Sadržaj
- Prolazak kroz vatrozid
- VoIP sukobi s prijevodom mrežnih adresa
- Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
- Alat za hakiranje s otvorenim kodom
- Prijelaz na VoIP
Oduzeti:
VoIP je poznat po troškovnoj učinkovitosti, ali o sigurnosti valja razmisliti prije nego što krenete u implementaciju VoIP-a.
Isplativost glasa putem Internet protokola (VoIP) nesumnjivo izaziva znatiželju kod korporativnih donositelja odluka koji razmišljaju kako strateški nastaviti prema cilju ekonomične - a opet robusne - glasovne komunikacije. Međutim, je li VoIP tehnologija zaista najbolje rješenje za startap ili čak etablirane tvrtke? Efikasnost troškova očito je vidljiva, ali postoje li i druge stavke, poput sigurnosti, koje bi trebalo razmotriti prije implementacije VoIP-a? Mrežni arhitekti, administratori sustava i sigurnosni stručnjaci bilo bi pametno voditi računa o sljedećim problemima prije nego što će skočiti u novi VoIP. (Da biste saznali više o trendovima VoIP-a, pogledajte Global VoIP revolucija.)
Prolazak kroz vatrozid
Prilikom konfiguriranja mrežne granice organizacije u tipičnoj podatkovnoj mreži logičan je prvi korak umetanje poslovičnih podataka s 5 zbirki (izvorna IP adresa, odredišna IP adresa, broj izvornog ulaza, broj odredišnog porta i vrsta protokola) u vatrozid koji filtrira paket. Većina vatrozida za filtriranje paketa ispituje podatke s 5 zbirki, a ako su ispunjeni određeni kriteriji, paket se prihvaća ili odbija. Za sada tako dobro, zar ne? Ne tako brzo.
Većina VoIP implementacija koristi koncept poznat kao dinamična trgovina lukama. Ukratko, većina VoIP protokola koristi određeni priključak za potrebe signalizacije. Na primjer, SIP koristi TCP / UDP priključak 5060, ali oni uvijek koriste bilo koji port koji se može uspješno pregovarati između dva krajnja uređaja za medijski promet. Dakle, u ovom je slučaju jednostavno konfiguriranje vatrozida za apsoluciju za uskraćivanje ili prihvaćanje prometa vezanog za određeni broj priključka slično upotrebi kišobrana tijekom uragana. Mogli biste spriječiti da kiša padne na vas, ali u konačnici, to nije dovoljno.
Što ako poduzetni administrator sustava odluči da zaobilazenje problema s dinamičnim prometom luka omogućava povezivanje sa svim mogućim portovima koje koristi VoIP? Ne samo da će taj administrator sustava biti u toku duge noći za raščlanjivanje na hiljade mogućih portova, već u trenutku kad mu se mreža pokvari, vjerovatno će tražiti drugi izvor zaposlenja.
Koji je odgovor? Prema Kuhnu, Walsh & Fries, glavni prvi korak u osiguranju VoIP infrastrukture organizacije je pravilna primjena vrhunskog vatrozida. Vatrozid sa statusom razlikuje se od vatrozida bez stanja jer zadržava neku vrstu sjećanja na prošle događaje, dok vatrozid bez državljanstva zadržava apsolutno nikakvo sjećanje na prošle događaje. Obrazloženje korištenja snažnog vatrozida usredotočuje se na njegovu sposobnost ne samo da ispituje gore spomenute podatke od 5 stranica, već i da ispita podatke o aplikacijama. Sposobnost ispitivanja heuristike podataka o aplikacijama je ono što omogućava vatrozidu da razlikuje glasovni i podatkovni promet.
