทุกอย่างจำเป็นต้องถูกตรวจสอบเรื่องการรักษาความปลอดภัยพื้น ฐานด้วยเสมอ และต้องมั่นใจได้ว่าไม่มีโอกาสที่จะต้องเสี่ยงกับจากโจมตีหรือขโมยใช้งานอีก ด้วย ส่วนฟีเจอร์ใดๆ ก็ตามที่ไม่ได้ใช้งานก็ควรจะต้องปิดเอาไว้ก่อนเสมอ เพื่อจำกัดโอกาสที่ผู้โจมตีจะใช้ช่องทางดังกล่าวในการโจมตีเข้ามาในระบบอีก ด้วยเช่นกัน
4. รักษาความปลอดภัยกับเสียงและสัญญาณ: เสียงและสัญญาณอื่นๆ ที่สัมพันธ์กันนั้นควรจะถูกแยกออกมาเป็นอิสระจากทราฟฟิกข้อมูลอื่นทั่วไป เพื่อที่จะได้สามารถเพิ่มการรักษาความปลอดภัยลงไปได้ ซึ่งในจัดนี้นั้น ทราฟฟิก VoIP จะต้องถูกฟิลเตอร์ออกมาจากทราฟฟิกข้อมูล และต้องแยกออกมาจากทราฟฟิก VoIP แปลกปลอมอื่นๆ อีกด้วย โดยกลไกที่ทำงานบนเน็ตเวิร์กนั้นค่อนข้างจำเป็นในการคัดแยกข้อมูลดังกล่าว นี้ออกมา อย่างเช่น VPN อาจจะต้องนำมาใช้กับ WAN เพื่อจัดการทั้งในเรื่องของความปลอดภัย และ QoS ไปพร้อมๆ กันส่วนการเข้ารหัสและการป้องกันระดับข้อมูลสำหรับทั้งสัญญาณและเสียงนั้นก็ จะช่วยให้มั่นใจยิ่งขึ้นจากการโจมตี DoS ในบางประเภท
5. Fraud Prevention and Detection: ในส่วนนี้เป็นกลไกสำหรับตรวจสอบการขโมยเข้าใช้งานในเซอร์วิสโทรศัพท์ที่มี อยู่ในระบบ ซึ่งสามารถใช้เซอร์วิสธรรมดาในการตรวจสอบกับ VoIP ได้เช่นกัน โดยอุปกรณ์ในเน็ตเวิร์กของ VoIP นั้นจำเป็นต้องได้รับการตรวจสอบที่ดีกว่าเพื่อสามารถกำหนดสิทธิในการใช้งานได้อย่างชัดเจนมากยิ่งขึ้น ไม่ต่างจากระบบตู้สาขาที่สามารถจำกัดสิทธิการใช้งานได้อย่างอิสระ VoIP ก็จำเป็นต้องทำได้เช่นกัน โดยกลไกในการป้องกันระบบนั้นจำต้องมีทั้งการรักษาความปลอดภัยในทางกายภาพ เพื่อจำกัดการเข้าถึงระบบโดยตรง และการรักษาความปลอดภัยในส่วนของคอนฟิกูเรชันเพื่อป้องกันในส่วนของการเข้าถึงแบบรีโมทแอคเซสอีกด้วย นอกจากนี้จะต้องมีระบบบันทึกข้อมูล (Log) เพื่อมอนิเตอร์และตรวจสอบการเข้าใช้งานได้ไม่ได้รับอนุญาตอยู่อย่างต่อ เนื่องเช่นกัน สำหรับผู้ให้บริการ ก็ยังมีความจำเป็นต้องพัฒนาอัลกอริธึมในการป้องกันการลักลอบใช้งานเพิ่มเติม อีกด้วย เพื่อเตรียมตัวรับมือกับการโจมตี VoIP ในรูปแบบใหม่ๆ ที่กำลังจะเกิดขึ้น
