אבטחת מרכזיות IP – מערכת SBC סקירה טכנית לעסקים [מידע חדש]

אבטחת מרכזיות IP – מערכת SBC

✅ מערכות ה-Firewall הרגילות הקיימות בעסק לא מגינות על תעבורת ה-VoIP, שלעיתים נשארת חשופה ולכן נושא אבטחת מרכזיות IP הנו קריטי.

✅ מערכות ה-SBC להגנה על התקשורת מאפשרות הגנה על מרכזיית הלקוח ומונעות גניבת שיחות, התחזות, האזנות, תקיפות ועוד.

✅ איך בוחרים ספק אבטחת מרכזיות IP, שמביא את הערך הכלכלי הטוב ביותר לעסק, בלי ליפול בפח?

אחד התחומים בהם בעלי עסקים ומנהלים בעסקים אינם בקיאים בו הוא תחום ההגנה על תעבורת התקשורת של העסק (בדגש על וידיאו ואודיו, ובמיוחד טלפוניה עסקית). מערכות ההגנה על תעבורת ה-Data של העסק כלל לא מספקת הגנה על תעבורת התקשורת. המערכת, שנועדה לספק הגנה כזו, קרויה בשם SBC (ר"ת: Session Border Control) שמעבר ליכולות ההגנה שלה על תעבורת התקשורת, היא משמשת לצרכי נוספים של תעבורת התקשורת, למשל המרת פרוטוקולים של תקשורת בין רשתות.

עסקים רבים משתמשים ב‑מרכזיות IP לניהול השיחות הפנימיות והחיצוניות, תוך הסתמכות על VoIP ופתרונות תקשורת מאוחדת. עם השימוש ההולך וגדל במערכות אלו, אבטחת מרכזיות IP לעסקים הפכה לעניין קריטי – פרצות אבטחה במרכזיה עלולות לחשוף את הרשת העסקית, לאפשר האזנה בלתי מורשית לשיחות, שימוש לרעה בקווי טלפון או גניבת מידע רגיש.

במאמר זה נסקור את איומי הסייבר הנפוצים על מרכזיות IP, את הטכנולוגיות והפרקטיקות המתקדמות לאבטחת VoIP, וכיצד עסקים יכולים להבטיח שהתקשורת שלהם תהיה מאובטחת, יציבה ומוכנה לעבודה רציפה. המאמר מיועד למנהלי IT, מנמ"רים ועסקים המחפשים פתרונות אבטחה חכמים למרכזיות IP שלהם, עם דגש על שילוב Firewall למרכזיה, הצפנת שיחות וניטור מתקדם של תעבורת VoIP.

מה זה SBC?

SBC (Session Border Controller) הוא רכיב רשת ייעודי שממוקם בין מרכזיות IP / VoIP לרשתות חיצוניות (אינטרנט או ספקי SIP Trunk). תפקידו העיקרי הוא לשלוט, להגן ולנהל את התקשורת בזמן אמת (שיחות קול ווידאו) שמגיעה מבחוץ או יוצאת החוצה.

SBC פועל כ"שער גבול" (Border) שמפריד בין הרשת הפנימית של הארגון לבין רשתות חיצוניות, ומספק שכבת אבטחה, ניהול ובקרת איכות לכל השיחות.

איך SBC מגן על מרכזיות IP?

  1. אבטחת מרכזיות IP מפני מתקפות סייבר

    • מניעת התקפות DDoS על מרכזיה או על קווי VoIP.

    • חסימת ניסיונות חדירה לא מורשים או שימוש לרעה בפרוטוקול SIP.

  2. סינון ותאימות פרוטוקולים

    • SBC מוודא שכל השיחות והסיגנלים עומדים בסטנדרטים ומגנים על המרכזיה מטעויות או אי‑תאימות בפרוטוקולים.

  3. ניטור ובקרה על תעבורת השיחות

    • בקרת עומס על השיחות בזמן אמת, הגבלת מספר השיחות בו זמנית, וניטור איכות השיחה (QoS).

