VoIP - takaovi verkkoosi?

Kirjoittaja: Robert Simon
Luomispäivä: 22 Kesäkuu 2021
Päivityspäivä: 24 Kesäkuu 2024
Anonim
VoIP - takaovi verkkoosi? - Tekniikka
VoIP - takaovi verkkoosi? - Tekniikka

Sisältö


Ottaa mukaan:

VoIP on tunnettu kustannustehokkuudestaan, mutta turvallisuuteen tulisi harkita ennen kuin aloitat VoIP-käyttöönoton.

Ääniviestinnän Internet-protokollan (VoIP) kustannustehokkuus herättää epäilemättä vähintäänkin yritysten päätöksentekijöiden uteliaisuutta pohtiessaan, miten strategisesti edetä kohti kustannustehokasta - mutta vankasta - ääniviestintää. Onko VoIP-tekniikka todellakin paras ratkaisu aloittaville yrityksille tai edes vakiintuneille yrityksille? Kustannustehokkuus on selvästi ilmeinen, mutta onko muita asioita, kuten turvallisuus, joita olisi harkittava ennen VoIP-käyttöönottoa? Verkkoarkkitehdit, järjestelmänvalvojat ja tietoturva-asiantuntijat olisivat viisaita ottamaan huomioon seuraavat seikat ennen hyppäämistä nousevaan VoIP-maailmaan. (Lisätietoja VoIP-suuntauksista, katso The Global VoIP Revolution.)


Palomuurin läpi

Kun määrität organisaatioverkon rajan tyypillisessä tietoverkossa, looginen ensimmäinen vaihe on sananlaskun 5-parin tietojen (lähde-IP-osoite, kohde-IP-osoite, lähdeportin numero, kohdeportin numero ja protokollatyyppi) lisääminen pakettisuodattavaan palomuuriin. Useimmat pakettisuodattavat palomuurit tarkistavat 5-parin datan, ja jos tietyt kriteerit täyttyvät, paketti joko hyväksytään tai hylätään. Toistaiseksi niin hyvä, eikö? Ei niin nopeasti.

Suurimmassa osassa VoIP-toteutuksia käytetään konseptia, joka tunnetaan nimellä dynaaminen satamakauppa. Lyhyesti sanottuna useimmat VoIP-protokollat ​​käyttävät tiettyä porttia signalointitarkoituksiin. Esimerkiksi SIP käyttää TCP / UDP-porttia 5060, mutta ne käyttävät aina mitä tahansa porttia, josta medialiikenteelle voidaan neuvotella onnistuneesti kahden päätelaitteen välillä. Joten tässä tapauksessa valtiottoman palomuurin määrittäminen kieltämään tai hyväksymään tietyn porttinumeron liikenne on samanlainen kuin sateenvarjon käyttö hurrikaanin aikana. Saatat estää osan sateesta laskeutumasta päällesi, mutta viime kädessä se ei vain riitä.


Entä jos yritteliäs järjestelmänvalvoja päättää, että dynaamisen satamakaupan ongelman ratkaiseminen sallii yhteydet kaikkiin mahdollisiin VoIP: n käyttämiin portteihin? Järjestelmänvalvoja ei ole vain pitkän yön jäsentämässä tuhansia mahdollisia portteja, vaan myös silloin, kun hänen verkkoaan rikotaan, hän todennäköisesti etsii uutta työpaikan lähdettä.

Mikä on vastaus? Kuhnin, Walsh & Friesin mukaan tärkeä ensimmäinen askel organisaation VoIP-infrastruktuurin turvaamisessa on tilallisen palomuurin asianmukainen toteuttaminen. Tilallinen palomuuri eroaa valtiottomasta palomuurista siinä, että siinä on jonkinlainen muisti menneistä tapahtumista, kun taas valtiottomalla palomuurilla ei missään nimessä ole muistia menneistä tapahtumista. Tilallisen palomuurin käytön perusteet keskittyvät sen kykyyn tutkia edellä mainittua 5-tupla-informaatiota ja tutkia myös sovellustietoja. Mahdollisuus tutkia sovellustietojen heuristiikkaa antaa palomuurille mahdollisuuden erottaa ääni- ja dataliikenteen välillä.

Vakiintuneella tilallisella palomuurilla ääniinfrastruktuuri on turvallinen, oikein? Jos vain verkkoturva olisi niin yksinkertaista. Suojausjärjestelmänvalvojien on pidettävä mielessä jatkuvasti piilevä käsite: palomuurin kokoonpano. Päätökset, kuten ICMP-pakettien salliminen palomuurin kautta vai tietyn paketin koon salliminen, ovat ehdottoman tärkeitä määritettäessä määrityksiä.

