Tartalom
- A tűzfal átjárása
- A VoIP ütközik a hálózati címek fordításával
- Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül
- Nyílt forráskódú VoIP-hakkoló eszközök
- Áttérés a VoIP-re
Elvitel:
A VoIP jól ismert költséghatékonyságáról, ám a biztonság megfontolása előtt fontolóra kell vennie a VoIP megvalósítását.
A Voice over Internet Protocol (VoIP) költséghatékonysága kétségtelenül legalább a vállalati döntéshozók kíváncsiságát kelti fel, fontolgatva, hogyan lehet stratégiailag továbblépni a költséghatékony - mégis robusztus - hangkommunikáció célja felé. Ugyanakkor a VoIP technológia valóban a legjobb megoldás az induló vállalkozások számára, vagy akár a már működő vállalatok számára? A költséghatékonyság nyilvánvaló, de vannak-e olyan elemek, például a biztonság, amelyeket fontolóra kell venni a VoIP megvalósítása előtt? A hálózati építészeknek, rendszergazdáknak és biztonsági szakembereknek bölcs dolog lenne a következő kérdéseket figyelembe venni, mielőtt a VoIP feltörekvő világába indulnának. (Ha többet szeretne megtudni a VoIP trendeiről, olvassa el a Globális VoIP forradalom című részt.)
A tűzfal átjárása
A szervezet hálózati határának meghatározásakor egy tipikus adathálózatban a logikus első lépés a közmondásos öt gombos információ (forrás IP-cím, rendeltetési hely IP-címe, forrásport száma, rendeltetési port száma és protokoll típusa) beillesztése a csomagszűrő tűzfalba. A legtöbb csomagszűrő tűzfala megvizsgálja az 5-adatszerű adatokat, és ha bizonyos feltételek teljesülnek, a csomagot elfogadják vagy elutasítják. Eddig olyan jó, ugye? Nem olyan gyorsan.
A legtöbb VoIP-megvalósítás dinamikus portforgalomnak nevezett fogalmat használ. Dióhéjban, a legtöbb VoIP-protokoll jelzés céljából egy meghatározott portot használ. Például, a SIP TCP / UDP portot használ az 5060 porton, de mindig használnak bármilyen portot, amely a médiaforgalom érdekében sikeresen megbeszélhető két végkészülék között. Tehát ebben az esetben az állapot nélküli tűzfal egyszerű konfigurálása egy bizonyos portszámhoz kötött forgalom megtagadására vagy elfogadására hasonló ahhoz, mint egy esernyő használata hurrikán alatt. Lehet, hogy megakadályozza az eső egy részét, hogy az Önre szálljon, de végül ez nem elég.
Mi lenne, ha egy vállalkozó rendszergazda úgy dönt, hogy a dinamikus portkereskedelem problémájának megoldása lehetővé teszi a csatlakozást a VoIP által használt összes lehetséges porthoz? Ez a rendszergazda nem csak egy hosszú éjszakán keresztül elemzi a lehetséges ezrek lehetséges portjait, hanem abban a pillanatban, amikor hálózatát megsérti, valószínűleg egy másik foglalkoztatási forrást keres.
Mi a válasz? Kuhn, Walsh & Fries szerint a szervezet VoIP-infrastruktúrájának biztosításának első jelentős lépése az állapotalapú tűzfal megfelelő megvalósítása. Az állapotalapú tűzfal abban különbözik az állapot nélküli tűzfalaktól, hogy valamilyen memóriát tárol a múltbeli eseményekről, míg az állapot nélküli tűzfal egyáltalán nem tart fenn emléket a múltbeli eseményekről. Az állapotalapú tűzfal használatának oka arra összpontosít, hogy képes-e nemcsak a fent említett ötcsatornás információra, hanem az alkalmazás adatainak vizsgálatára is. Az alkalmazás adatai heurisztikájának megvizsgálása lehetővé teszi a tűzfal számára a hang- és adatforgalom megkülönböztetését.
Egy megalapozott állami tűzfallal a hang-infrastruktúra biztonságos, igaz? Ha csak a hálózati biztonság lenne ilyen egyszerű. A biztonsági rendszergazdáknak szem előtt kell tartaniuk egy állandóan elárasztódó koncepciót: a tűzfal konfigurációját. A konfiguráció meghatározásakor döntő fontosságú az a döntés, mint például az ICMP csomagok tűzfalen keresztüli engedélyezésének engedélyezése vagy egy bizonyos csomagméret engedélyezése.