  4. הצפנה והגנה על פרטיות

    • הצפנת שיחות SIP ו‑RTP, כך שהשיחות לא יהיו חשופות להאזנה או התקפה באמצע הדרך.

  5. תמיכה ב‑NAT ופיירוול

    • מאפשר חיבור מאובטח למשתמשים חיצוניים או לספקי SIP Trunk גם ברשתות עם NAT, תוך שמירה על פרטיות ואמינות.

בקיצור, SBC הוא רכיב מפתח באבטחת מרכזיות IP, שמבטיח שהתקשורת העסקית תהיה מאובטחת, אמינה ויציבה, ומגן על המרכזיה מפני איומים פנימיים וחיצוניים כאחד.

למה בכלל צריך מערכת הגנה עבור אבטחת מרכזיות IP?

התקפות על מרכזיות SIP – IP אינן דבר חדש. כל מי שיש לו מערכת SIP זו או אחרת, יכול לספר על כמות הולכת וגדלה של סריקות וניסיונות שונים לביצוע הונאות טלפוניות. מערכות E-SBC – Enterprise Session Border Controller הן דבר יקר מאוד ומרבית הלקוחות לא יכולים להרשות אותן לעצמם.

לתוך הנישה הזו נכנסו היום מוצרים קטנים יותר הנקראים STM – SIP Threat Manager.

יש לציין בנקודה זו, שלא מדובר ב-Session Border Controller  – SBC מלא. כלומר, אין פה מכשיר מלא, שמטרתו לשמש, בין היתר, כמערכת Nat Traversal & Transcoding, או כל פעולה המשויכת לעולם ה-SBC הקיים בארגונים גדולים. מוצרים אלה הם יחסית פשוטים ומטרתם למנוע חדירה של מזיקים שונים לעולם המרכזייה ע"י יישום של חוקים פשוטים יחסית להגנה. היתרון הגדול שלהם טמון בפשטות התקנתם, כיוון שמרביתם תוכננו להיות Plug and Play, בניגוד ל-Session Border Controller-   SBC הדורש מתקין מיומן וחוזה תחזוקה.

היתרון העצום של מכשירים אלה הוא ביכולת ההתמודדות שלהם עם "התקפות מניעת שירות": DoS Attacks DDoS. כלומר, התקפות חוזרות ונשנות, סריקות מהירות ועוד מזיקים, שמפריעים לפעילות המרכזייה ומובילים אותה לשיתוק. אלו רוב ההתקפות הקיימות כיום, גם על מערכות התקשורת הטלפוניות בעסקים.

בניגוד למערכות ה-E-SBC, שמחירן נע סביב כ-1,100 דולרים (למכשיר קטן בסיסי ופשוט), מחיר ה-STM נע סביב ה-200-350 דולרים. נכון, גם 350 דולרים אינם בדיוק סכום זול במיוחד, אך בהתחשב בנזקים האפשריים או בהפרעה לפעילות החברה, סכום זה מתגמד בסל ההוצאות.

מהם הפתרונות למערכת הגנה ואבטחה בפני פריצות IP-SBC?

פתרונות אבטחה למרכזיות IP עם SBC

  1. חומת אש ייעודית ל‑VoIP / SIP

    • SBC משולב או מותקן לצד Firewall עסקי מתמחה בסינון חיבורים ותעבורה לפי פרוטוקול SIP, חוסם ניסיונות חדירה ושיחות בלתי מורשות.

  2. הצפנת שיחות (SRTP/TLS)

    • הצפנת השיחות והסיגנלים מונעת האזנה ושיבוש תעבורה (Man-in-the-Middle).

    • שימוש ב‑TLS להצפנת SIP וב‑SRTP להצפנת RTP של קול ווידאו.