VoIP on ristiriidassa verkko-osoitteen kääntämisen kanssa

Verkko-osoitteiden käännös (NAT) on prosessi, joka sallii useiden yksityisten IP-osoitteiden käyttöönoton yhden globaalin IP-osoitteen takana. Joten jos järjestelmänvalvojan verkossa on 10 solmua reitittimen takana, jokaisella solmulla olisi IP-osoite, joka vastaa mitä tahansa sisäistä aliverkkoa on määritetty. Kaikki verkosta lähtevä liikenne näyttää kuitenkin tulevan yhdestä IP-osoitteesta - todennäköisimmin reitittimestä.

NAT: n toteutuskäytäntö on erittäin suosittu, koska se antaa organisaatiolle mahdollisuuden säästää IP-osoitetilaa. Se ei kuitenkaan aiheuta pientä ongelmaa, kun VoIP otetaan käyttöön NAT: n verkossa. Nämä ongelmat eivät välttämättä ilmene, kun VoIP-puhelut soitetaan sisäisessä verkossa. Ongelmia esiintyy kuitenkin silloin, kun puhelut soitetaan verkon ulkopuolelta. Ensisijainen komplikaatio syntyy, kun NAT-yhteensopiva reititin vastaanottaa sisäisen pyynnön kommunikoida VoIP: n kautta verkon ulkopuolelle; se aloittaa NAT-taulukoidensa skannauksen. Kun reititin etsii IP-osoite / porttinumeroyhdistelmää tulevan IP-osoitteen / porttinumerokombinaation yhdistämiseksi, reititin ei pysty muodostamaan yhteyttä, koska sekä reititin että VoIP-protokolla harjoittavat dynaamista portin allokointia.

Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi

Et voi parantaa ohjelmointitaitojasi, kun kukaan ei välitä ohjelmiston laadusta.

Hämmentävä? Ei epäilystäkään. Juuri tämä sekaannus sai Tuckerin suosittelemaan NAT: n poistamista aina, kun VoIP otetaan käyttöön. Entä NAT: t, jotka käsittelevät avaruuden säilyttämisen etuja? Tällainen on antaa ja ota käyttöön uuden tekniikan käyttöönotto verkkoosi.

Open Source VoIP-hakkerointityökalut

Jos tavoitteleva järjestelmänvalvoja haluaa arvioida verkon turvallisuusasentonsa sen sijaan, että hakkeri tekisi sen hänen puolestaan, hän saattaa kokeilla joitain seuraavista avoimen lähdekoodin työkaluista. Jotkut käytettävissä olevista avoimen lähdekoodin VoIP-hakkerointityökaluista ovat SiVuS, TFTP-Bruteforce ja SIPVicious. SiVuS on kuin Sveitsin armeijan veitsi VoIP-hakkeroinnissa. Yksi sen hyödyllisemmistä tarkoituksista on SIP-skannaus, jossa verkko skannataan ja kaikki SIP-yhteensopivat laitteet sijaitsevat. TFTP on Ciscolle ominainen VoIP-yhteyskäytäntö, ja kuten olet ehkä arvata, TFTP-Bruteforce on työkalu, jota käytetään arvaamaan TFTP-palvelimien mahdollisia käyttäjänimiä ja salasanoja. Lopuksi, SIPVicious on työkalupakki, jota käytetään luettelemaan mahdollisia SIP-käyttäjiä verkossa.

Sen sijaan, että kaikki edellä mainitut työkalut ladattaisiin erikseen, voidaan kokeilla viimeisintä BackTrack Linux -jakelua. Nämä työkalut, samoin kuin muut, löytyvät sieltä. (Lisätietoja BackTrack Linuxista, katso BackTrack Linux: Läpäisytestaus on helppoa.)

Siirtyminen VoIP-verkkoon

VoIP-tekniikan globaali leviäminen yhdessä lähiverkkotekniikan (LAN) tekniikan kanssa jatkavan nopeuden ja kapasiteetin kasvua on johtanut joukkomuuttoon VoIP-toteutukseen. Lisäksi nykyinen Ethernet-infrastruktuuri monissa organisaatioissa tekee VoIP-siirtymästä tuntuvan aivoista. Ennen kuin päätöksentekijät ryhtyvät syventämään VoIP: n syvyyksiä, olisi kuitenkin viisasta tutkia kaikki kustannukset sulkematta pois turvallisuutta.