6. รักษาความปลอดภัยที่ปลายทาง: ที่ปลายทางของ VoIP นั้นมักจะเป็นอุปกรณ์ที่ออกแบบมาเฉพาะและค่อนข้างฉลาดพอ แต่ก็จำเป็นต้องป้องกันเอาไว้ด้วยเช่นกัน ซึ่งรวมถึงจะต้องมีการแพทช์ช่องโหว่ของระบบทันทีที่ตรวจสอบพบ รวมถึงมีการอัพเดตอยู่อย่างต่อเนื่อง โดยสำหรับปลายทางของ VoIP นั้นจะต้องมีการควบคุมการดาวน์โหลดซอฟต์แวร์ หรือการรีโมทแอคเซสเพื่อให้ทุกอย่างเป็นไปอย่างปลอดภัยเช่นกัน และแน่นอนว่าการเข้าถึงโดยตรงที่อุปกรณ์ปลายทางของ VoIP นั้นก็จำเป็นต้องทำเสมอ เพื่อปกป้องระบบของเราเช่นกัน ไม่ต่างจากโทรศัพท์อื่นๆ ภายในองค์กรที่หากใครเดินเข้าไปใช้งานได้ก็สามารถต่อไปยังปลายทางได้ทันที โดยที่องค์กรจะทราบเพียงแค่จุดต่อภายในว่ามาจากที่ใด แต่ไม่มีทางทราบได้ว่าใครเป็นผู้โทรติดต่อ
7. รักษาความปลอดภัย กับโครงสร้างพื้นฐาน: กลไกในการรักษาความปลอดภัยสำหรับโครงสร้างพื้นฐานของระบบนั้น จะต้องติดตั้งเอาไว้เป็นเลเยอร์หลายๆ ชั้น ซึ่งถ้าหากในขณะใช้งาน มีระบบใดเกิดความเสียหายไม่สามารถทำงานได้ขึ้นมา ก็ยังจะมีระบบรักษาความปลอดภัยอื่นๆ ที่คอยปกป้องเอาไว้อีกด้วยเข่นกัน โดยจะต้องแบ่งการรักษาความปลอดภัยออกเป็นส่วนๆ ดังนี้
- รักษาความปลอดภัยที่เซิร์ฟเวอร์ และอุปกรณ์ปลายทาง
- รักษาความปลอดภัยของเครือข่าย
- อัพเดต และแพทช์ซอฟต์แวร์รักษาความปลอดภัยเป็นประจำ
- ตรวจสอบช่วงโหว่ในการรักษาความปลอดภัยทั้งสำหรับผลิตภัณฑ์ที่ออกวางจำหน่าย แล้วและมีแผนการวางจำหน่าย(สำหรับผู้ผลิต)
ระบบการรักษาความปลอดภัย นั้นนับเป็นส่วนหนึ่งภายในระบบรวมของ VoIP จำเป็นต้องติดตั้งและให้ความสำคัญ โดยการรักษาความปลอดภัยจะต้องรวมไว้ตั้งแต่จุดเริ่มต้นในกระบวนการติดตั้ง ตลอดจนถึงช่วงอายุตลอดการใช้งาน และยังจะต้องให้ความสำคัญในทุกๆ ระดับเพื่อให้เกิดสภาพแวดล้อมในการทำงานที่ปลอดภัยอย่างแท้จริง กลไกการรักษาความปลอดภัยยังจำเป็นต้องมีการตรวจสอบและพัฒนาอยู่อย่างต่อ เนื่องที่ส่งผลให้เกิดประสิทธิภาพในการทำงานสูงสุดเช่นเดียวกัน (http://www.dnsthailand.net/index.php?option=com_content&task=view&id=189&Itemid=55)
ปกป้องเครือข่าย VoIP ก่อนโดนโจมตี
นักเจาะระบบโทรศัพท์, พวกต้มตุ๋น, พวกดักจับข้อมูล, RATS (Remote Administration Trojan), SPIT (Spam over Internet Telephony, การสแปมบน VoIP,ปัญหา men in the middle (MITM), ปัญหา broadcast storm และแม้แต่ปัญหา WiFi jamming ต่างสร้างปัญหาให้กับเครือข่าย VoIP ทั้งสิ้น
ระบบ VOIP ได้รับความนิยมอย่างมากจนกลายเป็นแอพพลิเคชันหลักไปตั้งแต่ช่วงปี 2005 ที่ผ่านมา โดยที่อุปกรณ์ IP PBX ของ Dell’ Oro group มียอดขายมากกว่า 1,000 ล้านดอลลาร์และเป็นครั้งแรกที่ระบบ IP PBX มียอดขายมากกว่า TDM PBX ซึ่งจริง ๆ แล้ว นักวิเคราะห์ประมาณการว่า IP PBX จะมีการใช้งานกว่า 90% ในตลาดภายในปี 2009 อย่างไรก็ตามก่อนหน้าที่จะมีการติดตั้งระบบ VOIP คุณควรตระหนักถึงความเสี่ยงด้านความปลอดภัยและวิธีป้องกันก่อนที่จะนำมาใช้ เช่นกัน
