Inhoud
- De firewall doorlopen
- VoIP conflicteert met netwerkadresvertaling
- Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
- Open source VoIP-hacktools
- Overgang naar VoIP
Afhaal:
VoIP staat bekend om zijn kosteneffectiviteit, maar beveiliging moet worden overwogen voordat u aan een VoIP-implementatie begint.
De kosteneffectiviteit van Voice over Internet Protocol (VoIP) roept ongetwijfeld minimaal nieuwsgierigheid op bij zakelijke besluitvormers die overwegen hoe ze strategisch kunnen doorgaan naar het doel van kosteneffectieve - maar toch robuuste - spraakcommunicatie. Is VoIP-technologie echter echt de beste oplossing voor startups of zelfs gevestigde bedrijven? De kosteneffectiviteit is duidelijk duidelijk, maar zijn er andere zaken, zoals beveiliging, die moeten worden overwogen voorafgaand aan een VoIP-implementatie? Netwerkarchitecten, systeembeheerders en beveiligingsspecialisten zouden verstandig zijn om de volgende problemen te verklaren voordat ze de opkomende wereld van VoIP betreden. (Zie De wereldwijde VoIP-revolutie voor meer informatie over VoIP-trends.)
De firewall doorlopen
Bij het configureren van de netwerkgrens van een organisatie in een typisch datanetwerk, is een logische eerste stap het invoegen van de spreekwoordelijke 5-tuple informatie (bron-IP-adres, bestemming IP-adres, bronpoortnummer, bestemmingspoortnummer en protocoltype) in een pakketfilterende firewall. De meeste pakketfiltering-firewalls onderzoeken de 5-tuple-gegevens en als aan bepaalde criteria wordt voldaan, wordt het pakket geaccepteerd of afgewezen. Tot nu toe zo goed, toch? Niet zo snel.
De meeste VoIP-implementaties gebruiken een concept dat bekend staat als dynamische port trafficking. Kortom, de meeste VoIP-protocollen gebruiken een specifieke poort voor signaleringsdoeleinden. SIP maakt bijvoorbeeld gebruik van TCP / UDP-poort 5060, maar deze maakt steevast gebruik van elke poort die met succes kan worden onderhandeld tussen twee eindapparaten voor mediaverkeer. Dus in dit geval is het eenvoudig configureren van een stateless firewall voor het weigeren of accepteren van verkeer dat is gebonden aan een bepaald poortnummer vergelijkbaar met het gebruik van een paraplu tijdens een orkaan. Misschien blokkeer je wat regen op je, maar uiteindelijk is dat niet genoeg.
Wat als een ondernemende systeembeheerder besluit dat de tijdelijke oplossing voor het probleem van de dynamische poorthandel verbindingen mogelijk maakt met alle mogelijke poorten die door VoIP worden gebruikt? Niet alleen zal die systeembeheerder een lange nacht doorlopen met duizenden mogelijke poorten, maar op het moment dat zijn netwerk wordt verbroken, zal hij waarschijnlijk op zoek zijn naar een andere bron van werkgelegenheid.
Wat is het antwoord? Volgens Kuhn, Walsh & Fries is een goede eerste stap bij het beveiligen van de VoIP-infrastructuur van een organisatie de juiste implementatie van een stateful firewall. Een stateful firewall verschilt van een stateless firewall doordat het een soort geheugen van gebeurtenissen uit het verleden bewaart, terwijl een stateless firewall absoluut geen geheugen van gebeurtenissen uit het verleden behoudt. De redenering achter het gebruik van een stateful firewall is gebaseerd op het vermogen om niet alleen de bovengenoemde 5-tuple-informatie te onderzoeken, maar ook toepassingsgegevens te onderzoeken. Dankzij de mogelijkheid om heuristiek van applicatiegegevens te onderzoeken, kan de firewall onderscheid maken tussen spraak- en gegevensverkeer.
