Obsah
- Prechádzanie bránou firewall
- Konflikt VoIP s prekladom sieťových adries
- Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života
- Hackerské nástroje s otvoreným zdrojom VoIP
- Prechod na VoIP
Zobrať:
VoIP je dobre známy pre svoju nákladovú efektívnosť, ale pred začatím implementácie VoIP by ste mali zvážiť bezpečnosť.
Nákladová efektívnosť hlasu cez internetový protokol (VoIP) bezpochyby evokuje prinajmenšom zvedavosť podnikateľov s rozhodovacou právomocou pri zvažovaní toho, ako strategicky postupovať smerom k cieľu nákladovo efektívnej - napriek tomu robustnej - hlasovej komunikácie. Je však technológia VoIP skutočne najlepším riešením pre začínajúce alebo dokonca zavedené spoločnosti? Efektívnosť nákladov je evidentná, existujú však aj ďalšie položky, ako napríklad bezpečnosť, ktoré by sa mali zvážiť pred zavedením VoIP? Sieťoví architekti, správcovia systémov a špecialisti na bezpečnosť by boli múdri zodpovední za nasledujúce problémy skôr, ako skočia do rozvíjajúceho sa sveta VoIP. (Ak sa chcete dozvedieť viac o trendoch VoIP, pozrite si tému Globálna revolúcia VoIP.)
Prechádzanie bránou firewall
Pri konfigurácii hranice siete organizácií v typickej dátovej sieti logickým prvým krokom je vloženie príslovečnej 5-násobnej informácie (zdrojová adresa IP, cieľová adresa IP, číslo zdrojového portu, číslo cieľového portu a typ protokolu) do brány firewall na filtrovanie paketov. Väčšina brán firewall na filtrovanie paketov skúma údaje v 5-násobnom zväzku a ak sú splnené určité kritériá, paket je prijatý alebo zamietnutý. Zatiaľ je to dobré, však? Nie tak rýchlo.
Väčšina implementácií VoIP využíva koncept známy ako dynamické obchodovanie s portmi. Stručne povedané, väčšina protokolov VoIP používa špecifický port na signalizačné účely. Napríklad SIP používa port 5060 TCP / UDP, ale vždy používa akýkoľvek port, ktorý je možné úspešne dohodnúť medzi dvoma koncovými zariadeniami na prenos médií. V tomto prípade je teda konfigurácia brány firewall bez štátnej príslušnosti tak, aby zakázala alebo akceptovala prenos smerovaný na určité číslo portu, podobná ako pri použití dáždnika počas hurikánu. Mohli by ste blokovať časť dažďa, aby na vás nepristála, ale nakoniec to nestačí.
Čo keď sa správca podnikového systému rozhodne, že riešenie problému dynamického obchodovania s portmi umožňuje pripojenie ku všetkým možným portom využívaným VoIP? Nielenže bude tento správca systému na dlhú noc, keď bude analyzovať tisíce možných prístavov, ale pravdepodobne bude hľadať iný zdroj zamestnania v okamihu, keď bude narušená jeho sieť.
Aká je odpoveď? Podľa spoločnosti Kuhn, Walsh & Fries je hlavným prvým krokom v zabezpečení infraštruktúry VoIP organizácie správna implementácia stavového firewallu. Stavový firewall sa líši od brány firewall bez štátnej príslušnosti v tom, že si zachováva určitý druh pamäte z minulých udalostí, zatiaľ čo firewall bez štátnej príslušnosti si neponecháva absolútne žiadnu pamäť z minulých udalostí. Dôvody použitia stavového firewallu sa sústreďujú na jeho schopnosť nielen skúmať vyššie uvedené 5-násobné informácie, ale aj skúmať aplikačné údaje. Schopnosť preskúmať heuristiku aplikačných údajov je to, čo umožňuje bráne firewall rozlišovať medzi hlasovou a dátovou prevádzkou.
So zavedeným stavovým firewallom je hlasová infraštruktúra bezpečná, správna? Keby len bezpečnosť siete bola taká jednoduchá. Správcovia bezpečnosti musia pamätať na neustále sa skrývajúci koncept: konfiguráciu brány firewall. Rozhodnutia, napríklad či povoliť alebo zakázať pakety ICMP prostredníctvom brány firewall alebo či by sa mala povoliť určitá veľkosť paketov, sú pri určovaní konfigurácie absolútne rozhodujúce.
