فهرست مطالب

  1. مقدمه: چرا امنیت VoIP امروز از همیشه مهم‌تر است؟
  2. VoIP چیست و چگونه کار می‌کند؟
  3. چرا VoIP هدف محبوب هکرها شده است؟
  4. انواع حملات رایج در VoIP
    4.1 حملات Brute Force و حدس رمز عبور
    4.2 Registration Hijacking
    4.3 حملات MITM و شنود RTP
    4.4 حملات DoS و SIP Flood
    4.5 Toll Fraud و سوءاستفاده مالی
    4.6 Caller ID Spoofing
    4.7 Exploiting Vulnerabilities (Zero-Day)
    4.8 حملات داخلی و Social Engineering
  5. نشانه‌های هک شدن سیستم VoIP
    5.1 تغییرات مشکوک در CDR
    5.2 Redirect شدن مرورگر و افزونه‌های مشکوک
    5.3 اختلال در تماس‌ها و افزایش تأخیر
    5.4 روشن شدن ناخواسته میکروفون یا وب‌کم در IP-Phone
    5.5 هشدارهای متوالی از فایروال و IPS
  6. روش‌های تخصصی تشخیص نفوذ
    6.1 تحلیل لاگ SIP
    6.2 تحلیل RTP Flow
    6.3 بررسی IPهای تماس‌گیرنده
    6.4 مانیتورینگ رفتار داخلی‌ها
  7. بهترین روش‌های امنیت VoIP (طبق استانداردهای NIST – Cisco – VOIPSA)
    7.1 پیاده‌سازی SBC
    7.2 رمزگذاری TLS و SRTP
    7.3 VLAN مجزا برای VoIP
    7.4 محدودسازی IP و Geo-Fencing
    7.5 Fail2Ban و Rate Limiting
    7.6 امن‌سازی پنل مدیریتی PBX
    7.7 Hardening کامل سرور VoIP
  8. چک‌لیست کامل امنیت VoIP برای کسب‌وکارها
  9. جمع‌بندی نهایی: چرا بی‌توجهی به VoIP می‌تواند یک اشتباه جبران‌ناپذیر باشد؟

1) مقدمه: چرا امنیت VoIP امروز از همیشه مهم‌تر است؟

سیستم‌های تلفن تحت شبکه (VoIP) در ابتدا به‌عنوان یک جایگزین ارزان‌تر برای سیستم‌های قدیمی مخابراتی معرفی شدند. اما امروز VoIP یک زیرساخت اساسی برای ارتباطات سازمان‌هاست. از تماس‌های داخلی شرکت گرفته تا خطوط پشتیبانی مشتریان، همگی وابسته به پایداری و امنیت سرورهای VoIP هستند. با رشد حملات سایبری و توسعه ابزارهای اسکن خودکار در سطح جهان، مهاجمان یکی از اهداف مهم خود را «زیرساخت‌های تلفن تحت شبکه» قرار داده‌اند.

طبق گزارش VOIP Security Alliance، بیش از ۶۵٪ حملات مالی سایبری مربوط به سوءاستفاده از سیستم‌های VoIP است. همچنین Cisco در گزارش امنیتی خود اعلام کرده است که هکرها از طریق VoIP می‌توانند نه‌تنها مکالمات را شنود کنند، بلکه به شبکه داخلی نیز نفوذ کنند.
واقعیت این است که VoIP برخلاف تلفن‌های سنتی، کاملاً بر اساس شبکه IP کار می‌کند و هر نقطه ضعف شبکه می‌تواند کل سیستم تلفنی را در معرض خطر قرار دهد.

2) VoIP چیست و چگونه کار می‌کند؟

VoIP مخفف Voice over IP است؛ یعنی انتقال صوت از طریق شبکه IP به‌جای خطوط آنالوگ. وقتی فردی تماس برقرار می‌کند، دستگاه سیگنال را به بسته‌های دیجیتال تبدیل کرده و وارد شبکه می‌کند. سپس سیگنال توسط پروتکل‌های مختلف مثل SIP (برای سیگنالینگ) و RTP (برای انتقال صوت) به مقصد می‌رسد.

به زبان ساده:
اگر شبکه شما ایمن نباشد، VoIP نیز ایمن نخواهد بود.

