Innehåll
- Korsa brandväggen
- VoIP-konflikter med nätverksadressöversättning
- Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
- Open Source VoIP-hackverktyg
- Övergång till VoIP
Hämtmat:
VoIP är välkänt för sin kostnadseffektivitet, men säkerhet bör övervägas innan du börjar med en VoIP-implementering.
Kostnadseffektiviteten för VoIP via Voice överlägger utan tvekan nyfikenhet hos företagens beslutsfattare med tanke på hur man strategiskt går fram mot målet om kostnadseffektiv - men ändå robust - röstkommunikation. Men är VoIP-tekniken verkligen den bästa lösningen för nystartade företag eller till och med etablerade företag? Kostnadseffektiviteten är tydligt tydlig, men finns det andra objekt, till exempel säkerhet, som bör beaktas innan en VoIP-implementering? Nätverksarkitekter, systemadministratörer och säkerhetsspecialister skulle vara klokt att redogöra för följande problem innan de hoppar in i den växande världen av VoIP. (Mer information om VoIP-trender finns i The Global VoIP Revolution.)
Korsa brandväggen
När man konfigurerar en organisations nätverksgräns i ett typiskt datanätverk, är ett logiskt första steg att infoga den ordspråkiga 5-tuple-informationen (käll-IP-adress, destinations-IP-adress, källportnummer, destinationsportnummer och protokolltyp) i en paketfiltreringsvägg. De flesta paketfilterande brandväggar undersöker 5-tuple-data, och om vissa kriterier är uppfyllda accepteras eller avvisas paketet. Hittills så bra, eller hur? Inte så snabbt.
De flesta VoIP-implementationer använder ett koncept som kallas dynamisk hamnhandel. Sammanfattningsvis använder de flesta VoIP-protokoll en specifik port för signaländamål. Till exempel använder SIP TCP / UDP-port 5060, men de använder alltid den port som framgångsrikt kan förhandlas mellan två slutenheter för medietrafik. Så i det här fallet, helt enkelt att konfigurera en statslös brandvägg för att förneka eller acceptera trafik som är bunden för ett visst portnummer liknar det att använda ett paraply under en orkan. Du kan blockera en del av regnet från att landa på dig, men i slutändan räcker det bara inte.
Vad händer om en driftig systemadministratör beslutar att lösningen på problemet med dynamisk hamnhandel möjliggör anslutningar till alla möjliga portar som används av VoIP? Inte bara kommer den systemadministratören att ha en lång natt med att analysera tusentals möjliga hamnar, men i det ögonblick hans nätverk bryts kommer han troligen att söka efter en annan sysselsättningskälla.
Vad är svaret? Enligt Kuhn, Walsh & Fries, är ett viktigt första steg för att säkerställa en organisations VoIP-infrastruktur korrekt implementering av en tillförlitlig brandvägg. En statlig brandvägg skiljer sig från en statslös brandvägg genom att den behåller ett slags minne av tidigare händelser, medan en statslös brandvägg behåller absolut inget minne av tidigare händelser. Resonemanget bakom att använda en tillräcklig brandvägg centrerar på dess förmåga att inte bara granska ovan nämnda 5-tuple-information, utan också undersöka applikationsdata. Förmågan att undersöka applikationsdatahuristik är det som gör att brandväggen kan skilja mellan röst- och datatrafik.
Med en etablerad tillräcklig brandvägg är röstinfrastruktur säker, rätt? Om bara nätverkssäkerhet var så enkelt. Säkerhetsadministratörer måste vara medvetna om ett ständigt lurande koncept: brandväggskonfiguration. Beslut, till exempel om ICMP-paket ska tillåtas via en brandvägg eller om en viss paketstorlek bör tillåtas, är helt avgörande när man bestämmer konfigurationen.
VoIP-konflikter med nätverksadressöversättning
Nätverksadressöversättning (NAT) är den process som möjliggör distribution av flera privata IP-adresser bakom en global IP-adress. Så om en administratörs nätverk har 10 noder bakom en router, skulle varje nod ha en IP-adress som motsvarar det interna subnätet som har konfigurerats. Men all trafik som lämnar nätverket verkar komma från en IP-adress - troligen routern.
Övningen av att implementera NAT är extremt populär, eftersom det gör det möjligt för en organisation att spara IP-adressutrymme. Det utgör emellertid inget litet problem när VoIP implementeras i NAT: s nätverk. Dessa problem uppstår inte nödvändigtvis när VoIP-samtal görs i ett internt nätverk. Men problem uppstår när samtal ringer utanför nätverket. Den primära komplikationen uppstår när en NAT-aktiverad router får en intern begäran att kommunicera via VoIP till punkter utanför nätverket; den initierar en skanning av sina NAT-tabeller. När routern letar efter en IP-adress / portnummerkombination för att kartlägga den inkommande IP-adress / portnummerkombinationen kan routern inte ansluta på grund av den dynamiska portallokering som utövas av både routern och VoIP-protokollet.
Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
Du kan inte förbättra dina programmeringsfärdigheter när ingen bryr sig om mjukvarukvalitet.
Förvirrande? Ingen tvekan. Det är denna förvirring som fick Tucker att rekommendera att göra sig av med NAT när VoIP distribueras. Vad sägs om NAT: s adresser rymdbevarande fördelar, frågar du? Sådant är det att ta och ta med att introducera ny teknik i ditt nätverk.
Open Source VoIP-hackverktyg
Om en blivande systemadministratör föredrar att utvärdera sin nätverks säkerhetsställning snarare än att hacker göra det för honom, kan han prova några av följande open source-verktyg. Av de tillgängliga open-source VoIP-hackverktygen är några av de mer populära SiVuS, TFTP-Bruteforce och SIPVicious. SiVuS är som en schweizisk armékniv när det gäller VoIP-hacking. Bland ett av de mer användbara syftena är SIP-skanning, där ett nätverk skannas och alla SIP-aktiverade enheter finns. TFTP är ett VoIP-protokoll som är specifikt för Cisco, och som ni har gissat är TFTP-Bruteforce ett verktyg som används för att gissa TFTP-servrar om möjliga användarnamn och lösenord. SIPVicious är slutligen en verktygssats som används för att räkna upp eventuella SIP-användare i ett nätverk.
Istället för att individuellt ladda ner alla ovan nämnda verktyg kan man prova den senaste distributionen av BackTrack Linux. Dessa verktyg, liksom andra, kan hittas där. (Mer information om BackTrack Linux finns i BackTrack Linux: Penetration Testing Made Easy.)
Övergång till VoIP
Den globala spridningen av VoIP-teknik, i kombination med lokala nätverk (LAN) -teknologier fortsatte ökningen av hastighet och kapacitet, har resulterat i en massmigration till VoIP-implementering. Dessutom gör den nuvarande Ethernet-infrastrukturen i många organisationer VoIP-övergången att verka som en bra-brainer. Innan beslutsfattare tar djupet i VoIP-djupet skulle de dock vara klokt att undersöka alla kostnader utan att utesluta säkerhet.