การรักษาความปลอดภัยมีความสำคัญอย่างมากเมื่อคุณทำการ เปลี่ยนระบบการติดต่อสื่อสารที่เก่าแก่ที่สุด, ใหญ่ที่สุด, ยืดหยุ่นมากที่สุดและมีผู้ใช้งานมากที่สุดให้เป็น VOIP แม้ว่าจะไม่มีมาตรฐานรักษาความปลอดภัยใดที่สามารถปกป้องการบุกรุก VOIP ได้ทั้งหมดก็ตาม แต่วิธีการป้องกันแบบหลายชั้น หลายขั้นตอนสามารถลดโอกาสที่ผู้ไม่ประสงค์ดีจะบุกรุกระบบได้สำเร็จลงไปได้ มากทีเดียว
การคุกคาม VoIP
ลูกค้า VOIP ระดับบริษัทและผู้ให้บริการยังคงมีจุดอ่อนสำหรับ phreaker ซึ่งจะทำการบุกรุกในรูปแบบที่คล้ายกับการบุกรุกระบบโทรศัพท์หรือระบบ โทรศัพท์มือถือแบบดั้งเดิมและมีเป้าหมายเดียวกันซึ่งก็คือการขโมยข้อมูลต่าง ๆ และโกงค่าใช้งานโทรศัพท์ การบุกรุกส่วนมากจะมีเป้าหมายอยู่ที่ ส่วนปลายทางของ VOIP ทั้งโอเอส, อินเทอร์เน็ตโพรโตคอล, แอพพลิเคชัน, ระบบจัดการ VOIP บน hard phone หรือแม้กระทั่งโปรแกรมที่รันบน soft phone ต่างมีช่องโหว่ที่ไวรัส, วอร์มสามารเข้าถึงได้โดยไม่รับอนุญาต, และการบุกรุกแบบ Denial-of-Service DoS สามารถรบกวนโพรโตคอลอินเทอร์เน็ต และโพรโตคอล VOIP ได้ด้วยเช่นกัน VoIP ใช้โพรโตคอลแบบ SIP (Session Initiation Protocol) และ RTP (Real-time Transport Protocol) สำหรับสร้างสัญญาณโทรศัพท์และการส่งผ่านข้อมูลเสียง และด้วยโพรโตคอลนี้รวมถึงส่วนเสริมต่าง ๆ เช่น SDP, RTCP ยังไม่มีระบบการตรวจสอบคู่สนทนาที่เพียงพอ และไม่มีระบบตรวจสอบความเที่ยงตรงของสัญญาณในแต่ละ session ใช้งานที่ดีพอ ผู้บุกรุกจึงมีช่องทางมากมายที่จะก่อกวนระบบได้จนกว่าจะมีมาตรฐานระบบรักษา ความปลอดภัยรูปแบบใหม่ ๆ เกิดขึ้นในระบบ VOIP
ปัจจุบัน ทั้ง SIP และ RTP ไม่ได้มีการเข้ารหัส packet ของข้อมูลเสียงซึ่งทำให้ข้อมูลต่าง ๆ รวมถึง SIP uniform Resource Identifier (ซึ่งก็คือเบอร์โทรศัพท์ของ VOIP) ถูกดักจับได้ในระบบแลน และระบบแลนไร้สายด้วยเครื่องมือ sniffer ต่าง ๆ ผู้บุกรุกสามารถดักจับข้อมูลต่าง ๆ ของแอคเคาท์ผู้ใช้งานและทำการติดต่อไปยังศูนย์บริการลูกค้า หรือระบบ self-service portal เสมือนเจ้าของแอคเคาท์นั้นจริง ๆ เพื่อทำการเปลี่ยนแพลนการใช้งานเพื่อให้สามารถใช้งานกับหมายเลข 1-900-xxx-xxxx หรือสามารถเปิดใช้บริการโทรศัพท์ระหว่างประเทศได้ อีกทั้งยังสามารถเข้าสู่ระบบ voicemail หรือระบบ call-forwarding ได้อีกด้วย โดยการบุกรุกรูปแบบนี้ส่วนมากมักใช้เพื่อทำการโกงค่าบริการ แต่บางรายจะทำการดักจับการสนทนาทางธุรกิจที่สำคัญเพื่อนำไปขายเป็นข้อมูลลับ ต่าง ๆ การบุกรุกแบบ Flooding (ส่ง Invite, Register, bye หรือ RTP media stream จำนวนมาก) ต่อระบบ VOIP เป้าหมายจะทำให้คุณภาพการให้บริการแย่ลง, ทำให้การสนทนาถูกตัดก่อนปกติ หรือแม้กระทั่งทำให้อุปกรณ์ VOIP บางตัวไม่สามารถใช้งานได้ อุปกรณ์ VOIP ยังมีช่องโหว่ต่อการบุกรุกแบบ DoS ต่ออินเทอร์เน็ตโพรโตคอล เช่น TCP Syn, ping of death, และ DNS DoS เป็นต้น
ระบบ VOIP สามารถถูกรบกวนได้จากการบุกรุกผ่านเข้าทางสื่อสัญญาณ เช่น Broadcast storm และ WiFi radio jamming ระบบโอเอส และ TCP/IP stack ที่ใช้ในอุปกรณ์ VOIP รุ่นใหม่ ๆ มีแนวโน้มที่จะถูกบุกรุกผ่านทางข้อบกพร่องของการเขียนโปรแกรม โดยข้อบกพร่องนี้อาจทำให้ระบบหยุดทำงานหรือยอมให้ผู้บุกรุกควบคุมระบบ VOIP ทั้งหมดได้
สำหรับ VOIP softphone นั้นมีปัญหาที่แตกต่างไป แอพพลิเคชัน softphone จะรันบนอุปกรณ์ของผู้ใช้ (PCs หรือ PDA) ซึ่งจะทำให้เกิดช่องโหว่ต่อการบุกรุกด้วยโค้ดต่าง ๆ ทั้งต่อแอพพลิเคชันของข้อมูลและเสียง ผู้ดูแลระบบควรพิจารณาถึงความเป็นไปได้ที่ผู้บุกรุกจะพยายามเจาะเข้าระบบ ผ่านระบบป้องกันมัลแวร์ โดยการใส่โค้ดบางอย่างผ่านทาง VOIP
แอพพลิเคชัน สแปม มักจะประกอบด้วยสปายแวร์และโค้ดที่เปิดการใช้ remote administrator การสแปมบนระบบโทรศัพท์แบบไอพี มักจะเป็นการโทรเพื่อการโฆษณา, ส่งข้อความรบกวนต่าง ๆ และอาจมีการแทรกโปรแกรมที่มีมัลแวร์ต่าง ๆ ให้ติดตั้งบน softphone
การประเมินความเสี่ยง
ผู้จัดการด้านไอทีควรมีการประเมินความเสี่ยงที่อาจเกิดขึ้นเมื่อนำ VOIP มาใช้ และแนวทางการพัฒนาหรือการใช้เทคโนโลยีด้านระบบรักษาความปลอดภัยที่มีอยู่ เพื่อลดความเสี่ยงการส่งผ่านสัญญาณเสียงทำกำไรให้กับผู้ให้บริการโทรศัพท์มาเป็นเวลานาน การเติบโตขึ้นอย่างมากของตลาดผู้ให้บริการ VOIP ยังคงมีความเสี่ยงที่สำคัญที่สุดอย่างหนึ่งทั้งต่อ public (ผู้ให้บริการ) และ private (บริษัท) คือการจัดการกับปัญหาในการใช้บริการ ผู้ใช้ บริการ VOIP ต่างมีความคาดหวังในการใช้งานว่า VOIP ควรสามารถใช้งานได้ไม่แย่ไปกว่าระบบโทรศัพท์แบบ PSTN ดั้งเดิม (PSTN, public switched telephone network) ในการวางแผนติดตั้งระบบ VOIP ต้องมีการแนวทางการแก้ปัญหาเพื่อลดการบุกรุกจาก DoS