تمام تماس‌ها، Authenticationها، بسته‌های صدا، مسیرهای ارتباطی و حتی کنترل دستگاه‌ها از طریق شبکه انجام می‌شود. این یعنی VoIP یک هدف جذاب است؛ چون:

  • اطلاعات حساس را منتقل می‌کند
  • اغلب دارای تنظیمات اشتباه است
  • در بسیاری از شرکت‌ها IP-PBXها آپدیت نمی‌شوند
  • بسیاری از مدیران شبکه تصور می‌کنند «VoIP امن است»

این تصور اشتباه باعث شده مهاجمان راحت‌تر از همیشه بتوانند کسب‌وکارها را هدف قرار دهند.

3) چرا VoIP هدف محبوب هکرها شده است؟

سه دلیل اصلی وجود دارد:

دلیل اول: دسترسی از راه دور آسان

در گذشته خطوط تلفن فیزیکی بودند و هک آنها نیاز به حضور فیزیکی داشت. اما امروز VoIP از طریق اینترنت قابل دسترسی است. اگر پورت SIP سازمان شما در اینترنت باز باشد، عملاً هکر از هر جای دنیا می‌تواند تلاش کند وارد سیستم شود.

دلیل دوم: ضعف تنظیمات در ۸۰٪ کسب‌وکارها

مطالعات SANS نشان می‌دهد که اکثر IP-PBXها با تنظیمات پیش‌فرض نصب می‌شوند، رمزهای عبور ساده استفاده می‌شود و پورت‌ها بدون محدودیت روی اینترنت باقی می‌مانند.

دلیل سوم: سود مالی فوری

هکر نیازی به رکوردهای پیچیده ندارد؛ کافی است یک داخلی را هک کند و هزاران تماس خارجی برقرار کند. نتیجه؟
قبض‌های چند ده میلیون تومانی ظرف چند ساعت.

4) انواع حملات رایج در VoIP

4.1 حملات Brute Force و حدس رمز عبور

این حمله رایج‌ترین نوع حمله روی SIP است. مهاجم ابتدا IP سرور VoIP را پیدا می‌کند، سپس شروع به ارسال هزاران درخواست REGISTER با رمزهای مختلف می‌کند. چون بسیاری از کاربران رمزهای ساده مثل 1234 یا شماره داخلی خودشان را استفاده می‌کنند، مهاجم معمولاً کمتر از چند دقیقه وارد سیستم می‌شود.

وقتی داخلی هک شد، مهاجم می‌تواند:

  • تماس‌های خارجی برقرار کند
  • تماس ورودی را فوروارد کند
  • از سرور به‌عنوان مرکز حمله استفاده کند
  • حتی مسیر تماس‌ها را تغییر دهد

4.2 Registration Hijacking (ربایش ثبت‌نام SIP)

در این حمله مهاجم خودش را به جای گوشی واقعی جا می‌زند. یعنی PBX فکر می‌کند «کلاینت A» وصل شده، اما در حقیقت مهاجم است.

نتیجه؟
تمام تماس‌های ورودی به آن داخلی مستقیماً به مهاجم می‌رسد. این یعنی:

  • شنود کامل
  • دستکاری تماس
  • تغییر مسیر
  • سوءاستفاده مالی

Cisco این حمله را «یکی از خطرناک‌ترین حملات واقعی VoIP» معرفی کرده است.

4.3 حملات Man-in-the-Middle و شنود RTP

وقتی SRTP فعال نباشد، صدا به‌صورت خام و بدون رمزنگاری منتقل می‌شود. مهاجم اگر به شبکه داخلی یا وای‌فای سازمان دسترسی داشته باشد، می‌تواند بسته‌های RTP را Sniff کند.

با ابزارهایی مثل Wireshark و Cain & Abel مهاجم می‌تواند:

  • صوت را بازسازی کند
  • مکالمات را ضبط کند
  • داده‌ها را استخراج کند

در حوزه‌هایی مثل مالی، پزشکی، حقوقی یا منابع انسانی این تهدید بسیار خطرناک است.