  3. זיהוי וחסימת מתקפות DDoS ו‑DoS

    • SBC כולל מנגנונים לזיהוי ספייקים פתאומיים בתעבורה, חסימת מספר שיחות חריג ותגובה מיידית למתקפות דחיסה או הצפה.

  4. בקרת גישה (Access Control & ACLs)

    • הגדרת חוקים שמגבילים אילו כתובות IP או ספקים יכולים להתחבר למרכזיה, כולל הרשאות שונות למשתמשים פנימיים וחיצוניים.

  5. ניטור ובקרת איכות שיחה (QoS)

    • ניטור תעבורת השיחות בזמן אמת, זיהוי בעיות איכות קול, איסור או ניתוב מחדש של תעבורה חשודה.

  6. Anti-fraud ו‑Intrusion Detection

    • מנגנונים שמונעים שיחות הונאה, חיובים לא מורשים או ניסיונות התקשרות בלתי חוקיים.

    • זיהוי ניסיונות חדירה ותגובה אוטומטית או התרעה למנהלי IT.

  7. עדכוני מערכת וניהול מרכזי

    • SBCים מודרניים מאפשרים ניהול מרכזי, עדכוני תוכנה רציפים והגדרות אבטחה מרחוק, מה שמבטיח הגנה מפני פרצות חדשות.

מהן השאלות, שצריך לשאול את ספק שירותי ה-SBC?

מדובר במשא ומתן עסקי – מקצועי לכל דבר, שרצוי שייעשה ע"י מומחים לתחום הזה. אם לבעל העסק אין ידע בתחום ההגנה על שירותי הטלפוניה והתקשורת שלו, קל יהיה "לעבוד עליו" ולשכנע אותו לרכוש מה שטוב רק לכיס של ספק הפתרון, או אפילו למכור לו שירותי SBC ישנים או יקרים, במסווה של שירותים חדשים ומתקדמים.

השאלה החשובה ביותר, שבעל העסק יכול לשאול בעצמו (גם ללא ייעוץ מקצועי) את ספק המערכת היא: מה העלות הכוללת לעסק, עלות הכוללת הכול: עלות הרכישה והרישיונות לכל השימושים, עלויות התקנה, עלויות הביטוח, עלויות התחזוקה, מלאי חלפים נדרש, תוכנות נדרשות, מכשירי קצה נדרשים וכיו"ב. כך, ניתן להשוות בקלות בין ספקים ולחשב את העלות הכוללת (TCO) של כל פתרון.

לכן, מומלץ לנקוט באחת מ-2 הדרכים הבאות (או לשלב ביניהן) בבחירת מערכת אבטחת מרכזיות IP

  • Best of breed. כלומר: מי הספק המספק את פתרון ה-SBC הטוב ביותר מבחינת ביצועים, שירות, יכולות, תכונות, נוחות השימוש, גמישות הפעלה, יכולת התמיכה של הספק וכך הלאה.
  • המחיר הטוב ביותר (בד"כ הכוונה למחיר הזול ביותר).

מדובר בתהליך מקצועי, שיש לבצע בלי ליפול במלכודת של אנשי שיווק ממולחים מחברות התקשורת והאינטגרציה, שמסוגלים "למכור קרח לאסקימוסים".

יש לקחת בחשבון, שכדי לקבל "איכות שירות" ו"איכות עבודה" בפתרונות הגנה על מרכזיות עסקיות, צריך גם חיבור תקשורת איכותי (קו עם SLA), במסגרת חבילת תקשורת מתאימה (דוגמת IPVPN), ולא חיבור לאינטרנט בגישת ה-Best Efforts, שיש כיום בחיבורים הפרטיים לאינטרנט (לרבות ב"שוק הסיטונאי"), מה שחלק מהעסקים מיישמים אצלם (כדי לחסוך בהוצאות התקשורת לאינטרנט).

אבטחת מרכזיות IP – סדרת בדיקות

האם מרכזיית IP היא בענן או פנימית?