Met een gevestigde stateful firewall is spraakinfrastructuur veilig, correct? Was de netwerkbeveiliging maar zo eenvoudig. Beveiligingsbeheerders moeten zich bewust blijven van een altijd sluimerend concept: firewall-configuratie. Beslissingen, zoals het al dan niet toestaan van ICMP-pakketten via een firewall, of een bepaalde pakketgrootte moet worden toegestaan, zijn absoluut cruciaal bij het bepalen van de configuratie.
VoIP conflicteert met netwerkadresvertaling
Network address translation (NAT) is het proces waarmee meerdere private IP-adressen kunnen worden gebruikt achter één wereldwijd IP-adres. Dus als het netwerk van een beheerder 10 knooppunten achter een router heeft, zou elk knooppunt een IP-adres hebben dat overeenkomt met het interne subnet dat is geconfigureerd. Al het verkeer dat het netwerk verlaat, lijkt echter afkomstig te zijn van één IP-adres - hoogstwaarschijnlijk de router.
De praktijk van het implementeren van NAT is enorm populair, omdat het een organisatie in staat stelt IP-adresruimte te besparen. Het vormt echter geen klein probleem wanneer VoIP wordt geïmplementeerd op het NAT-netwerk. Deze problemen doen zich niet noodzakelijkerwijs voor wanneer VoIP-gesprekken binnen een intern netwerk worden gevoerd. Er doen zich echter wel problemen voor wanneer buiten het netwerk wordt gebeld. De primaire complicatie ontstaat wanneer een NAT-compatibele router een intern verzoek ontvangt om via VoIP te communiceren naar punten buiten het netwerk; het start een scan van zijn NAT-tabellen. Wanneer de router op zoek is naar een combinatie van IP-adres / poortnummer om toe te wijzen aan de inkomende combinatie van IP-adres / poortnummer, kan de router geen verbinding maken vanwege de dynamische poorttoewijzing die wordt toegepast door zowel de router als het VoIP-protocol.
Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
Je kunt je programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.
Verwarrend? Ongetwijfeld. Het is deze verwarring die Tucker ertoe heeft aangezet om NAT af te schaffen wanneer VoIP wordt ingezet. Hoe zit het met NAT's die ruimtebesparende voordelen behandelen, vraagt u? Dat is het geven en nemen van nieuwe technologie in uw netwerk.
Open source VoIP-hacktools
Als een aspirant-systeembeheerder er de voorkeur aan geeft de beveiligingspositie van zijn netwerk te beoordelen in plaats van een hacker het voor hem te laten doen, kan hij enkele van de volgende open source-tools proberen. Van de beschikbare open-source VoIP-hacktools zijn enkele van de meest populaire SiVuS, TFTP-Bruteforce en SIPVicious. SiVuS is als een Zwitsers zakmes als het gaat om VoIP-hacking. Een van de meer bruikbare doeleinden is SIP-scannen, waarbij een netwerk wordt gescand en alle SIP-apparaten zich bevinden. TFTP is een VoIP-protocol dat specifiek is voor Cisco, en, zoals u misschien al geraden heeft, is TFTP-Bruteforce een hulpmiddel dat wordt gebruikt om mogelijke gebruikersnamen en wachtwoorden van een TFTP-server te raden. Ten slotte is SIPVicious een toolkit die wordt gebruikt om mogelijke SIP-gebruikers binnen een netwerk te inventariseren.
In plaats van alle bovengenoemde tools afzonderlijk te downloaden, zou je de nieuwste distributie van BackTrack Linux kunnen proberen. Deze tools, evenals andere, zijn daar te vinden. (Zie BackTrack Linux: Penetratietesten gemakkelijk gemaakt voor meer informatie over BackTrack Linux.)
Overgang naar VoIP
De wereldwijde toename van VoIP-technologie, in combinatie met LAN-technologie (Local Area Network), heeft de snelheid en capaciteit voortdurend verhoogd en heeft geresulteerd in een massale migratie naar VoIP-implementatie. Verder maakt de huidige Ethernet-infrastructuur in veel organisaties de VoIP-overgang een no-brainer. Voordat besluitvormers de diepte van VoIP in duiken, is het echter verstandig om alle kosten te onderzoeken zonder beveiliging uit te sluiten.