Uz uspostavljen zaštitni zid sa zaštitnim zidom, glasovna infrastruktura je sigurna, zar ne? Kad bi samo mrežna sigurnost bila tako jednostavna. Administratori sigurnosti moraju ostati svjesni neprestanog koncepta: konfiguracije vatrozida. Odluke, poput dopuštanja ili ne dopuštenja ICMP paketa kroz vatrozid ili ako bi trebalo dopustiti određenu veličinu paketa, apsolutno su presudne pri određivanju konfiguracije.
VoIP sukobi s prijevodom mrežnih adresa
Prijevod mrežne adrese (NAT) postupak je koji omogućava implementaciju više privatnih IP adresa iza jedne globalne IP adrese. Dakle, ako mreža administratora ima 10 čvorova iza usmjerivača, svaki bi čvor imao IP adresu koja odgovara bilo kojoj internoj podmreži. No, čini se da sav promet koji napušta mrežu dolazi s jedne IP adrese - najvjerojatnije, usmjerivača.
Praksa primjene NAT-a izuzetno je popularna jer omogućuje organizaciji da sačuva prostor IP adresa. No, ne predstavlja mali problem kada se VoIP implementira u NAT mrežu. Ovi problemi ne nastaju nužno kada se VoIP pozivi obavljaju u internoj mreži. Međutim, problemi nastaju kada se pozivi obavljaju izvan mreže. Primarna komplikacija nastaje kada NAT usmjerivač prima interni zahtjev za komunikaciju putem VoIP-a s točkama izvan mreže; pokreće skeniranje svojih NAT tablica. Kada usmjerivač traži kombinaciju IP adresa / broja priključaka za mapiranje na dolaznu kombinaciju IP adresa / broja priključaka, usmjerivač nije u mogućnosti uspostaviti vezu zbog dinamičke dodjele priključaka koju prakticiraju i usmjerivač i VoIP protokol.
Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
Ne možete poboljšati svoje programiranje kad nikoga nije briga za kvalitetu softvera.
Zbunjujuće? Bez sumnje. Upravo je ta zbrka navela Tuckera da preporuči uklanjanje NAT-a kad god je VoIP instaliran. Što tražite sa pitanjima NAT-a o očuvanju prostora? To je uključivanje i uvođenje nove tehnologije u vašu mrežu.
Alat za hakiranje s otvorenim kodom
Ako neki ambiciozni administrator sustava radije procijeni svoje sigurnosno držanje mreže, umjesto da haker to učini umjesto njega, mogao bi isprobati neke od sljedećih alata otvorenog koda. Od dostupnih open-source alata za hakiranje, neki od popularnijih su SiVuS, TFTP-Bruteforce i SIPVicious. SiVuS je poput noža švicarske vojske kada je u pitanju hakiranje VoIP-a. Jedna od njegovih korisnijih svrha je SIP skeniranje gdje se skenira mreža i nalaze se svi uređaji koji omogućuju SIP. TFTP je VoIP protokol specifičan za Cisco i, kao što ste možda pretpostavili, TFTP-Bruteforce je alat koji se koristi za nagađanje TFTP poslužitelja mogućih korisničkih imena i lozinki. Konačno, SIPVicious je skup alata koji se koristi za nabrajanje mogućih SIP korisnika unutar mreže.
Umjesto pojedinačnog preuzimanja svih gore navedenih alata, možete isprobati najnoviju distribuciju BackTrack Linuxa. Ovi alati, kao i drugi, mogu se naći tamo. (Više o BackTrack Linuxu potražite u odjeljku BackTrack Linux: Testiranje prodora je jednostavno.)
Prijelaz na VoIP
Globalno širenje VoIP tehnologije, zajedno s tehnologijama lokalne mreže (LAN) i neprekidnim povećanjem brzine i kapaciteta, rezultiralo je masovnom migracijom na VoIP implementaciju. Nadalje, trenutna Ethernet infrastruktura u mnogim organizacijama čini da VoIP tranzicija izgleda neozbiljno. No, prije nego što donositelji odluka odu u dubinu VoIP-a, bilo bi pametno istražiti sve troškove bez isključenja sigurnosti.