האם ה-SBC מספק הגנה מפני התקפות, האזנות, התחזות וגניבת שיחות?

האם ה-SBC מספק ניהול וניטור של תעבורת ה-VoIP ולהמרת פרוטוקולים בין רשתות שונות?

האם ה-SBC מספק NAT Traversal & Transcoding לתעבורת ה-VoIP?

מה העלות הכוללת של ה-SBC וחוזה התחזוקה שלו?

להלן דוגמא של טבלת בדיקות 

האם מרכזיית IP היא בענן או פנימית? האם ה-SBC מספק הגנה מפני התקפות, האזנות, התחזות וגניבת שיחות? מה העלות הכוללת של ה-SBC וחוזה התחזוקה שלו?
בענן כן תלוי במספר השלוחים והשירותים
פנימית כן כ-1,100 דולרים למכשיר בסיסי
פנימית כן כ-200-350 דולרים למכשיר פשוט

שורה תחתונה בתחום אבטחת מרכזיות IP SBC לעסקים 

בבחירת ספק מערכת הגנה למרכזיות, יש להשקיע מחשבה ולקבל החלטות רק לאחר הבנת הצרכים של בעל העסק. קודם כל, יש לקבל החלטה אם בכלל מעוניינים במערכת המופעלת מקומית (מול התצורה המומלצת כיום לעסקים – לעבור לענן), או בתצורה אחרת, המתאימה לצרכי העסק, מנהליו ועובדיו.

לכן, נשאלות כאן השאלות:

מה הבעיה הגדולה ביותר הקיימת במערכות התקשורת של העסק, שאתה מאמין, שתוכל לפתור באמצעות רכישת פתרון SBC? 

אם יש לך כבר מתג הגנה מסוג SBC, ממה אתה לא מרוצה מהמוצר? שתף אותנו. 

איך אתה חושב, שאני יכול לעזור לך לבחור את ספק מערכת אבטחת מרכזיות IP המתאימה לצרכיך?

לקבלת הצעת מחיר עבור אבטחת מרכזיות IP

תשובות לשאלות נפוצות

אבטחת מידע היא התחום העוסק בהגנה על מידע ומערכות מידע מפני גישה, שימוש, חשיפה או שיבוש לא מורשים או זדוניים. אבטחת מידע מבוססת על שלושת העקרונות הבאים: סודיות, שלמות וזמינות. אבטחת מידע משתמשת בטכנולוגיות, תהליכים ונהלים כדי להבטיח את היעדים האלה.

אבטחת מידע אינה זהה לאבטחת סייבר, אם כי המונחים לעתים קרובות משמשים באופן משותף. אבטחת סייבר היא הגנה על רשתות מחשבים ומערכות מפני התקפות סייבר, כגון וירוסים, תולעים, סחיטה של תוכנת כופר, דיוג ועוד. אבטחת מידע יכולה להתבצע בדרכים רבות ולא רק באמצעות טכנולוגיות סייבר, כגון הצפנה, אימות, גיבוי, או אבטחה פיזית.

הגנת סייבר היא התחום העוסק בהגנה על רשתות מחשבים ומערכות מידע מפני התקפות סייבר, כגון וירוסים, תולעים, סחיטה של תוכנת כופר, דיוג ועוד. התקפות סייבר יכולות לגרום לנזק פיזי, כלכלי, או מוסרי לאנשים, ארגונים, או מדינות. הגנת סייבר משתמשת בטכנולוגיות, תהליכים, ונהלים כדי להבטיח את שלושת העקרונות הבאים: סודיות, שלמות, וזמינות של המידע.

בדיקת האבטחה היא תהליך שבו מבדקים את רמת האבטחה של מערכת מידע או רשת מחשבים. בדיקת האבטחה יכולה לחשוף פירצות, חולשות, או סיכונים אבטחה שעלולים להיות מנוצלים על ידי גורמים לא מורשים או זדוניים. בדיקת האבטחה יכולה להיות פנימית או חיצונית, ולהתבצע באופן ידני או אוטומטי. בדיקת האבטחה מטרתה להגביר את ההגנה ולמנוע נזק למידע, למערכות, או למשתמשים.