ความเสี่ยงที่มีความสำคัญอื่นได้แก่การขโมยแอคเคาท์และการโกงค่าโทรศัพท์ ผู้ให้บริการโทรศัพท์ไอพีสาธารณะจะประสบปัญหามากกว่าระบบ PSTN และระบบโทรศัพท์เคลื่อนที่ที่มีการระบุตัวตนและการตรวจสอบปลายทาง เนื่องจากโดยทั่วไปหมายเลขไอพีของปลายทางนั้นจะไม่สามารถตรวจสอบได้จาก internet ingress point และไม่เหมือนกับเบอร์ของโทรศัพท์สาธารณะ อีกทั้งวิธีการที่ผู้ให้บริการจะสามารถตรวจสอบว่าตัวของ SIP นั้น ๆ ถูกต้องยังไม่ถูกนำไปใช้อย่างแพร่หลาย ผู้ให้บริการ VOIP จึงต้องระมัดระวังในการทำ trust relationship กับผู้ให้บริการ VOIP รายอื่น ๆ และควรหลีกเลี่ยงบริการการจัดเตรียมการให้บริการ นอกจากผู้ให้บริการรายอื่นจะมีการระบุตัวตนและระบุปลายทางรูปแบบเดียวกัน โดยการส่งผ่านข้อมูลอาจทำในรูปแบบของสัญญาระหว่างบริษัทหรือระหว่างผู้ให้ บริการ VOIP
โดยทั่วไปแล้ว ผู้บุกรุกจากภายในบริษัทเดียวกันเองพบบ่อยกว่าการบุกรุกจากภายนอก ดังนั้นผู้ให้บริการเครือข่าย VoIP ควรพิจารณาถึงปัญหาการคุกคามจากภายในระบบเดียวกันด้วย ผู้จัดการระบบ VoIP ในบริษัทต้องพิจารณาถึงมาตรการการตรวจจับและป้องกันการคุกคามข้อมูลส่วนตัว และควรมีระบบประเมินผลเพื่อช่วยตรวจหาปัญหาจากการขโมยข้อมูลส่วนตัว สำหรับการให้บริการ VoIP แบบสาธารณะนั้นมีโอกาสที่จะถูกคุกคามทั้งจากปัญหาด้านการเมืองและผู้ก่อการ ร้าย และระบบ VoIP แบบ private ก็มีปัญหาการดักฟังเพิ่มขึ้นเช่นกัน (ตัวอย่างเช่น ลูกจ้างดักฟังการสนทนาของผู้บริหาร) ลูกค้าในระดับ บริษัทควรคำนึงถึงการให้บริการ Helpdesk หรือ customer care ด้วยเช่นกัน เนื่องจากปัญหาข้อขัดข้องในการใช้บริการ, ปัญหาถูกดักฟัง หรือปัญหาถูกโกงค่าโทรศัพท์เป็นปัญหาหลักสำหรับการให้บริการ ประสิทธิภาพในการแก้ไขข้อขัดแย้งและปัญหาการใช้งานของพนักงานที่มีปัญหาอาจ ส่งผลกระทบต่อประสิทธิภาพการทำงานของพนักงาน ผลกระทบจากปัญหาด้านความปลอดภัยยังส่งผลกระทบต่อทั้งผู้ใช้งาน, พนักงาน, ฝ่ายบริหารหรือแม้กระทั่งต่อผู้ถือหุ้น
มาตรการที่จำเป็นในการรักษาความปลอดภัยให้กับ VoIP
VoIP เป็นสิ่งใหม่และเป็นแอพพลิเคชันอินเทอร์เน็ตประเภทที่ต่างออกไป แต่อย่างไรก็ตามนี่ก็ไม่ต่างจากการส่งข้อมูลแบบเรียลไทม์ที่ใช้ไอพี มาตรการรักษาความปลอดภัยที่ใช้กันอย่างกว้างขวางในปัจจุบันสำหรับ แอพพลิเคชันแบบข้อความ, telnet, ftp, อีเมล์, เว็บ, instant messaging ต่าง ๆ สามารถใช้เพื่อพัฒนาระบบรักษาความปลอดภัยสำหรับ VoIP ได้ แอพพลิเคชันส่วนใหญ่ของ VoIP จะรันบนโอเอสของเซิร์ฟเวอร์ธุรกิจ การทำ hardening เซิร์ฟเวอร์ การติดตั้งระบบป้องกันการบุกรุกต่าง ๆ สามารถพัฒนาระดับความปลอดภัยของ VoIP ในองค์กร มาตรการด้านความปลอดภัยที่มักเป็นที่แนะนำสำหรับเซิร์ฟเวอร์ที่ให้บริการ VoIP มีดังนี้
