VoIP - דלת אחורית לרשת שלך?

מְחַבֵּר: Robert Simon
תאריך הבריאה: 22 יוני 2021
תאריך עדכון: 24 יוני 2024
Anonim
Tarkov voip
וִידֵאוֹ: Tarkov voip

תוֹכֶן


להסיר:

VoIP ידוע ביעילות העלות שלו, אך יש לקחת בחשבון את האבטחה לפני שתתחיל ביישום VoIP.

אפקטיביות העלות של פרוטוקול קול דרך האינטרנט (VoIP) מעוררת ללא ספק סקרנות מצד מקבלי ההחלטות התאגידיות שוקלים כיצד להתקדם אסטרטגית למטרה של תקשורת קולית חסכונית - ועם זאת חזקה. עם זאת, האם באמת טכנולוגיית VoIP היא הפיתרון הטוב ביותר עבור חברות סטארט-אפ, או אפילו חברות מבוססות? יעילות העלות ניכרת בבירור, אך האם ישנם פריטים אחרים, כגון אבטחה, שיש לקחת בחשבון לפני יישום ה- VoIP? אדריכלי רשת, מנהלי מערכות ומומחי אבטחה יהיה נבון להסביר את הנושאים הבאים לפני שהם מזנקים לעולם המתעורר של ה- VoIP. (למידע נוסף על מגמות VoIP, עיין במהפכת ה- VoIP העולמית.)

חוצה את חומת האש

בעת קביעת התצורה של גבול רשת ארגוני ברשת נתונים טיפוסית, שלב ראשון הגיוני הוא הכנסת המידע הפתגם של 5-כפתורים (כתובת IP מקור, כתובת IP יעד, מספר יציאת מקור, מספר יציאת יעד וסוג פרוטוקול) לחומת אש המסננת מנות. מרבית חומות אש המסננות מנות בוחנות את הנתונים של 5 כפות, ואם מתקיימים קריטריונים מסוימים, המנה מתקבלת או נדחית. עד כה כל כך טוב, נכון? לא כל כך מהר.


רוב יישומי ה- VoIP משתמשים במושג המכונה סחר נמל דינמי. על קצה המזלג, רוב פרוטוקולי ה- VoIP משתמשים ביציאה ספציפית למטרות איתות. לדוגמה, SIP משתמשת ביציאת TCP / UDP 5060, אך הם תמיד משתמשים בכל יציאה שניתן יהיה לנהל משא ומתן בהצלחה בין שני התקני קצה לתעבורת מדיה. כך שבמקרה זה, פשוט הגדרת תצורת חומת אש חסרת מצב שתכחיש או יקבל תנועה שמוגבלת עבור מספר יציאה מסוים, דומה לשימוש במטריה במהלך הוריקן. אתה עלול לחסום חלק מהגשם לנחות עליך, אך בסופו של דבר זה פשוט לא מספיק.

מה אם מנהל מערכת יוזם ומחליט שהדרך לעקיפת הבעיה בסחר בנמל דינמי מאפשרת חיבורים לכל היציאות האפשריות בהן משתמש ה- VoIP? לא רק שמנהל המערכת יעבור לילה ארוך של ניתוח דרך אלפי נמלים אפשריים, אלא שברגע שהפרסום ברשת שלו הוא כנראה יחפש מקור תעסוקה אחר.

מה התשובה? לדברי Kuhn, Walsh & Fries, הצעד הראשון העיקרי באבטחת תשתית ה- VoIP של הארגון הוא יישום נכון של חומת אש של ממש. חומת אש שלטונית שונה מחומת אש חסרת מצב בכך שהיא שומרת על זיכרון כלשהו של אירועי עבר, ואילו חומת אש חסרת מדינה שומרת על עצמה שום זיכרון של אירועי עבר. הנימוק העומד מאחורי השימוש בחומת אש של ממש מתמקד ביכולתו לא רק לבחון את המידע הכולל 5 טיפים לעיל, אלא גם לבחון את נתוני היישומים. היכולת לבחון היוריסטיקות של נתוני יישומים היא המאפשרת לחומת האש להבדיל בין תנועה קולית ונתונית.