Konflikt VoIP s prekladom sieťových adries
Preklad sieťových adries (NAT) je proces, ktorý umožňuje nasadenie viacerých súkromných adries IP za jednu globálnu adresu IP. Ak má sieť správcu 10 uzlov za smerovačom, mal by mať každý uzol IP adresu, ktorá zodpovedá akejkoľvek nakonfigurovanej vnútornej podsieti. Zdá sa však, že všetka prevádzka opúšťajúca sieť pochádza z jednej adresy IP - pravdepodobne zo smerovača.
Prax implementácie NAT je mimoriadne populárna, pretože umožňuje organizácii šetriť IP adresný priestor. Pri implementácii VoIP v sieti NAT to však nepredstavuje žiadny malý problém. Tieto problémy sa nemusia nevyhnutne vyskytovať, keď sa VoIP hovory uskutočňujú vo vnútornej sieti. Problémy sa však vyskytujú, keď sa uskutočňujú hovory mimo siete. Primárna komplikácia vzniká, keď router s podporou NAT dostane internú požiadavku na komunikáciu prostredníctvom VoIP do bodov mimo siete; iniciuje kontrolu svojich NAT tabuliek. Keď smerovač hľadá kombináciu adresy IP / čísla portu, ktorá sa má mapovať na kombináciu prichádzajúcej adresy IP / čísla portu, smerovač nie je schopný nadviazať spojenie kvôli dynamickému prideľovaniu portov, ktoré vykonávajú smerovač aj protokol VoIP.
Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života
Nemôžete zlepšiť svoje programovacie schopnosti, keď sa nikoho nezaujíma o kvalitu softvéru.
Mätúce? Bezpochýb. To je tento zmätok, ktorý vyzval Tuckera, aby odporučil ukončiť používanie NAT pri každom nasadení VoIP. A čo NAT rieši výhody ochrany priestoru, pýtate sa? Je to zapojenie sa do zavádzania nových technológií do vašej siete.
Hackerské nástroje s otvoreným zdrojom VoIP
Ak sa usilujúci správca systému uprednostňuje skôr, ako posúdi svoju pozíciu v oblasti zabezpečenia sietí, než aby to urobil hacker, môže vyskúšať niektoré z nasledujúcich nástrojov s otvoreným zdrojovým kódom. Z dostupných open-source VoIP hackerských nástrojov sú niektoré z najpopulárnejších SiVuS, TFTP-Bruteforce a SIPVicious. SiVuS je ako švajčiarsky nôž, pokiaľ ide o hackovanie VoIP. Jedným z užitočnejších cieľov je skenovanie SIP, v ktorom sa prehľadáva sieť a nachádzajú sa všetky zariadenia podporujúce SIP. TFTP je protokol VoIP špecifický pre spoločnosť Cisco a, ako ste možno uhádli, TFTP-Bruteforce je nástroj používaný na odhadovanie možných používateľských mien a hesiel na serveroch TFTP. A konečne, SIPVicious je sada nástrojov, ktorá sa používa na vymenovanie možných používateľov SIP v sieti.
Namiesto individuálneho sťahovania všetkých vyššie uvedených nástrojov by ste mohli vyskúšať najnovšiu distribúciu systému BackTrack Linux. Tieto nástroje, ako aj ďalšie nástroje, nájdete tu. (Viac informácií o systéme BackTrack Linux nájdete v časti BackTrack Linux: Ľahké testovanie prieniku.)
Prechod na VoIP
Globálne šírenie technológie VoIP v spojení s technológiami lokálnej siete (LAN) pokračujúce zvyšovanie rýchlosti a kapacity viedlo k hromadnej migrácii na implementáciu VoIP. Ďalej, súčasná infraštruktúra Ethernet v mnohých organizáciách spôsobuje, že sa prechod VoIP javí ako netušiaci. Predtým, ako riadiaci pracovníci vkročia do hĺbky VoIP, bolo by rozumné preskúmať všetky náklady bez vylúčenia bezpečnosti.