Saturs
- Šķērso ugunsmūri
- VoIP konfliktē ar tīkla adrešu tulkošanu
- Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi
- Atvērtā koda VoIP hakeru rīki
- Pāreja uz VoIP
Izņemšana:
VoIP ir plaši pazīstama ar tās rentabilitāti, taču pirms sākat VoIP ieviešanu, jāapsver drošība.
Balss pārraides ar interneta protokolu (VoIP) rentabilitāte neapšaubāmi izraisa vismaz korporatīvo lēmumu pieņēmēju zinātkāri, apsverot, kā stratēģiski turpināt virzīties uz rentablas, tomēr spēcīgas balss komunikācijas mērķi. Tomēr, vai VoIP tehnoloģija patiešām ir labākais risinājums jaunizveidotiem uzņēmumiem vai pat jau dibinātiem uzņēmumiem? Izmaksu efektivitāte ir acīmredzami redzama, bet vai ir arī citi elementi, piemēram, drošība, kas būtu jāapsver pirms VoIP ieviešanas? Tīkla arhitektiem, sistēmu administratoriem un drošības speciālistiem būtu prātīgi ņemt vērā šādus jautājumus pirms izlidošanas VoIP jaunajā pasaulē. (Lai uzzinātu vairāk par VoIP tendencēm, skatiet sadaļu Globālā VoIP revolūcija.)
Šķērso ugunsmūri
Konfigurējot organizācijas tīkla robežu tipiskā datu tīklā, loģisks pirmais solis ir sakāmās 5-puple informācijas (avota IP adrese, mērķa IP adrese, avota porta numurs, mērķa porta numurs un protokola tips) ievietošana pakešu filtrēšanas ugunsmūrī. Lielākā daļa pakešu filtrēšanas ugunsmūru pārbauda piecu datu kopu datus, un, ja ir izpildīti noteikti kritēriji, pakete tiek pieņemta vai noraidīta. Pagaidām tik labi, vai ne? Ne tik ātri.
Lielākajā daļā VoIP ieviešanas tiek izmantots jēdziens, kas pazīstams kā dinamiska ostas tirdzniecība. Īsumā - vairumā VoIP protokolu signalizācijas nolūkos tiek izmantots noteikts ports. Piemēram, SIP izmanto TCP / UDP portu 5060, bet viņi vienmēr izmanto jebkuru portu, kuru var veiksmīgi pārrunāt starp divām gala ierīcēm multivides trafikai. Tātad šajā gadījumā bezkontakta ugunsmūra konfigurēšana, lai liegtu vai pieņemtu noteiktu ostas numuru satiksmi, ir līdzīga lietussarga lietošanai viesuļvētras laikā. Iespējams, ka lietus dēļ jūs nokļūsit, taču ar to vien nepietiek.
Ko darīt, ja uzņēmīgs sistēmas administrators nolemj, ka dinamiskās ostas trafika problēmas risinājums ir savienojumu izveide ar visām iespējamām VoIP izmantotajām ostām? Šis sistēmas administrators ne tikai ilgu nakti apskatīs tūkstošiem iespējamo ostu, bet arī brīdī, kad tiks pārkāpts viņa tīkls, viņš, iespējams, meklēs citu nodarbinātības avotu.
Kāda ir atbilde? Pēc Kuhna, Walsh & Fries teiktā, svarīgs pirmais solis organizācijas VoIP infrastruktūras nodrošināšanā ir pareiza ugunsmūra pareiza ieviešana. Valsts statīvs ugunsmūris atšķiras no bezvalstnieka ugunsmūra ar to, ka tas saglabā zināmu atmiņu par pagātnes notikumiem, savukārt bezvalstnieks ugunsmūris absolūti nesaglabā atmiņu par pagātnes notikumiem. Pamatotu ugunsmūra izmantošanas pamatojums ir tās spēja ne tikai pārbaudīt iepriekšminēto piecu elementu informāciju, bet arī pārbaudīt lietojumprogrammu datus. Spēja pārbaudīt lietojumprogrammu datu heiristiku ļauj ugunsmūrim atšķirt balss un datu trafiku.
Ar izveidotu valsts ugunsmūri balss infrastruktūra ir droša, vai ne? Ja tikai tīkla drošība būtu tik vienkārša. Drošības administratoriem ir jāpatur prātā nepārtraukti slēptā ideja: ugunsmūra konfigurācija. Nosakot konfigurāciju, izšķiroši svarīgi ir lēmumi, piemēram, par to, vai atļaut ICMP paketes caur ugunsmūri, vai jāatļauj noteikts paketes lielums.