A VoIP ütközik a hálózati címek fordításával
A hálózati címfordítás (NAT) az a folyamat, amely lehetővé teszi több privát IP-cím telepítését egy globális IP-cím mögött. Tehát, ha az adminisztrátor hálózatának 10 csomópontja van egy útválasztó mögött, akkor minden csomópont IP-címével rendelkezik, amely megfelel a belső alhálózat konfigurálásának. Úgy tűnik azonban, hogy a hálózatot elhagyó összes forgalom egyetlen IP-címről származik - valószínűleg a routerről.
A NAT megvalósítási gyakorlata rendkívül népszerű, mivel lehetővé teszi a szervezet számára az IP-címtér megőrzését. Ugyanakkor ez nem jelent kis problémát, amikor a VoIP-t a NAT hálózatán hajtják végre. Ezek a problémák nem feltétlenül merülnek fel, ha a VoIP hívásokat belső hálózaton kezdenek. Ugyanakkor problémák merülnek fel, amikor a hálózaton kívülről kezdenek hívások. Az elsődleges komplikáció akkor merül fel, amikor egy NAT-kompatibilis útválasztó belső kérést kap a VoIP-n keresztüli kommunikációra a hálózaton kívüli pontokra; elindítja a NAT táblázatainak vizsgálatát. Amikor az útválasztó egy IP-cím / portszám kombinációt keresi a bejövő IP-cím / portszám-kombinációhoz való hozzáigazításhoz, az útválasztó nem tudja létrehozni a kapcsolatot, mivel mind a router, mind a VoIP protokoll gyakorolja a dinamikus portkiosztást.
Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül
Nem javíthatja a programozási készségét, ha senki sem törődik a szoftver minőségével.
Zavaró? Kétségtelen. Ez a zavar arra késztette Tucker-t, hogy javasolja a NAT megszüntetését, amikor a VoIP telepítésre kerül. Mit szólna a NAT-ok az űrmegőrzési előnyökhöz, kérdezi? Ilyen az adás-vétel, mely az új technológia bevezetésével jár a hálózatában.
Nyílt forráskódú VoIP-hakkoló eszközök
Ha egy feltörekvő rendszergazda inkább a hálózati biztonsági testtartása felmérését szeretné elvégezni, mint hackert hajtana végre, akkor kipróbálhatja a következő nyílt forráskódú eszközök valamelyikét. A rendelkezésre álló nyílt forráskódú VoIP hackereszközök közül néhány a SiVuS, TFTP-Bruteforce és SIPVicious. A SiVuS olyan, mint egy svájci hadsereg kés, amikor a VoIP hackelésről van szó. Az egyik leghasznosabb célja a SIP szkennelés, ahol a hálózatot beolvasják, és az összes SIP-kompatibilis eszköz található. A TFTP a Cisco számára specifikus VoIP protokoll, és amint talán kitaláltad, a TFTP-Bruteforce egy eszköz, amellyel kitalálhatják a TFTP-kiszolgálók lehetséges felhasználóneveit és jelszavait. Végül, a SIPVicious egy eszközkészlet, amely felsorolja a hálózaton belüli lehetséges SIP-felhasználókat.
A fenti eszközök külön-külön történő letöltésének helyett kipróbálhatja a BackTrack Linux legújabb terjesztését. Ezek az eszközök, valamint mások is ott találhatók. (További információ a BackTrack Linuxról: BackTrack Linux: A behatolás tesztelése egyszerű.)
Áttérés a VoIP-re
A VoIP technológia globális elterjedése, a helyi hálózat (LAN) technológiákkal párosulva, a sebesség és a kapacitás folyamatos növekedése révén tömeges migrációt eredményezett a VoIP megvalósításához. Ezenkívül a sok szervezet jelenlegi Ethernet-infrastruktúrája a VoIP-átmenetet úgy gondolja, hogy nincs értelme. Mielőtt azonban a döntéshozók belemerülnének a VoIP mélyébe, bölcs dolog lenne minden költséget felkutatni a biztonság kizárása nélkül.