 

4.4 حملات DoS و SIP Flood

در این حملات مهاجم با ارسال تماس‌های جعلی، درخواست‌های متعدد SIP یا بسته‌های مخرب، سرور PBX یا Gateway را از کار می‌اندازد. VoIP نسبت به تأخیر و Packet Loss بسیار حساس است؛ یعنی حتی یک حمله کوچک نیز کافی است تا:

  • تماس‌ها قطع شوند
  • کیفیت صوت کاهش یابد
  • صف پشتیبانی از کار بیفتد
  • ارتباطات داخلی مختل شود

4.5 Toll Fraud و سوءاستفاده مالی

این حمله یک تجارت چند میلیارد دلاری برای هکرهاست. مهاجم وارد داخلی یا ترانک می‌شود و هزاران تماس خارجی برقرار می‌کند.

مشکل اینجاست که شرکت معمولاً زمانی می‌فهمد که قبض می‌رسد.
گزارش FCC می‌گوید:

میانگین خسارت حاصل از Toll Fraud بیش از ۳۵٬۰۰۰ دلار برای هر حمله است.

4.6 Caller ID Spoofing

در این حمله هکر شماره تماس را جعل می‌کند تا خود را به‌عنوان یک شماره معتبر نشان دهد. این حمله پایه اصلی Vishing است و برای فریب پرسنل استفاده می‌شود. مهاجم می‌تواند:

  • با شماره داخلی مدیر تماس بگیرد
  • وانمود کند از طرف واحد IT است
  • اطلاعات حساس درخواست کند
  • یا کاربر را به تنظیمات اشتباه هدایت کند

4.7 حملات Zero-Day و آسیب‌پذیری‌های PBX

سیستم‌های PBX محبوب مثل Asterisk، Issabel، FreePBX و 3CX هر سال ده‌ها آسیب‌پذیری جدید دارند. این آسیب‌پذیری‌ها شامل:

  • اجرای کد
  • دور زدن احراز هویت
  • دسترسی به فایل‌ها
  • حذف اطلاعات

می‌شود.
وقتی سرور VoIP وصله نشود، مهاجم می‌تواند بدون نیاز به رمز عبور وارد سیستم شود.

4.8 حملات داخلی و Social Engineering

کارمندان ناراضی یا بی‌احتیاط، یکی از مهم‌ترین تهدیدهای VoIP هستند. چون:

  • به شبکه دسترسی دارند
  • رمزهای داخلی را می‌دانند
  • ممکن است روی کامپیوترشان بدافزار نصب شود
  • می‌توانند تماس‌ها را شنود کنند

Verizon در گزارش سالانه خود اعلام کرده:

۲۳٪ از حملات VoIP توسط افراد داخل سازمان انجام شده است.

5) نشانه‌های هک شدن سیستم VoIP

5.1 وجود تماس‌های غیرعادی در CDR

اگر تماس‌های خارجی عجیب ثبت شده است، مخصوصاً خارج از ساعت اداری یا به کشورهای پرهزینه، اولین نشانه نفوذ است.

5.2 Redirect شدن مرورگر و پاپ‌آپ‌های عجیب

اگر پنل PBX شما آلوده شود، مهاجم فایل‌های JavaScript را دست‌کاری می‌کند و مرورگر را به سایت‌های مشکوک هدایت می‌کند.

5.3 اختلال در کیفیت صدا

افزایش ناگهانی Jitter، Latency یا Packet Loss می‌تواند نشانه حمله:

  • MITM
  • DDoS
  • یا تزریق RTP

باشد.

5.4 روشن شدن خودکار وب‌کم یا میکروفون

در تلفن‌های هوشمند یا IP-Phoneهای اندرویدی، بدافزار می‌تواند کنترل میکروفون را در دست بگیرد.

5.5 هشدارهای مداوم فایروال یا IDS

اگر فایروال مدام لاگ‌هایی مثل موارد زیر نشان می‌دهد:

  • sip brute force
  • invite flood
  • unauthorized register
  • malformed packets

این یعنی حمله فعال است.

6) روش‌های تخصصی تشخیص نفوذ

6.1 تحلیل لاگ SIP

در لاگ‌ها به موارد زیر توجه کنید:

  • REGISTER ناموفق پشت سر هم
  • تغییر User-Agent
  • INVITEهای بدون Authentication
  • تماس از IPهای ناشناس خارجی
  • تغییر Contact-URI

6.2 تحلیل RTP Flow

ابزارهایی مثل RTPdump و sngrep به شما می‌گویند صدا دقیقاً به کجا ارسال شده است. اگر مسیر صدا با تنظیمات متفاوت باشد، احتمال نفوذ بسیار بالاست.

