VoIP - bagdør til dit netværk?

Indhold

• Gennemse firewall
• VoIP-konflikter med oversættelse af netværksadresse
• Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv
• Open Source VoIP-hackingværktøjer
• Overgang til VoIP

Tag væk:

VoIP er velkendt for dets omkostningseffektivitet, men sikkerhed skal overvejes, før du går i gang med en VoIP-implementering.

Omkostningseffektiviteten ved Voice over Internet Protocol (VoIP) fremkalder utvivlsomt mindst muligt nysgerrighed hos virksomhedernes beslutningstagere, der overvejer, hvordan man strategisk går videre mod målet om omkostningseffektiv - men alligevel robust - stemmekommunikation. Dog er VoIP-teknologi virkelig den bedste løsning til startups eller endda etablerede virksomheder? Omkostningseffektiviteten er tydeligt åbenlyst, men er der andre elementer, såsom sikkerhed, der skal overvejes inden en VoIP-implementering? Netværksarkitekter, systemadministratorer og sikkerhedsspecialister ville være kloge at redegøre for følgende problemer, inden de springer ind i den voksende verden af ​​VoIP. (Se The Global VoIP Revolution for at lære mere om VoIP-tendenser.)

Gennemse firewall

Når du konfigurerer en organisations netværksgrænse i et typisk datanetværk, indsættes et logisk første trin den sproglige 5-tuple-information (kilde-IP-adresse, destinations-IP-adresse, kildeportnummer, destinationsportnummer og protokolletype) i en pakkefiltrerings firewall. De fleste pakkefiltrerings firewalls undersøger 5-tuple-dataene, og hvis visse kriterier er opfyldt, accepteres eller afvises pakken. Indtil videre så god, ikke? Ikke så hurtigt.

De fleste VoIP-implementeringer bruger et koncept, der kaldes dynamisk havnhandel. Kort sagt bruger de fleste VoIP-protokoller en bestemt port til signalformål. For eksempel bruger SIP TCP / UDP-port 5060, men de bruger altid uanset hvilken port der kan forhandles med succes mellem to endeenheder til medietrafik. Så i dette tilfælde er det simpelt at bruge en paraply under en orkan ved at konfigurere en statsløs firewall til at nægte eller acceptere trafik, der er bundet til et bestemt portnummer. Du kan blokere noget af regnen fra at lande på dig, men i sidste ende er det bare ikke nok.

Hvad hvis en initiativrig systemadministrator beslutter, at løsningen til problemet med dynamisk havnhandel tillader forbindelser til alle mulige havne, der bruges af VoIP? Denne systemadministrator vil ikke kun være i en lang nat med parsing gennem tusinder af mulige havne, men i det øjeblik hans netværk er brudt, vil han sandsynligvis søge efter en anden kilde til beskæftigelse.

Hvad er svaret? Ifølge Kuhn, Walsh & Fries, er et vigtigt første skridt i at sikre en organisations VoIP-infrastruktur korrekt implementering af en statlig firewall. En statlig firewall adskiller sig fra en statsløs firewall, idet den bevarer en slags hukommelse af tidligere begivenheder, mens en statsløs firewall bevarer absolut ingen hukommelse fra tidligere begivenheder. Begrundelsen bag at bruge en stateful firewall centrerer sig om dens evne til ikke kun at undersøge de ovennævnte 5-tuple-oplysninger, men også undersøge applikationsdata. Evnen til at undersøge applikationsdataheuristik er, hvad der giver firewall'en mulighed for at skelne mellem tale- og datatrafik.

Med en etableret stateful firewall er taleinfrastruktur sikker, korrekt? Hvis bare netværkssikkerhed var så enkel. Sikkerhedsadministratorer skal være opmærksomme på et stadigt lurer koncept: firewall-konfiguration. Beslutninger, f.eks. Om ICMP-pakker skal tillades via en firewall eller om en bestemt pakkestørrelse skal tillades, er helt afgørende, når konfigurationen fastlægges.

VoIP-konflikter med oversættelse af netværksadresse

Netværksadresse-oversættelse (NAT) er den proces, der giver mulighed for distribution af flere private IP-adresser bag én global IP-adresse. Så hvis en administrator's netværk har 10 noder bag en router, ville hver node have en IP-adresse, der svarer til det interne subnet, der er konfigureret. Imidlertid ser det ud til, at al trafik, der forlader netværket kommer fra en IP-adresse - mest sandsynligt routeren.

Praksisen med at implementere NAT er ekstremt populær, da det giver en organisation mulighed for at spare IP-adresserum. Det udgør dog ikke noget lille problem, når VoIP implementeres på NAT'ets netværk. Disse problemer opstår ikke nødvendigvis, når VoIP-opkald foretages i et internt netværk. Der opstår imidlertid problemer, når der foretages opkald uden for netværket. Den primære komplikation opstår, når en NAT-aktiveret router modtager en intern anmodning om at kommunikere via VoIP til punkter uden for netværket; det starter en scanning af dens NAT-tabeller. Når routeren ser efter en IP-adresse / portnummerkombination for at kortlægge den indgående IP-adresse / portnummerkombination, er routeren ikke i stand til at oprette forbindelsen på grund af den dynamiske portallokering, der udøves af både routeren og VoIP-protokollen.

Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv

Du kan ikke forbedre dine programmeringsevner, når ingen er interesseret i softwarekvalitet.

Forvirrende? Ingen tvivl. Det er denne forvirring, der fik Tucker til at anbefale at slippe af med NAT, når VoIP er installeret. Hvad med NAT'erne adresserer fordelene ved pladsbevaring, spørger du? Sådan er give-and-take involveret i introduktion af ny teknologi til dit netværk.

Open Source VoIP-hackingværktøjer

Hvis en håbende systemadministrator foretrækker at vurdere sin netværks sikkerhedsstillelse frem for at få en hacker til at gøre det for ham, kan han prøve nogle af følgende open source-værktøjer. Af de tilgængelige open source VoIP-hackingværktøjer er nogle af de mere populære SiVuS, TFTP-Bruteforce og SIPVicious. SiVuS er som en schweizisk hærkniv, når det kommer til VoIP-hacking. Blandt et af de mere nyttige formål er SIP-scanning, hvor et netværk scannes, og alle SIP-aktiverede enheder er placeret. TFTP er en VoIP-protokol, der er specifik for Cisco, og som du måske har gætt, er TFTP-Bruteforce et værktøj, der bruges til at gætte en TFTP-server mulige brugernavne og adgangskoder. Endelig er SIPVicious et værktøjssæt, der bruges til at opregne mulige SIP-brugere i et netværk.

I stedet for individuelt at downloade alle ovennævnte værktøjer, kan man prøve den seneste distribution af BackTrack Linux. Disse værktøjer såvel som andre findes der. (For mere om BackTrack Linux, se BackTrack Linux: Penetration Testing Made Easy.)

Overgang til VoIP

Den globale spredning af VoIP-teknologi kombineret med lokalnetværk (LAN) -teknologier fortsatte stigning i hastighed og kapacitet har resulteret i en massemigration til VoIP-implementering. Endvidere får den nuværende Ethernet-infrastruktur i mange organisationer VoIP-overgangen til at virke som en no-brainer. Inden beslutningstagere tager springet ud i dybden af ​​VoIP, ville de være kloge at undersøge alle omkostninger uden at udelukke sikkerhed.