Содержание
- Обход брандмауэра
- VoIP конфликтует с трансляцией сетевых адресов
- Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
- Инструменты для взлома VoIP с открытым исходным кодом
- Переход на VoIP
вынос:
VoIP хорошо известен своей экономической эффективностью, но прежде чем приступить к реализации VoIP, следует подумать о безопасности.
Экономическая эффективность передачи голоса по Интернет-протоколу (VoIP), несомненно, вызывает, как минимум, любопытство со стороны лиц, принимающих корпоративные решения, которые рассматривают, как стратегически продвинуться к цели рентабельной, но надежной голосовой связи. Однако действительно ли технология VoIP является лучшим решением для стартапов или даже для уже существующих компаний? Экономическая эффективность очевидна, но есть ли другие вопросы, такие как безопасность, которые следует учитывать до внедрения VoIP? Сетевые архитекторы, системные администраторы и специалисты по безопасности должны были бы учесть следующие проблемы, прежде чем прыгнуть в развивающийся мир VoIP. (Чтобы узнать больше о тенденциях VoIP, см. Глобальная революция VoIP.)
Обход брандмауэра
При настройке границы сети организации в типичной сети передачи данных логичным первым шагом является вставка пресловутой 5-кортежной информации (IP-адрес источника, IP-адрес назначения, номер порта источника, номер порта назначения и тип протокола) в межсетевой экран с фильтрацией пакетов. Большинство межсетевых экранов с фильтрацией пакетов проверяют данные с 5 кортежами, и, если определенные критерии удовлетворяются, пакет либо принимается, либо отклоняется. Пока все хорошо, правда? Не так быстро.
В большинстве реализаций VoIP используется концепция, известная как динамическая передача портов. Короче говоря, большинство протоколов VoIP используют определенный порт для целей сигнализации. Например, SIP использует порт 5060 TCP / UDP, но они неизменно используют любой порт, который может быть успешно согласован между двумя конечными устройствами для трафика мультимедиа. Таким образом, в этом случае простая настройка межсетевого экрана без сохранения состояния для запрета или принятия трафика, привязанного к определенному номеру порта, аналогична использованию зонтика во время урагана. Вы можете предотвратить попадание дождя на себя, но в конечном итоге этого недостаточно.
Что если предприимчивый системный администратор решит, что обходной путь к проблеме динамического трафика портов позволяет подключаться ко всем возможным портам, используемым VoIP? Системному администратору не только придется долго разбирать тысячи возможных портов, но в момент взлома его сети он, вероятно, будет искать другой источник работы.
Какой ответ? По словам Куна, Уолша и Фриса, важным первым шагом в защите инфраструктуры VoIP организации является правильное внедрение межсетевого экрана с отслеживанием состояния. Брандмауэр с сохранением состояния отличается от брандмауэра без сохранения состояния тем, что он сохраняет некоторую память о прошлых событиях, тогда как брандмауэр без сохранения состояния абсолютно не сохраняет памяти о прошлых событиях. Причиной использования брандмауэра с отслеживанием состояния является его способность не только проверять вышеупомянутую информацию из 5-ти кортежей, но и проверять данные приложений. Способность исследовать эвристику данных приложения позволяет межсетевому экрану различать голосовой трафик и трафик данных.
С установленным межсетевым экраном с сохранением состояния голосовая инфраструктура безопасна, верно? Если бы только безопасность сети была такой простой. Администраторы безопасности должны помнить о постоянно скрывающейся концепции: настройке брандмауэра. Решения, например, следует ли разрешать пакеты ICMP через брандмауэр или следует разрешить определенный размер пакета, являются абсолютно необходимыми при определении конфигурации.
VoIP конфликтует с трансляцией сетевых адресов
Трансляция сетевых адресов (NAT) - это процесс, который позволяет развертывать несколько частных IP-адресов за одним глобальным IP-адресом. Таким образом, если в сети администратора имеется 10 узлов за маршрутизатором, каждый узел будет иметь IP-адрес, который соответствует любой внутренней подсети, которая была настроена. Тем не менее, весь трафик, покидающий сеть, будет казаться поступающим с одного IP-адреса - скорее всего, маршрутизатора.
Практика внедрения NAT чрезвычайно популярна, поскольку она позволяет организации сохранять пространство IP-адресов. Тем не менее, это создает небольшую проблему, когда VoIP внедряется в сети NAT. Эти проблемы не обязательно возникают, когда звонки VoIP осуществляются во внутренней сети. Однако проблемы возникают, когда звонки осуществляются извне сети. Основное осложнение возникает, когда маршрутизатор с поддержкой NAT получает внутренний запрос для связи через VoIP с точками за пределами сети; он инициирует сканирование своих таблиц NAT. Когда маршрутизатор ищет комбинацию IP-адреса / номера порта для сопоставления с комбинацией входящего IP-адреса / номера порта, маршрутизатор не может установить соединение из-за динамического распределения портов, практикуемого как маршрутизатором, так и протоколом VoIP.
Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
Вы не можете улучшить свои навыки программирования, когда никто не заботится о качестве программного обеспечения.
Смешение? Без сомнения. Именно эта путаница побудила Такера рекомендовать покончить с NAT при каждом развертывании VoIP. Вы спросите, а как насчет преимуществ экономии пространства в NAT? Таково взаимное влияние при внедрении новых технологий в вашу сеть.
Инструменты для взлома VoIP с открытым исходным кодом
Если начинающий системный администратор предпочитает оценивать состояние своей безопасности в сети, а не делать за него хакера, он может попробовать некоторые из следующих инструментов с открытым исходным кодом. Из доступных инструментов взлома VoIP с открытым исходным кодом некоторые из наиболее популярных - SiVuS, TFTP-Bruteforce и SIPVicious. SiVuS походит на швейцарский армейский нож, когда дело доходит до взлома VoIP. Одной из его более полезных целей является сканирование SIP, при котором сканируется сеть и обнаруживаются все устройства с поддержкой SIP. TFTP - это протокол VoIP, специфичный для Cisco, и, как вы уже догадались, TFTP-Bruteforce - это инструмент, используемый для угадывания TFTP-серверами возможных имен пользователей и паролей. Наконец, SIPVicious - это инструментарий, используемый для перечисления возможных пользователей SIP в сети.
Вместо индивидуальной загрузки всех вышеперечисленных инструментов можно попробовать последнюю версию BackTrack Linux. Эти инструменты, как и другие, можно найти там. (Подробнее о BackTrack Linux см. BackTrack Linux: тестирование на проникновение стало проще.)
Переход на VoIP
Глобальное распространение технологии VoIP в сочетании с технологиями локальной вычислительной сети (LAN), продолжающими увеличиваться в скорости и пропускной способности, привело к массовой миграции на внедрение VoIP. Кроме того, современная инфраструктура Ethernet во многих организациях превращает переход VoIP в простую задачу. Однако, прежде чем лица, принимающие решения, окунуться в глубины VoIP, им было бы разумно изучить все расходы, не исключая безопасность.