Περιεχόμενο
- Μετακίνηση του τείχους προστασίας
- Διαφωνίες VoIP με μετάφραση διευθύνσεων δικτύου
- No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας
- Εργαλεία ανοιχτού κώδικα VoIP Hacking
- Μετάβαση σε VoIP
Πάρε μακριά:
Το VoIP είναι γνωστό για την αποτελεσματικότητα του κόστους, αλλά η ασφάλεια πρέπει να εξεταστεί πριν ξεκινήσετε μια εφαρμογή VoIP.
Η οικονομική αποδοτικότητα του Voice over Internet Protocol (VoIP) αναμφισβήτητα προκαλεί, τουλάχιστον, την περιέργεια από μέρους των εταιρικών φορέων λήψης αποφάσεων, οι οποίοι σκέφτονται πώς να προχωρήσουν στρατηγικά προς το στόχο της οικονομικά αποδοτικής - αλλά ισχυρής - φωνητικής επικοινωνίας. Ωστόσο, η τεχνολογία VoIP είναι πραγματικά η καλύτερη λύση για τις νεοσύστατες εταιρείες ή ακόμη και τις καθιερωμένες εταιρείες; Η αποτελεσματικότητα του κόστους είναι σαφώς εμφανής, αλλά υπάρχουν άλλα στοιχεία, όπως η ασφάλεια, που πρέπει να ληφθούν υπόψη πριν από την εφαρμογή VoIP; Οι αρχιτέκτονες δικτύων, οι διαχειριστές συστημάτων και οι ειδικοί ασφαλείας θα ήταν συνετό να λάβουν υπόψη τα ακόλουθα ζητήματα πριν από τη μετάβαση στον αναδυόμενο κόσμο του VoIP. (Για να μάθετε περισσότερα σχετικά με τις τάσεις VoIP, ανατρέξτε στην ενότητα Η παγκόσμια επανάσταση VoIP.)
Μετακίνηση του τείχους προστασίας
Κατά τη διαμόρφωση ενός ορίου δικτύου οργανισμού σε ένα τυπικό δίκτυο δεδομένων, ένα λογικό πρώτο βήμα εισάγει τις παροιμιώδεις πληροφορίες 5 πλειάδων (διεύθυνση IP προέλευσης, διεύθυνση IP προορισμού, αριθμός θύρας προέλευσης, αριθμός θύρας προορισμού και τύπος πρωτοκόλλου) σε ένα τείχος προστασίας φιλτραρίσματος πακέτων. Τα τείχη προστασίας των περισσότερων φίλτρων για τα πακέτα εξετάζουν τα δεδομένα 5-πλειδίων και εάν πληρούνται ορισμένα κριτήρια, το πακέτο είτε γίνεται αποδεκτό είτε απορρίπτεται. Μέχρι στιγμής τόσο καλά, σωστά; Οχι τόσο γρήγορα.
Οι περισσότερες εφαρμογές VoIP χρησιμοποιούν μια έννοια γνωστή ως δυναμική διακίνηση λιμένων. Με λίγα λόγια, τα περισσότερα πρωτόκολλα VoIP χρησιμοποιούν μια συγκεκριμένη θύρα για σκοπούς σηματοδότησης. Για παράδειγμα, το SIP χρησιμοποιεί τη θύρα TCP / UDP 5060, αλλά πάντοτε χρησιμοποιεί οποιαδήποτε θύρα μπορεί να διαπραγματευτεί επιτυχώς μεταξύ δύο τελικών συσκευών για κίνηση μέσων. Έτσι, σε αυτή την περίπτωση, η απλή διαμόρφωση ενός απροστάτευτου τείχους προστασίας για να αρνηθεί ή να αποδεχθεί την κίνηση που είναι δεσμευμένη για έναν συγκεκριμένο αριθμό θύρας είναι παρόμοια με τη χρήση ομπρέλας κατά τη διάρκεια ενός τυφώνα. Μπορεί να εμποδίσετε κάποια από τη βροχή από την προσγείωση σε σας, αλλά τελικά, αυτό δεν αρκεί.
