![View Smartphone Traffic with Wireshark on the Same Network [Tutorial]](https://i.ytimg.com/vi/Hl0IpoS503A/hqdefault.jpg)
Vsebina
- Prehod po požarnem zidu
- VoIP konflikti s prevajanjem omrežnih naslovov
- Brez napak, brez stresa - vaš korak za korakom vodnik za ustvarjanje programske opreme, ki spreminja življenje, ne da bi vam uničila življenje
- Orodja za odpiranje VoIP z odprtim kodom
- Prehod na VoIP
Odvzem:
VoIP je dobro znan po stroškovni učinkovitosti, vendar je treba razmisliti o varnosti, preden se lotite implementacije VoIP-a.
Stroškovna učinkovitost glasov preko internetnega protokola (VoIP) nedvomno vzbuja radovednost s strani podjetij, ki odločajo o tem, kako strateško nadaljevati do cilja stroškovno učinkovite - a hkrati robustne - glasovne komunikacije. Je pa tehnologija VoIP res najboljša rešitev za startup podjetja ali celo uveljavljena podjetja? Stroškovna učinkovitost je nazorno vidna, vendar obstajajo še druge točke, kot je varnost, ki jih je treba upoštevati pred uvedbo VoIP-a? Omrežni arhitekti, sistemski administratorji in varnostni strokovnjaki bi bilo pametno, da bi pred skokom v nastajajoči svet VoIP-ja upoštevali naslednja vprašanja. (Če želite izvedeti več o trendih VoIP, glejte Globalna VoIP revolucija.)
Prehod po požarnem zidu
Ko konfigurirate mejo omrežja organizacij v značilnem podatkovnem omrežju, je prvi logični korak vstavljanje pregovornih 5-stranskih informacij (izvorni IP naslov, ciljni IP naslov, številka izvornega vhodnega mesta, številka ciljnega pristanišča in vrsta protokola) v požarni zid za filtriranje paketov. Večina požarnih zidov za filtriranje paketov pregleduje podatke s 5 navoji in če so izpolnjeni določeni kriteriji, je paket sprejet ali zavrnjen. Do zdaj tako dobro, kajne? Ne tako hitro.
Večina VoIP implementacij uporablja koncept, znan kot dinamična trgovina s pristanišči. Na kratko, večina VoIP protokolov uporablja določena vrata za namene signalizacije. Na primer, SIP uporablja vrata 5060 TCP / UDP, vendar vedno uporabljajo katero koli vrata, s katerim se lahko uspešno dogovorijo med dvema končnima napravama za medijski promet. V tem primeru je preprosto konfiguriranje požarnega zidu brez stanja za zavrnitev ali sprejemanje prometa, omejenega za določeno številko vrat, podobno uporabi dežnika med orkanom. Nekaj dežja lahko preprečite, da bi pristalo na vas, vendar na koncu to še ni dovolj.
Kaj pa, če se podjetni sistemski administrator odloči, da reševanje težave z dinamičnim prometom vrat omogoča povezavo do vseh možnih pristanišč, ki jih uporablja VoIP? Ne le, da bo sistemski administrator dolgo noč razčlenjeval na tisoče možnih pristanišč, ampak v trenutku, ko bo njegova mreža prekinjena, bo verjetno iskal drug vir zaposlitve.
Kakšen je odgovor? Kot je dejal Kuhn, Walsh & Fries, je prvi prvi korak pri zagotavljanju VoIP infrastrukture organizacije pravilno izvajanje zmogljivega požarnega zidu. Požarni zid, ki se nahaja v državi, se od požarnega zidu razlikuje po tem, da ohranja nekakšen spomin na pretekle dogodke, medtem ko požarni zid brez kakršnega koli stanja ne ohranja spomina na pretekle dogodke. Razlog za uporabo zmogljivega požarnega zidu se osredotoča na njegovo sposobnost, da ne samo pregleduje zgoraj omenjene podatke s petimi nastavki, ampak tudi preučuje podatke aplikacij. Sposobnost pregleda hevristike podatkov o aplikacijah je tisto, kar požarnemu zidu omogoča razlikovanje med govornim in podatkovnim prometom.