אבטחת מידע בתחום הטלפוניה SBC היא התחום העוסק בהגנה על תעבורת ה-VoIP (Voice over Internet Protocol) של מרכזיות טלפוניות IP מפני התקפות סייבר, כגון גניבת שיחות, האזנות, סחיטה, או התקפות מניעת שירות. SBC ראשי תיבות של Session Border Controller, שהוא מכשיר או תוכנה שמשמש לניהול, המרה, ואבטחה של תעבורת ה-VoIP בין רשתות שונות. SBC יכול להיות מותקן בצד הלקוח (Enterprise SBC) או בצד הספק (Service Provider SBC).

חברות אבטחת המידע המובילות בישראל הן:

צ'ק פוינט (Check Point Software Technologies): חלוצה בתחום אבטחת המידע, מפתחת פתרונות אבטחה מתקדמים לרשתות, ענן ומכשירים ניידים.

סייברארק (CyberArk): מתמחה באבטחת גישה למערכות ארגוניות וניהול זהויות והרשאות.

סנטינל וואן (SentinelOne): מובילה באבטחת נקודות קצה (endpoint security) עם טכנולוגיות בינה מלאכותית.

אימפרבה (Imperva): מתמחה בהגנה על אתרים, יישומים ומסדי נתונים.

ארמיס (Armis): מספקת פתרונות אבטחה למערכות IoT ו-OT1.

פאלו אלטו נטוורקס (Palo Alto Networks): אף שהיא חברה אמריקאית, היא קשורה לתעשיית הסייבר הישראלית דרך רכישות של חברות ישראליות.

לפני חתימה על הסכם עם ספק פתרונות אבטחת מידע לעסקים, יש לדרוש ממנו:

הסמכה בתוקף לתקן ISO270013.

יישום אמצעי אבטחה הולמים, כולל:

  1. חומת אש (Firewall) ואמצעי גלישה מאובטחת.
  2. מערכות הגנה מתקדמות לנקודות קצה (EDR/XDR).
  3. מערכת דואר אלקטרוני מאובטחת.
  4. סריקת וירוסים ונוזקות בעת העלאת קבצים.
  5. נוהל טיפול באירועי סייבר ותכנית התאוששות.
  6. מנגנון גיבוי מאובטח למידע של הלקוחות.
  7. שימוש באמצעי אבטחה כמו זיהוי דו-שלבי לגישה מרחוק.
  8. ביצוע בדיקות חדירות (PT) שנתיות על ידי חברה מתמחה.
  9. ניהול יומן תיעוד מסודר לאירועי אבטחה.
  10. שמירת נתוני תיעוד ולוגים למשך לפחות 24 חודשים.
  11. מערכת ניטור SOC 24/7 למערכות המחזיקות מידע רגיש.
  12. הצפנת דיסק מלאה (Full Disk Encryption) במחשבים ניידים המכילים מידע רגיש.

5/5 - (4 votes)
אבטחת מידע מרכזיות SBC IP
מעניין? שתפו ברשתות חברתיות
Facebook
Twitter
LinkedIn
אודות המחבר:
Picture of Michael Pinchas
Michael Pinchas
מיכאל פנחס מהנדס תקשורת בכיר מאוניברסיטת ת"א

מחבר המדריך לפתרונות תקשורת ומחשוב ענן ולרכישת מרכזיות טלפון לעסקים באתרי טלקום אקספרט. מומחה בתחום התקשורת והמחשוב לעסקים מאז שנת 1991. אני מזמין אתכם לעקוב אחרי לקבלת עדכונים וחדשות בעולם התקשורת והמחשוב בפייסבוק | בלינקדאין | וביוטיוב ובמייל [email protected]

אולי יעניין אותך גם