Τι θα συμβεί αν ένας επιχειρηματικός διαχειριστής συστήματος αποφασίσει ότι η λύση για το πρόβλημα της δυναμικής διακίνησης θύρας επιτρέπει τη σύνδεση με όλες τις πιθανές θύρες που χρησιμοποιεί το VoIP; Όχι μόνο ο διαχειριστής του συστήματος θα είναι σε μια μακρά νύχτα της ανάλυσης μέσω χιλιάδων πιθανών λιμένων, αλλά τη στιγμή που το δίκτυό του παραβιάζεται, πιθανότατα θα ψάξει για άλλη πηγή απασχόλησης.
Ποια είναι η απάντηση? Σύμφωνα με τον κ. Kuhn, Walsh & Fries, ένα σημαντικό πρώτο βήμα στη διασφάλιση της υποδομής VoIP ενός οργανισμού είναι η σωστή εφαρμογή ενός κρατικού τείχους προστασίας. Ένα κρατικό τείχος προστασίας διαφέρει από ένα απροστάσιο απέναντι στο τείχος προστασίας, καθώς διατηρεί κάποια μνήμη για παρελθόντα γεγονότα, ενώ ένα απροστάσιο απέναντι στο τείχος προστασίας δεν διατηρεί απολύτως καμία μνήμη για παρελθόντα γεγονότα. Ο συλλογισμός πίσω από τη χρήση ενός κρατικού τείχους προστασίας επικεντρώνεται στην ικανότητά του όχι μόνο να εξετάσει τις προαναφερθείσες 5-tuple πληροφορίες, αλλά και να εξετάσει τα δεδομένα εφαρμογής. Η δυνατότητα εξέτασης της heuristics δεδομένων εφαρμογών είναι αυτό που επιτρέπει στο τείχος προστασίας να διαφοροποιεί την κίνηση φωνής και δεδομένων.
Με ένα καθιερωμένο τείχος προστασίας, η φωνητική υποδομή είναι ασφαλής, σωστή; Εάν μόνο η ασφάλεια του δικτύου ήταν τόσο απλή. Οι διαχειριστές ασφαλείας πρέπει να παραμείνουν ενήμεροι για μια διαρκώς αντιληπτή έννοια: διαμόρφωση τείχους προστασίας. Οι αποφάσεις, όπως το αν επιτρέπεται ή όχι να επιτρέπονται τα πακέτα ICMP μέσω ενός τείχους προστασίας ή εάν ένα συγκεκριμένο μέγεθος πακέτου πρέπει να επιτρέπεται, είναι απολύτως κρίσιμα για τον προσδιορισμό της διαμόρφωσης.
Διαφωνίες VoIP με μετάφραση διευθύνσεων δικτύου
Η μετάφραση διεύθυνσης δικτύου (NAT) είναι η διαδικασία που επιτρέπει την ανάπτυξη πολλών ιδιωτικών διευθύνσεων IP πίσω από μια παγκόσμια διεύθυνση ΙΡ. Επομένως, εάν ένα δίκτυο διαχειριστή έχει 10 κόμβους πίσω από ένα δρομολογητή, κάθε κόμβος θα έχει μια διεύθυνση IP που αντιστοιχεί σε οποιοδήποτε εσωτερικό υποδίκτυο έχει ρυθμιστεί. Ωστόσο, όλη η κυκλοφορία που εξέρχεται από το δίκτυο φαίνεται να προέρχεται από μια διεύθυνση IP - κατά πάσα πιθανότητα το δρομολογητή.
Η πρακτική της εφαρμογής NAT είναι εξαιρετικά δημοφιλής, καθώς επιτρέπει σε έναν οργανισμό να διατηρεί τον χώρο διεύθυνσης IP. Ωστόσο, δεν δημιουργεί κανένα μικρό πρόβλημα όταν το VoIP υλοποιείται στο δίκτυο NAT'd. Αυτά τα προβλήματα δεν προκύπτουν αναγκαστικά όταν πραγματοποιούνται κλήσεις VoIP σε εσωτερικό δίκτυο. Ωστόσο, προκύπτουν προβλήματα όταν πραγματοποιούνται κλήσεις από το εξωτερικό του δικτύου. Η κύρια επιπλοκή προκύπτει όταν ένας δρομολογητής με δυνατότητα NAT λαμβάνει ένα εσωτερικό αίτημα για επικοινωνία μέσω VoIP σε σημεία εκτός του δικτύου. ξεκινά μια σάρωση των NAT πινάκων του. Όταν ο δρομολογητής αναζητά έναν συνδυασμό διεύθυνσης IP / αριθμού θύρας για να αντιστοιχίσει τον συνδυασμό εισερχόμενης διεύθυνσης IP / θύρας, ο δρομολογητής δεν μπορεί να πραγματοποιήσει τη σύνδεση λόγω της δυναμικής κατανομής θύρας που εφαρμόζει τόσο ο δρομολογητής όσο και το πρωτόκολλο VoIP.