Z vzpostavljenim zmogljivim požarnim zidom je glasovna infrastruktura varna, kajne? Ko bi bila le varnost omrežja tako preprosta. Skrbniki za varnost se morajo zavedati nenehnega zastavljanja koncepta: požarni zid. Odločitve, na primer, ali dovolite paket ICMP prek požarnega zidu ali če je dovoljena določena velikost paketa, so pri določitvi konfiguracije absolutno ključnega pomena.
VoIP konflikti s prevajanjem omrežnih naslovov
Prevajanje omrežnih naslovov (NAT) je postopek, ki omogoča uvajanje več zasebnih naslovov IP za enim globalnim naslovom IP. Če ima skrbniško omrežje za usmerjevalnikom 10 vozlišč, bi imelo vsako vozlišče IP naslov, ki ustreza nečemu konfiguriranemu podmrežju. Vendar se zdi, da ves promet, ki zapušča omrežje, prihaja z enega naslova IP - najverjetneje usmerjevalnika.
Praksa izvajanja NAT je izredno priljubljena, saj omogoča organizaciji, da prihrani IP naslovni prostor. Vendar pa ne predstavlja majhnih težav, ko se VoIP izvaja v NAT omrežju. Te težave ne nastanejo nujno, kadar VoIP klici potekajo v notranjem omrežju. Težave pa nastanejo, kadar kličete zunaj omrežja. Primarni zaplet nastane, ko usmerjevalnik, ki podpira NAT, prejme notranjo zahtevo po komunikaciji prek VoIP-a s točkami zunaj omrežja; sproži skeniranje svojih NAT tabel. Ko usmerjevalnik išče kombinacijo IP-naslovov / številk vrat, s katerimi bi se preslikal na kombinacijo dohodnega IP-naslova / številke vrat, usmerjevalnik ne more vzpostaviti povezave zaradi dinamične dodelitve vrat, ki jo izvajata usmerjevalnik in protokol VoIP.
Brez napak, brez stresa - vaš korak za korakom vodnik za ustvarjanje programske opreme, ki spreminja življenje, ne da bi vam uničila življenje
Ne morete izboljšati svojih programskih sposobnosti, če nikogar ne skrbi za kakovost programske opreme.
Zmedeno? Brez dvoma. Prav ta zmeda je Tuckerja spodbudila, naj priporoči, da se odpravite z NAT, kadar koli je VoIP uporabljen. Kaj pa NAT-ji obravnavajo prednosti ohranjanja prostora, vprašate? Takšno je sodelovanje pri uvedbi nove tehnologije v vaše omrežje.
Orodja za odpiranje VoIP z odprtim kodom
Če strežnik, ki si prizadeva, raje oceni varnostno držo svojih omrežij, namesto da bi heker storil zanjo, lahko poskusi z nekaterimi naslednjimi odprtokodnimi orodji. Med razpoložljivimi odprtokodnimi orodji za kramp VoIP so nekatere bolj priljubljene SiVuS, TFTP-Bruteforce in SIPVicious. SiVuS je kot nož švicarske vojske, ko gre za hekanje VoIP-a. Med pomembnejšimi nameni je SIP skeniranje, kjer se skenira omrežje in se nahajajo vse naprave, ki podpirajo SIP. TFTP je protokol VoIP, specifičen za Cisco, in kot ste morda uganili, je TFTP-Bruteforce orodje, ki se uporablja za ugibanje TFTP strežnikov o možnih uporabniških imenih in geslih. Končno je SIPVicious orodje, ki se uporablja za naštevanje možnih uporabnikov SIP znotraj omrežja.
Namesto posamičnega prenosa vseh zgoraj omenjenih orodij lahko poskusite najnovejšo distribucijo BackTrack Linuxa. Ta orodja, pa tudi druga, lahko najdete tam. (Za več informacij o BackTrack Linuxu glejte BackTrack Linux: Preprosto testiranje penetracije.)
Prehod na VoIP
Globalno širjenje tehnologije VoIP, skupaj z tehnologijami lokalnega omrežja (LAN), nenehnim povečevanjem hitrosti in zmogljivosti, je povzročilo množično prehajanje na uporabo VoIP. Poleg tega trenutna infrastruktura Ethernet v številnih organizacijah na videz VoIP-a izgleda, da ga ne zanimajo. Preden pa bodo odločevalci padli v globino VoIP-a, bi bilo pametno raziskati vse stroške brez izključevanja varnosti.