6.3 بررسی IPهای تماس‌گیرنده

تماس‌هایی از:

  • کشورهای غیرمرتبط
  • VPSهای ناشناس
  • دیتاسنترهای خارجی

نشانه حمله هستند.

6.4 مانیتورینگ رفتار داخلی‌ها

اگر یک داخلی:

  • خارج از ساعت اداری
  • به شماره‌های خارجی
  • یا پیامک‌های OTP دریافت می‌کند

به احتمال زیاد هک شده است.

7) بهترین روش‌های امنیت VoIP (طبق استانداردهای NIST، Cisco، VOIPSA)

7.1 استفاده از SBC

SBC همه چیز را کنترل می‌کند:
هویت تماس، مسیر، رفتار، پروتکل، بسته‌ها، نرخ تماس، رمزگذاری، و فعالیت‌های مشکوک.

بدون SBC شبکه کاملاً آسیب‌پذیر است.

7.2 فعال‌سازی TLS و SRTP

بدون SRTP صدا قابل شنود است.
بدون TLS پیام‌های SIP قابل دست‌کاری هستند.
فعال‌سازی این دو مهم‌ترین گام امنیت VoIP است.

7.3 ایجاد VLAN مجزا برای VoIP

اگر VoIP روی شبکه کاربران باشد، کاربر عادی می‌تواند:

  • RTP را Sniff کند
  • تماس‌ها را ضبط کند
  • بسته‌ها را تزریق کند

7.4 محدودسازی IP و Geo-Fencing

اگر شرکت شما فقط در ایران فعالیت دارد، لازم نیست IPهای خارجی اجازه ثبت‌نام داشته باشند.
۹۰٪ حملات SIP از خارج ایران انجام می‌شود.

7.5 فعال‌سازی Fail2Ban و Rate Limit

Fail2Ban IP مهاجم را پس از چند تلاش اشتباه برای همیشه مسدود می‌کند.

7.6 امن‌سازی پنل مدیریتی PBX

  • روی اینترنت نباشد
  • پشت VPN باشد
  • روی پورت غیررایج باشد
  • 2FA فعال باشد

7.7 Hardening کامل سرور VoIP

شامل:

  • حذف ماژول‌های غیرضروری
  • محدودسازی سطح دسترسی
  • آپدیت منظم
  • بستن همه پورت‌های اضافی

8) چک‌لیست کامل امنیت VoIP برای کسب‌وکارها

  • استفاده از SBC
  • فعال‌سازی TLS/SRTP
  • محدودسازی کشورها
  • محدودسازی IP
  • فعال‌سازی Fail2Ban
  • ایجاد VLAN جدا
  • آپدیت منظم PBX
  • نصب آنتی‌ویروس روی IP-Phoneهای اندرویدی
  • مانیتورینگ CDR
  • پیکربندی صحیح Dialplan
  • ممنوعیت تماس خارجی برای داخلی‌ها
  • رمزهای پیچیده برای همه داخلی‌ها
  • نگهداری لاگ‌های SIP حداقل ۹۰ روز

9) جمع‌بندی نهایی

VoIP ستون ارتباطی هر سازمانی است. اما اگر این ستون فرو بریزد، نه‌تنها تماس‌ها قطع خواهد شد، بلکه خطر نفوذ به شبکه داخلی، شنود تماس‌ها و خسارت‌های مالی سنگین وجود دارد. امنیت VoIP صرفاً یک گزینه اضافی نیست؛ بلکه یک ضرورت استراتژیک برای هر شرکت کوچک یا بزرگ است.
مجرمان سایبری به‌صورت ۲۴ ساعته در حال اسکن میلیون‌ها IP هستند تا سروری را پیدا کنند که پیکربندی درست ندارد. اگر حتی یک تنظیم اشتباه وجود داشته باشد، مهاجم ظرف چند دقیقه وارد سیستم می‌شود.

بنابراین، امنیت VoIP باید بخشی از سیاست امنیت کلی سازمان باشد؛ همان‌قدر مهم که امنیت وب‌سایت، دیتابیس یا سرورهای مالی مهم است.