1. อัพเดต patch สำหรับโอเอสและแอพพลิเคชัน VoIP อย่างสม่ำเสมอ
2. รันเฉพาะแอพพลิเคชันที่จำเป็นต่อการให้บริการ VoIP
3. มีการ authenticate แอคเคาท์ของผู้ใช้งานและผู้ดูแลระบบอย่างเข้มงวด
4. อนุญาตให้เพียงบาง แอคเคาท์ที่สามารถดูแลและแก้ไขระบบเพื่อต่อต้านการเจาะเข้าระบบ
5. มี การพัฒนานโยบายสำหรับการขออนุญาตเพื่อป้องกันการเข้าถึงข้อมูลหรือบริการ VoIP โดยไม่ได้รับอนุญาต
6. มีการตรวจสอบทุกกิจกรรมที่เกี่ยวข้องกับ แอพพลิเคชันการให้บริการของทั้งผู้ดูแลระบบและผู้ใช้งานคนอื่น
7. ติดตั้งและมีการดูแลไฟร์วอล, ระบบป้องกันมัลแวร์สำหรับเซิร์ฟเวอร์ เพื่อป้องกันการโจมตีด้วย DoS
8. ปรับตั้งค่าต่าง ๆ ของแอพพลิเคชัน VOIP อย่างระมัดระวังเพื่อป้องกันการนำไปใช้ในทางที่ผิด เช่น กำหนดไวท์ลิสต์ของประเทศที่สามารถติดต่อไปได้จะป้องกันการโทรถูกทำฟอร์เวิด หรือส่งผ่านไปในที่ที่ไม่ได้รับอนุญาต
เมื่อเซิร์ฟเวอร์และแอพพลิเคชัน VoIP มีการปรับตั้งค่าอย่างระมัดระวังและมีระบบการป้องกันการบุกรุกหลายชั้น เซิร์ฟเวอร์และระบบพื้นฐาน (เช่น DNS, LDAP) ก็ควรจะถูกแยกออกมาจากเครื่องลูกข่าย (เช่นโทรศัพท์, PDA, laptop) โดยการใช้ VLAN หรือระบบที่แยกออกจากกันอย่างเด็ดขาดจริง ๆ แต่ยังสามารถจัดการและรับ-ส่งข้อมูลเสียงได้ ใช้ไฟร์วอลหลายๆ ตัวเพื่อจำกัดประเภทของข้อมูลและโพรโตคอลเฉพาะที่จำเป็นเท่านั้นที่จะสามารถ ผ่านข้าม VLAN ได้ การแบ่งส่วนไฟร์วอลออกเป็นหลาย ๆ ส่วนนี้มีประสิทธิภาพในการลดการขยายตัวของมัลแวร์เข้าสู่เซิร์ฟเวอร์ VOIP เมื่อมีเครื่องลูกข่ายเครื่องใดเครื่องหนึ่งติดมัลแวร์ โดยเฉพาะในเครือข่ายของวินโดว์ และการแบ่งส่วนนี้ทำให้สะดวกต่อการทำโพลิซีด้านความปลอดภัยเมื่อเทียบกับการ มีไฟร์วอลเพียงตัวเดียว การแบ่ง segment ของเครือข่ายก็เป็นวิธีรักษาความปลอดภัยที่ดีอย่างหนึ่งและสามารถนำไปใช้ใน การทำ QoS (Quality of Service) ด้วยเช่นกัน ดังเช่น การแบ่งโทรศัพท์แบบไอพีที่ใช้โพรโตคอล SIP ให้อยู่ใน VLAN ต่างหากเพื่อควบคุมการให้บริการ VoIP สำหรับบางอุปกรณ์และสามารถกำหนดความสำคัญ (priority) ของแพ็กเก็จที่วิ่งจากระบบไปยังส่วนอื่น