Съдържание
- Преминаване на защитната стена
- VoIP конфликти с превод на мрежови адреси
- Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви
- Open Source VoIP хакерски инструменти
- Преминаване към VoIP
За вкъщи:
VoIP е добре известен със своята икономическа ефективност, но трябва да се обмисли сигурността, преди да започнете внедряване на VoIP.
Ефективността на разходите за глас през интернет протокол (VoIP) несъмнено предизвиква любопитство от страна на лицата, вземащи решения на корпорацията, обмисляйки как да стратегически да пристъпят към целта на рентабилна - но същевременно здрава - гласова комуникация. Дали технологията VoIP наистина е най-доброто решение за стартиращи фирми или дори за утвърдени компании? Ефективността на разходите е ясно очевидна, но има ли други елементи, като сигурност, които трябва да бъдат разгледани преди внедряването на VoIP? Мрежовите архитекти, системните администратори и специалистите по сигурността би било разумно да отчитат следните проблеми, преди да скочат в нововъзникващия свят на VoIP. (За да научите повече за VoIP тенденциите, вижте Глобалната VoIP революция.)
Преминаване на защитната стена
Когато конфигурирате границата на организационната мрежа в типична мрежа за данни, логична първа стъпка е вмъкване на пословичната 5-кратна информация (IP адрес на източника, IP адрес на дестинация, номер на изходния порт, номер на порта на местоназначение и тип протокол) в защитна стена за филтриране на пакет. Повечето защитни стени за филтриране на пакети изследват данните с 5 пакета и ако определени критерии са изпълнени, пакетът се приема или отхвърля. Засега толкова добре, нали? Не толкова бързо.
Повечето VoIP реализации използват концепция, известна като динамичен трафик на пристанища. С две думи, повечето VoIP протоколи използват конкретен порт за сигнализиране. Например, SIP използва TCP / UDP порт 5060, но те неизменно използват какъвто и да е порт, който може да бъде успешно договарян между две крайни устройства за медиен трафик. Така че в този случай просто конфигурирането на защитна стена без състояние да отказва или приема трафик, ограничен за определен номер на порт, е подобно на използването на чадър по време на ураган. Може да блокирате част от дъжда да не кацне върху вас, но в крайна сметка това просто не е достатъчно.
Какво става, ако предприемчивият системен администратор реши, че решението на проблема с динамичния трафик на порт позволява връзки към всички възможни портове, използвани от VoIP? Системният администратор не само ще бъде в продължителна нощ на анализиране на хиляди възможни портове, но в момента, в който мрежата му бъде нарушена, той вероятно ще търси друг източник на работа.
Какъв е отговорът? Според Kuhn, Walsh & Fries, основна първа стъпка към осигуряването на VoIP инфраструктура на организацията е правилното внедряване на мощна защитна стена. Защитната стена на състоянието се различава от защитната стена без състояние по това, че запазва някакъв вид памет за минали събития, докато защитната стена без състояние запазва абсолютно никаква памет за минали събития. Разсъжденията за използването на състоятелна защитна стена се съсредоточават върху нейната способност не само да изследва гореспоменатата информация за 5-кратни, но и да изследва данните на приложението. Способността да се изследва евристиката на данните за приложенията е това, което позволява на защитната стена да разграничава гласовия и трафика на данни.
С утвърдена защитна стена със статут гласовата инфраструктура е сигурна, нали? Ако само мрежовата сигурност беше толкова проста. Администраторите по сигурността трябва да имат предвид непрекъснато дебнещата концепция: конфигурация на защитната стена. Решенията, като например дали да се разреши ICMP пакетите през защитна стена или ако трябва да се разреши определен размер на пакетите, са абсолютно решаващи при определянето на конфигурацията.
VoIP конфликти с превод на мрежови адреси
Превод на мрежови адреси (NAT) е процесът, който позволява разполагането на множество частни IP адреси зад един глобален IP адрес. Така че, ако администраторската мрежа има 10 възли зад рутер, всеки възел ще има IP адрес, който съответства на каквато вътрешна подмрежа е конфигурирана. Обаче изглежда, че целият трафик, напускащ мрежата, идва от един IP адрес - най-вероятно рутера.
Практиката за прилагане на NAT е изключително популярна, тъй като позволява на една организация да запази IP адресното пространство. Това обаче не създава малък проблем, когато VoIP се осъществява в NAT мрежата. Тези проблеми не се появяват непременно, когато VoIP повикванията се извършват във вътрешна мрежа. Проблеми обаче възникват, когато се правят повиквания извън мрежата. Първичното усложнение възниква, когато NAT-активиран рутер получи вътрешна заявка за комуникация чрез VoIP до точки извън мрежата; инициира сканиране на своите NAT таблици. Когато маршрутизаторът търси комбинация от IP адрес / номер на порт, която да се свърже с входящия IP адрес / комбинация от номера на портове, маршрутизаторът не може да осъществи връзката поради динамичното разпределение на портове, практикувано както от маршрутизатора, така и от VoIP протокола.
Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви
Не можете да подобрите уменията си за програмиране, когато никой не се интересува от качеството на софтуера.
Объркването? Без съмнение. Именно това объркване подтикна Tucker да препоръча прекратяване на NAT, когато VoIP е внедрен. Какво ще кажете за NAT-адресите от ползите за запазване на пространството? Такъв е свързаният с въвеждането на нови технологии във вашата мрежа.
Open Source VoIP хакерски инструменти
Ако амбициозният системен администратор предпочита да оцени позицията си за сигурност на мрежата, вместо да накара хакер да го направи вместо него, той може да опита някои от следните инструменти с отворен код. От наличните инструменти за хакерство с отворен код, някои от по-популярните са SiVuS, TFTP-Bruteforce и SIPVicious. SiVuS е като нож на швейцарската армия, когато става дума за хакерство на VoIP. Сред едно от по-полезните му цели е SIP сканиране, където се сканира мрежа и се намират всички устройства с активиран SIP. TFTP е специфичен за Cisco протокол VoIP и, както вероятно се досещате, TFTP-Bruteforce е инструмент, използван за познаване на възможни потребителски имена и пароли на TFTP сървъри. И накрая, SIPVicious е инструментариум, използван за изброяване на възможни SIP потребители в мрежа.
Вместо да изтегляте индивидуално всички горепосочени инструменти, може да опитате най-новата дистрибуция на BackTrack Linux. Тези инструменти, както и други, може да се намерят там. (За повече информация за BackTrack Linux, вижте BackTrack Linux: Тестването на проникване става лесно.)
Преминаване към VoIP
Глобалното разпространение на VoIP технологията, съчетано с технологиите на локалната мрежа (LAN), непрекъснатото увеличаване на скоростта и капацитета, доведе до масово преминаване към внедряване на VoIP. Освен това настоящата инфраструктура на Ethernet в много организации прави VoIP прехода да изглежда като не-мозъчен. Преди обаче лицата, вземащи решения, да се потопят в дълбините на VoIP, би било разумно да проучат всички разходи, без да изключват сигурността.