VoIP konfliktē ar tīkla adrešu tulkošanu
Tīkla adreses tulkošana (NAT) ir process, kas ļauj izvietot vairākas privātas IP adreses aiz vienas globālās IP adreses. Tātad, ja administratora tīklā ir 10 mezgli aiz maršrutētāja, katram mezglam būtu IP adrese, kas atbilst jebkuram konfigurētam iekšējam apakštīklam. Tomēr šķiet, ka visa satiksme, kas iziet no tīkla, nāk no vienas IP adreses - visticamāk, no maršrutētāja.
NAT ieviešanas prakse ir ārkārtīgi populāra, jo tā organizācijai ļauj saglabāt IP adrešu vietu. Tomēr tas nerada nelielu problēmu, kad VoIP tiek ieviests NAT tīklā. Šīs problēmas ne vienmēr rodas, kad VoIP zvani tiek veikti iekšējā tīklā. Tomēr problēmas rodas, ja zvani tiek veikti no tīkla ārpuses. Galvenā komplikācija rodas, kad maršrutētājs, kuram ir iespējota NAT, saņem iekšēju pieprasījumu sazināties, izmantojot VoIP, uz punktiem ārpus tīkla; tas sāk NAT tabulu skenēšanu. Kad maršrutētājs meklē IP adreses / porta numuru kombināciju, lai kartētu uz ienākošās IP adreses / porta numura kombināciju, maršrutētājs nespēj izveidot savienojumu, jo gan maršrutētājs, gan VoIP protokols praktizē dinamisko portu piešķiršanu.
Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi
Jūs nevarat uzlabot savas programmēšanas prasmes, ja nevienam nerūp programmatūras kvalitāte.
Mulsina? Bez šaubām. Tieši šī neskaidrība pamudināja Tucker ieteikt atbrīvoties no NAT ikreiz, kad tiek izvērsta VoIP. Jūs jautājat, kā ar NAT attiecas uz kosmosa saglabāšanas priekšrocībām? Tas ir, dod un ņem, kas saistīts ar jaunas tehnoloģijas ieviešanu jūsu tīklā.
Atvērtā koda VoIP hakeru rīki
Ja sistēmas administrators, kurš vēlas kļūt, dod priekšroku sava tīkla drošības stāvokļa novērtēšanai, nevis hakerim to dara viņa vietā, viņš varētu izmēģināt dažus no šiem atvērtā pirmkoda rīkiem. No pieejamajiem atvērtā koda VoIP uzlaušanas rīkiem daži no populārākajiem ir SiVuS, TFTP-Bruteforce un SIPVicious. SiVuS ir kā Šveices armijas nazis, kad runa ir par VoIP hakeru veikšanu. Viens no tā noderīgākajiem mērķiem ir SIP skenēšana, kurā tiek skenēts tīkls un atrodas visas ierīces, kuras nodrošina SIP. TFTP ir VoIP protokols, kas raksturīgs Cisco, un, kā jūs jau varējāt uzminēt, TFTP-Bruteforce ir rīks, ko izmanto, lai uzminētu TFTP serveru iespējamos lietotājvārdus un paroles. Visbeidzot, SIPVicious ir instrumentu komplekts, ko izmanto, lai uzskaitītu iespējamos SIP lietotājus tīklā.
Tā vietā, lai atsevišķi lejupielādētu visus iepriekš minētos rīkus, var izmēģināt jaunāko BackTrack Linux izplatīšanu. Šie rīki, kā arī citi, var būt atrodami tur. (Lai iegūtu papildinformāciju par BackTrack Linux, skatiet BackTrack Linux: Izplatīšanas pārbaude ir padarīta vienkārša.)
Pāreja uz VoIP
VoIP tehnoloģijas globālā izplatība kopā ar lokālā tīkla (LAN) tehnoloģijām turpina palielināt ātrumu un jaudu, kā rezultātā masveida migrācija notiek uz VoIP ieviešanu. Turklāt pašreizējā Ethernet infrastruktūra daudzās organizācijās VoIP pārejai liekas bez prāta. Tomēr, pirms lēmumu pieņēmēji iegremdējas VoIP dziļumā, būtu prātīgi izpētīt visas izmaksas, neizslēdzot drošību.