ๆ พิจารณาถึงการแยก Voice user agent เช่น hard phone ออกจากพีซีหรือแล็ปทอป ที่ใช้สำหรับเข้าถึงแอพพลิเคชันในเครือข่าย ด้วยวิธีนี้สามารถป้องกันการบุกรุกด้วยการรบกวนระบบเสียงเพื่อให้กระทบต่อ ส่วนที่เก็บข้อมูล ประสิทธิภาพของไฟร์วอลก็เป็นอีกประเด็นหนึ่ง เมื่อมีการแบ่งส่วนเครือข่ายและมีการทำการโพลิซีของแต่ละส่วน ต้องระมัดระวังถึงปัญหา latency ของส่วนที่จะต้องมีข้อมูลเสียงวิ่งผ่าน การรักษาความปลอดภัยสำหรับ endpoint ถือเป็นชั้นนอกสุดของการติดตั้งระบบรักษาความปลอดภัย VoIP ทั้งหมด การใช้มาตรฐาน IEEE 802.1x ซึ่งเป็นระบบควมคุมการเข้าถึงโดยใช้พอร์ทหรือเทคนิคด้านอื่น ๆ ที่ใกล้เคียงจะทำให้เสมือนมีระบบป้องกันเพิ่มขึ้นอีกชั้นหนึ่ง เพื่อกันไม่ให้ผู้บุกรุกเข้าถึงระบบ LAN หรือ WLAN ก่อนที่จะมีการยืนยันตัวตนเพื่อเข้าสู่ระบบ ผู้ดูแลระบบสามารถเลือกที่จะบล็อกอุปกรณ์ที่ติดมัลแวร์หรือมีระบบอื่น ๆ ที่ไม่ผ่านเกณฑ์ที่กำหนด เช่น อุปกรณ์ที่ไม่มี patch, ตั้งค่าไฟร์วอลผิด ผู้ดูแลสามารถนำอุปกรณ์ที่ไม่ผ่านเกณฑ์เหล่านี้ไปอยู่ใน LAN ส่วนที่แยกออกไปเพื่อจำกัดการให้บริการหรือแนะนำให้ผู้ใช้อุปกรณ์จำพวก softphone ทำการติดตั้ง patch, อัพเดทไฟร์วอลหรือรายชื่อไวรัสให้ผ่านเกณฑ์ที่กำหนด ในหลายกรณี มาตรการรักษาความปลอดภัยนี้สามารถดำเนินการได้ก่อนการยืนยันตัวตนเพื่อ ป้องกันการดักจับข้อมูลต่าง ๆ ของมัลแวร์จำพวก keystroke logger หลาย บริษัทที่มีไฟร์วอลอยู่แล้วอาจพบว่าไฟร์วอลที่มีอยู่นั้นไม่เหมาะสมกับการ รักษาความปลอดภัยข้อมูลเสียงหรือข้อมูล ไฟร์วอลของเครือข่ายทั่วไปนั้นถูกออกแบบมาเพื่ออนุญาตหรือปฏิเสธการรับ-ส่ง ของ TCP, UDP และอ้างอิงข้อมูลบนไอพีเฮดเดอร์ เช่น แอดเดรส, พอร์ตและชนิดของโพรโตคอล แต่สำหรับโพรโตคอลของ VOIP นั้นจะใช้พอร์ท UDP จำนวนมากและจะปรับเปลี่ยนอย่างต่อเนื่องสำหรับ media stream ไฟร์วอลทั่วไปอาจไม่สามารถตรวจตราการดำเนินการเหล่านี้และมักจะต้องเปิดพอร์ทที่ใช้สำหรับ VoIP เอาไว้ซึ่งจะเป็นช่องโหว่สำหรับการบุกรุกได้ ไฟร์วอลบางแบบไม่สามารถจัดการกับ UDP ได้อย่างมีประสิทธิภาพ บางแบบไม่รองรับการทำ QoS เพื่อจัดการกับ latency และเกิดเสียงรบกวนในสัญญาณเสียงอีกด้วย ผู้ดูแลด้านไอทีควรเลือกไฟร์วอลที่สามารถรองรับ SIP, สามารถตรวจสอบข้อความที่เป็นสัญญาณ SIP, และสามารถดำเนินการกับ RTP media stream โดยไม่เพิ่ม latency ให้กับระบบมากนัก
