VoIP - Backdoor do vaší sítě?

Autor: Robert Simon
Datum Vytvoření: 22 Červen 2021
Datum Aktualizace: 24 Červen 2024
Anonim
VoIP - Backdoor do vaší sítě? - Technologie
VoIP - Backdoor do vaší sítě? - Technologie

Obsah


Odnést:

VoIP je dobře známý pro svou nákladovou efektivitu, ale před zahájením implementace VoIP by mělo být zváženo zabezpečení.

Nákladová efektivita hlasu přes internetový protokol (VoIP) bezpochyby evokuje přinejmenším zvědavost firemních rozhodovacích orgánů zvažujících, jak strategicky pokračovat směrem k cíli nákladově efektivní - přesto robustní - hlasové komunikace. Je však technologie VoIP opravdu nejlepším řešením pro začínající firmy nebo dokonce zavedené společnosti? Efektivnost nákladů je zjevně evidentní, existují však i další položky, například zabezpečení, které by se měly zvážit před implementací VoIP? Síťoví architekti, správci systémů a bezpečnostní specialisté by měli být rozumní, než aby se dostali do rozvíjejícího se světa VoIP, aby zodpověděli následující problémy. (Další informace o trendech VoIP viz Globální VoIP revoluce.)


Procházení Firewallem

Při konfiguraci hranice sítě organizací v typické datové síti logickým prvním krokem je vložení příslovečné pětibunkové informace (zdrojová adresa IP, cílová adresa IP, číslo zdrojového portu, číslo cílového portu a typ protokolu) do brány firewall pro filtrování paketů. Většina bran firewall pro filtrování paketů zkoumá data s pěti tuplemi a pokud jsou splněna určitá kritéria, paket je přijat nebo odmítnut. Zatím tak dobrý, že? Ne tak rychle.

Většina implementací VoIP využívá koncept známý jako dynamické obchodování s porty. Stručně řečeno, většina protokolů VoIP používá specifický port pro účely signalizace. Například SIP používá port 5060 TCP / UDP, ale vždy používá jakýkoli port, který lze úspěšně vyjednat mezi dvěma koncovými zařízeními pro přenos médií. V tomto případě je tedy konfigurace firewallu bez státní příslušnosti tak, aby zakázala nebo akceptovala provoz vázaný na určité číslo portu, podobná použití deštníku během hurikánu. Možná zabráníte dešti, aby na vás dopadl, ale nakonec to nestačí.


Co když se správce podnikového systému rozhodne, že řešení problému s dynamickým obchodováním s portem umožňuje připojení ke všem možným portům využívaným VoIP? Nejenže bude tento správce systému na dlouhou noc analýzy přes tisíce možných portů, ale v okamžiku, kdy dojde k narušení jeho sítě, bude pravděpodobně hledat další zdroj zaměstnání.

Jaká je odpověď? Podle Kuhn, Walsh & Fries je prvním prvním krokem v zabezpečení infrastruktury VoIP organizace řádná implementace stavového firewallu. Stavový firewall se liší od firewallů bez státní příslušnosti v tom, že si zachovává určitou paměť pamětí minulých událostí, zatímco firewall bez státní příslušnosti si uchová absolutně žádnou paměť minulých událostí. Důvody použití stavového firewallu se soustředí na jeho schopnost nejen prozkoumat výše uvedené informace o pěti tuplech, ale také zkoumat aplikační data. Schopnost prozkoumat heuristiku aplikačních dat je to, co umožňuje bráně firewall rozlišovat mezi hlasovým a datovým přenosem.

Se zavedeným stavovým firewallem je hlasová infrastruktura bezpečná, správná? Kdyby bylo zabezpečení sítě tak jednoduché. Správci bezpečnosti si musí stále pamatovat na neustále se skrývající koncept: konfiguraci brány firewall. Při určování konfigurace jsou rozhodující rozhodnutí, například zda povolit nebo zakázat pakety ICMP prostřednictvím brány firewall nebo zda by měla být povolena určitá velikost paketů.

Konflikt VoIP s překladem síťových adres

Překlad síťových adres (NAT) je proces, který umožňuje nasazení více soukromých IP adres za jednu globální IP adresu. Pokud má síť správce 10 uzlů za routerem, každý uzel by měl IP adresu, která odpovídá jakékoli nakonfigurované vnitřní podsíti. Zdá se však, že veškerý provoz opouštějící síť pochází z jedné adresy IP - pravděpodobně ze směrovače.

Praxe implementace NAT je velmi populární, protože umožňuje organizaci zachovat IP adresový prostor. Při implementaci VoIP v síti NAT však nepředstavuje žádný malý problém. Tyto problémy nemusí nutně vzniknout, když jsou hovory VoIP prováděny v interní síti. Problémy se však objevují, když se uskutečňuje volání mimo síť. Primární komplikace nastává, když router s podporou NAT obdrží interní požadavek na komunikaci prostřednictvím VoIP do bodů mimo síť; inicializuje skenování svých NAT tabulek. Když směrovač hledá kombinaci adresy IP / čísla portu, která se má namapovat na kombinaci příchozí adresy IP / čísla portu, router nemůže navázat spojení kvůli dynamickému přidělování portů, které provádí směrovač i protokol VoIP.

Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života

Nemůžete zlepšit své programovací schopnosti, když se nikdo nestará o kvalitu softwaru.

Matoucí? Bezpochyby. Právě toto zmatení Tuckera přimělo k tomu, aby při každém zavádění VoIP doporučilo odstranit NAT. A co NAT řeší výhody zachování prostoru, ptáte se? Jedná se o postup při zavádění nových technologií do vaší sítě.

Hackerské nástroje Open Source VoIP

Pokud aspirující správce systému upřednostňuje posoudit svou pozici zabezpečení sítě spíše než hacker, aby to udělal za něj, může vyzkoušet některé z následujících nástrojů s otevřeným zdrojovým kódem. Z dostupných open-source VoIP hackerských nástrojů patří mezi nejoblíbenější SiVuS, TFTP-Bruteforce a SIPVicious. SiVuS je jako švýcarský armádní nůž, pokud jde o hackování VoIP. Jedním z jeho užitečnějších účelů je skenování SIP, kde je skenována síť a jsou umístěna všechna zařízení podporující SIP. TFTP je protokol VoIP specifický pro Cisco, a jak jste možná uhodli, TFTP-Bruteforce je nástroj používaný k odhadu možných uživatelských jmen a hesel na serverech TFTP. Konečně SIPVicious je sada nástrojů, která slouží k výčtu možných uživatelů SIP v síti.

Namísto jednotlivého stažení všech výše uvedených nástrojů je možné vyzkoušet nejnovější distribuci systému BackTrack Linux. Tyto nástroje, stejně jako ostatní, najdete zde. (Další informace o systému BackTrack Linux naleznete v tématu BackTrack Linux: Snadné testování penetrací.)

Přechod na VoIP

Globální šíření technologie VoIP ve spojení s technologiemi lokální sítě (LAN) pokračující růst rychlosti a kapacity vedlo k masové migraci na implementaci VoIP. Navíc současná infrastruktura Ethernet v mnoha organizacích způsobuje, že se přechod VoIP jeví jako neomylný. Než však tvůrci rozhodnutí ponoří do hlubin VoIP, bylo by moudré prozkoumat všechny náklady bez vyloučení bezpečnosti.