No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας
Δεν μπορείτε να βελτιώσετε τις δεξιότητες προγραμματισμού σας όταν κανείς δεν ενδιαφέρεται για την ποιότητα του λογισμικού.
Μπερδεμένος; ΧΩΡΙΣ ΑΜΦΙΒΟΛΙΑ. Αυτή είναι η σύγχυση που ώθησε τον Tucker να συστήσει να απομακρυνθεί το NAT όποτε χρησιμοποιείται το VoIP. Τι γίνεται με τα NATs διευθετήσουν τα οφέλη διατήρησης χώρου, ρωτάτε; Αυτό είναι το give-and-take που σχετίζεται με την εισαγωγή της νέας τεχνολογίας στο δίκτυό σας.
Εργαλεία ανοιχτού κώδικα VoIP Hacking
Εάν ένας επίδοξος διαχειριστής συστήματος προτιμά να εκτιμήσει την στάση του σχετικά με την ασφάλεια των δικτύων του και όχι να τον κάνει ένας χάκερ, μπορεί να δοκιμάσει κάποια από τα ακόλουθα εργαλεία ανοιχτού κώδικα. Από τα διαθέσιμα εργαλεία ανοικτής πηγής VoIP hacking, μερικά από τα πιο δημοφιλή είναι SiVuS, TFTP-Bruteforce και SIPVicious. Το SiVuS είναι σαν ένα ελβετικό μαχαίρι στρατού όταν πρόκειται για hacking VoIP. Μεταξύ των πιο χρήσιμων σκοπών του είναι η σάρωση SIP, όπου γίνεται σάρωση ενός δικτύου και εντοπίζονται όλες οι συσκευές με δυνατότητα SIP. Το TFTP είναι ένα πρωτόκολλο VoIP ειδικά για τη Cisco και, όπως ίσως έχετε υποθέσει, το TFTP-Bruteforce είναι ένα εργαλείο που χρησιμοποιείται για να μαντέψει πιθανό όνομα χρήστη και κωδικούς πρόσβασης σε διακομιστές TFTP. Τέλος, το SIPVicious είναι ένα σύνολο εργαλείων που χρησιμοποιείται για την απαρίθμηση πιθανών χρηστών SIP μέσα σε ένα δίκτυο.
Αντί να κατεβάσετε μεμονωμένα όλα τα παραπάνω εργαλεία, θα μπορούσατε να δοκιμάσετε την τελευταία διανομή του BackTrack Linux. Αυτά τα εργαλεία, καθώς και άλλα, μπορούν να βρεθούν εκεί. (Για περισσότερες πληροφορίες σχετικά με το BackTrack Linux, ανατρέξτε στο BackTrack Linux: Η δοκιμή διείσδυσης έγινε εύκολη.)
Μετάβαση σε VoIP
Ο παγκόσμιος πολλαπλασιασμός της τεχνολογίας VoIP, σε συνδυασμό με τους τεχνολογικούς τοπικούς δικτυακούς τόπους (LAN), συνέχισε την αύξηση της ταχύτητας και της χωρητικότητας, οδήγησε σε μαζική μετανάστευση στην εφαρμογή VoIP. Επιπλέον, η τρέχουσα υποδομή Ethernet σε πολλούς οργανισμούς καθιστά τη μετάβαση VoIP να φαίνεται σαν μια μη-brainer. Ωστόσο, πριν οι υπεύθυνοι λήψης αποφάσεων βυθιστούν στα βάθη του VoIP, θα ήταν συνετό να διερευνήσουν όλες τις δαπάνες χωρίς να αποκλείσουν την ασφάλεια.