การใช้ application layer gateway หรือ proxies มีประโยชน์ต่อการติดตั้ง VoIP อย่างมาก การใช้ SSL tunnel ร่วมกับ SIP proxies เป็นวิธีที่ได้รับความนิยมเพื่อเพิ่มประสิทธิภาพในการยืนยันตัวตนและเพิ่ม ความเที่ยงตรงในการป้องกันข้อมูลระหว่างผู้ใช้งานถึง SIP proxies องค์กรหลายแห่งได้ใช้การเชื่อมต่อด้วย SSL เพื่อปกป้องข้อมูลระหว่าง SIP proxies ไปจนถึงส่วนต่าง ๆ ขององค์กรหรือแม้กระทั่งนอกองค์กร การใช้ RTP proxies ก็มีความจำเป็นถ้าต้องมีการหน่วงเวลาของ media stream ทั้งจากไอพี และพอร์ตที่เป็น global และ local RTP บางองค์กรก็ได้ใช้ความสามารถจาก IPSec เพื่อช่วยเพิ่มความปลอดภัยในการรับ-ส่งข้อมูลเสียงระหว่างสำนักงานสาขา ในบางองค์กรมีการตั้งค่าอ้างอิงสำหรับการรับส่ง VoIP ด้วยการสร้าง IPSec security association เพื่อทำให้ข้อมูลเสียงมีความสำคัญกว่าข้อมูลอื่น และในบางแห่งอาจต้องการให้มีการกรองสัญญาณและ RTP media stream ผ่าน Session Border Controller (SBC) ซึ่ง SBC ทำงานเสมือนเป็นเอเจ้นแบบ back-to-back ของผู้ใช้งาน, เชื่อมต่อและบังคับใช้โพลิซีในแต่ละการใช้งานระหว่างเอเจ้น public และ private ในบางกรณี SBC เป็นเสมือน mail proxies ที่มีระบบรักษาความปลอดภัยได้เช่นกัน มันสามารถทำการเขียนเฮดเดอร์ของจดหมายขึ้นมาใหม่เพื่อซ่อนรายละเอียด บางอย่างของเครือข่ายภายใน (เช่น แอดเดรส) และสามารถตัด header SIP บางส่วนที่ไม่ต้องการและตัดเบอร์โทรศัพท์ที่ไม่ต้องการเปิดเผยออก ทุกข้อมูลที่รับ-ส่งผ่าน SBC, โพลิซี STP สามารถนำมาบังคับใช้ได้
ด้วยมาตรการด้านความปลอดภัยเหล่านี้และการตรวจสอบถึงช่องโหว่ต่าง ๆ ในระบบรวมถึงระบบป้องกันผู้บุกรุกไม่เพียงแค่พัฒนาระบบ VoIP แต่ยังสามารถลดความเสี่ยงต่อระบบเครือข่ายข้อมูลได้ด้วย มาตรการหลายๆ อย่างนั้นมีประโยชน์นอกเหนือจากการพัฒนาด้านความปลอดภัยดังเช่นสามารถทำงาน ร่วมกับ VoIP โพรโตคอลและสถาปัตยกรรมอื่นๆ
แหล่งอ้างอิงข้อมูล
http://www.dnsthailand.net/index.php?option=com_content&task=view&id=120&Itemid=55
http://www.dnsthailand.net/index.php?option=com_content&task=view&id=189&Itemid=55
http://www.guru-ict.com/guru/files/VOIP.doc
http://www.dpu.ac.th/compcntre/page.php?id=2361
http://www.dcomputer.com/Proinfo/support/TipTrick/techno_VoIP01.asp
http://www.telecomjournal.net/index.php?option=com_content&task=view&id=1301&Itemid=47
