VoIP - підключення до вашої мережі? - Технологія

Відеоролик: IP – телефония | Что это и с чего начать?

Зміст

Проходження брандмауера
Конфлікти VoIP з перекладом мережевих адрес
Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
Інструменти злому VoIP з відкритим кодом
Перехід до VoIP

Винос:

VoIP добре відомий своєю економічною ефективністю, але перед тим, як розпочати реалізацію VoIP, слід враховувати безпеку.

Ефективність використання голосу через Інтернет-протокол (VoIP), безсумнівно, викликає цікавість як мінімум з боку керівників корпоративних рішень, розглядаючи, як стратегічно дійти до мети економічно ефективного - але надійного - голосового спілкування. Однак чи справді технологія VoIP найкраще рішення для стартапів, або навіть створених компаній? Ефективність витрат очевидно очевидна, але чи існують інші елементи, такі як безпека, які слід враховувати до впровадження VoIP? Мережеві архітектори, системні адміністратори та спеціалісти з питань безпеки були б розумними враховувати наступні проблеми перед тим, як стрибнути у світ VoIP, що розвивається. (Щоб дізнатися більше про тенденції VoIP, див. Глобальну революцію VoIP.)

Проходження брандмауера

Під час налаштування кордону мережі організацій у типовій мережі передачі даних логічним першим кроком є вставлення поговорної 5-кортової інформації (IP-адреса джерела, IP-адреса джерела, номер вихідного порту, номер порту призначення та тип протоколу) у брандмауер фільтра пакетів. Більшість брандмауерів фільтрації пакетів вивчають дані з 5-ма пакетами, і якщо певні критерії дотримані, пакет приймається або відхиляється. Поки що добре, правда? Не так швидко.

Більшість реалізацій VoIP використовують концепцію, відому як динамічний трафік портів. Коротше кажучи, більшість протоколів VoIP використовують специфічний порт для цілей сигналізації. Наприклад, SIP використовує порт 5060 TCP / UDP, але вони незмінно використовують будь-який порт, який може бути успішно узгоджений між двома кінцевими пристроями для медіа-трафіку. Так, у цьому випадку просто налаштувати брандмауер без стану для заборони або прийняття обмеженого трафіку на певний номер порту схоже на використання парасольки під час урагану. Ви можете заблокувати частину дощу від посадки на вас, але в кінцевому підсумку цього недостатньо.

Що робити, якщо заповзятливий системний адміністратор вирішить, що вирішення проблеми динамічної торгівлі портами дозволяє підключення до всіх можливих портів, які використовує VoIP? Мало того, що системному адміністраторові доведеться довго розбирати тисячі можливих портів, але в момент, коли його мережа буде порушена, він, ймовірно, шукатиме інше джерело роботи.

Яка відповідь? За словами Куна, Walsh & Fries, головним першим кроком у забезпеченні інфраструктури VoIP для організації є належна реалізація потужного брандмауера. Брандмауер штату відрізняється від брандмауера без стану тим, що він зберігає якусь пам’ять про минулі події, тоді як брандмауер без громадянства абсолютно не пам'ятає про минулі події. Обґрунтування використання потужного брандмауера орієнтується на його здатність не тільки досліджувати вищезазначені 5-кратні відомості, але й вивчати дані додатків. Можливість аналізу евристики даних додатків - це те, що дозволяє брандмауеру розрізняти голосовий та трафік даних.

Зі встановленим стаціонарним брандмауером голосова інфраструктура захищена, правильно? Якби тільки безпека мережі була такою простою. Адміністратори безпеки повинні пам’ятати про невпинну концепцію: конфігурацію брандмауера.Рішення, наприклад, дозволити чи не дозволяти пакети ICMP через брандмауер або чи повинен бути дозволений певний розмір пакету, є абсолютно важливими при визначенні конфігурації.

Конфлікти VoIP з перекладом мережевих адрес

Переклад мережевих адрес (NAT) - це процес, який дозволяє розгорнути декілька приватних IP-адрес за однією глобальною IP-адресою. Отже, якщо в мережі адміністратора є 10 вузлів позаду маршрутизатора, кожен вузол матиме IP-адресу, яка відповідає будь-якій внутрішній підмережі. Однак, весь трафік, що виходить з мережі, здається, надходить з однієї IP-адреси - швидше за все, маршрутизатора.

Практика впровадження NAT надзвичайно популярна, оскільки дозволяє організації зберігати ІР-простір. Однак це не створює невеликих проблем, коли VoIP впроваджується в мережі NAT. Ці проблеми не обов'язково виникають, коли VoIP-дзвінки здійснюються у внутрішній мережі. Однак проблеми виникають, коли здійснюються дзвінки з-за меж мережі. Основне ускладнення виникає, коли маршрутизатор з підтримкою NAT отримує внутрішній запит на зв'язок через VoIP з точками поза мережею; він ініціює сканування своїх таблиць NAT. Коли маршрутизатор шукає комбінацію IP-адрес / номер порту для відображення вхідної комбінації IP-адрес / номер порту, маршрутизатор не може встановити з'єднання через динамічне розподіл портів, що практикується як маршрутизатором, так і протоколом VoIP.

Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя

Ви не можете покращити свої навички програмування, коли ніхто не піклується про якість програмного забезпечення.

Заплутано? Без сумніву. Саме ця плутанина спонукала Tucker рекомендувати відмовлятися від NAT, коли VoIP розгорнуто. Як ви питаєте, що стосується переваг НАТО щодо збереження простору? Такий підхід і впровадження нових технологій у вашу мережу.

Інструменти злому VoIP з відкритим кодом

Якщо починаючий системний адміністратор вважає за краще оцінювати свою безпеку в мережі, а не змусити хакера зробити це для нього, він може спробувати деякі з наступних інструментів з відкритим кодом. Серед доступних інструментів для злому VoIP з відкритим кодом, деякі з найбільш популярних - SiVuS, TFTP-Bruteforce та SIPVicious. SiVuS - це як нож швейцарської армії, коли справа доходить до злому VoIP. Однією з його більш корисних цілей є SIP-сканування, де сканується мережа та розміщені всі пристрої з підтримкою SIP. TFTP - це протокол VoIP, специфічний для Cisco, і, як ви могли здогадатися, TFTP-Bruteforce - це інструмент, який використовується для відгадування TFTP-серверів можливих імен користувачів та паролів. Нарешті, SIPVicious - це інструментарій, який використовується для перерахування можливих користувачів SIP в мережі.

Замість того, щоб індивідуально завантажувати всі вищезгадані інструменти, можна спробувати останню дистрибуцію BackTrack Linux. Ці інструменти, як і інші, можна знайти там. (Докладніше про BackTrack Linux див. У BackTrack Linux: Тестування на проникнення легко.)

Перехід до VoIP

Світове розповсюдження технології VoIP у поєднанні з технологіями локальної мережі (LAN) продовжувало збільшувати швидкість та потужність, призвело до масової міграції до впровадження VoIP. Крім того, поточна інфраструктура Ethernet у багатьох організаціях робить перехід через VoIP здається непродуманим. Однак перш ніж ті, хто приймає рішення, занурюються в глибину VoIP, було б розумно вивчити всі витрати, не виключаючи безпеки.