עם חומת אש מבוססת ומדינה, תשתית קולית מאובטחת, נכונה? אם רק אבטחת הרשת הייתה כל כך פשוטה. על מנהלי אבטחה להיות מודעים לתפיסה אורבת מתמיד: תצורת חומת אש. החלטות, כגון אם לאפשר מנות של ICMP דרך חומת אש או אם יש להתיר גודל מנות מסוים, הן מכריעות בהחלט בעת קביעת התצורה.

התנגשויות VoIP עם תרגום כתובות רשת

תרגום כתובות רשת (NAT) הוא התהליך המאפשר פריסה של מספר כתובות IP פרטיות מאחורי כתובת IP גלובלית אחת. לכן, אם לרשת של מנהל מערכת יש 10 צמתים מאחורי נתב, לכל צומת תהיה כתובת IP שתואמת לכל רשת משנה פנימית שהוגדרה. עם זאת, נראה כי כל התנועה היוצאת מהרשת מגיעה מכתובת IP אחת - ככל הנראה, הנתב.

התרגול של יישום NAT פופולרי ביותר, מכיוון שהוא מאפשר לארגון לשמור על שטח כתובות IP. עם זאת, הדבר אינו מהווה בעיה קטנה בעת יישום ה- VoIP ברשת NAT. בעיות אלה אינן מתעוררות בהכרח כאשר שיחות VoIP מתבצעות ברשת פנימית. עם זאת, בעיות מתעוררות כאשר מתקבלות שיחות מחוץ לרשת. הסיבוך העיקרי מתעורר כאשר נתב המאופשר על ידי NAT ​​מקבל בקשה פנימית לתקשר באמצעות VoIP לנקודות מחוץ לרשת; היא יוזמת סריקה של טבלאות ה- NAT שלה. כאשר הנתב מחפש שילוב של כתובת IP / מספר יציאה כדי למפות את שילוב כתובת ה- IP / מספר היציאה הנכנס, הנתב אינו מסוגל ליצור את החיבור בגלל הקצאת היציאה הדינמית המתבצעת על ידי הנתב וגם עם פרוטוקול ה- VoIP.

אין באגים, אין מתח - המדריך השלב אחר צעד שלך ליצירת תוכנה לשינוי חיים מבלי להרוס את חייך

אינך יכול לשפר את כישורי התכנות שלך כאשר לאף אחד לא אכפת מאיכות התוכנה.

מבלבל? אין ספק. הבלבול הזה הוא שהניע את טאקר להמליץ ​​להיפטר מ- NAT בכל פעם ש- VoIP נפרס. מה בנוגע לטיפולי NAT ​​נותנים תועלות לשימור החלל, אתם שואלים? כזה הוא המתן והלקחה הכרוכים בהצגת טכנולוגיה חדשה לרשת שלך.

קוד פתוח לפיתוח כלי VoIP

אם מנהל מערכת שואף יעדיף להעריך את תנוחת האבטחה שלו ברשתות במקום שהאקר יעשה זאת בשבילו, הוא עשוי לנסות כמה מכלי הקוד הפתוח הבאים. מבין כלי הפריצה הקיימים ב- VoIP עם קוד פתוח, חלק מהפופולאריים יותר הם SiVuS, TFTP-Bruteforce ו- SIPVicious. SiVuS הוא כמו סכין של הצבא השוויצרי בכל הקשור לפריצת VoIP. בין אחת המטרות השימושיות שלה היא סריקת SIP, בה סריקה של רשת וכל המכשירים המאפשרים SIP נמצאים. TFTP הוא פרוטוקול VoIP הספציפי לסיסקו, וכפי שאפשר לנחש, TFTP-Bruteforce הוא כלי המשמש לנחש לשרתים של TFTP שמות משתמש וסיסמאות אפשריים. לבסוף, SIPVicious היא ערכת כלים המשמשת למנות משתמשי SIP אפשריים ברשת.

במקום להוריד באופן פרטני את כל הכלים שהוזכרו לעיל, ניתן לנסות את ההפצה האחרונה של BackTrack Linux. כלים אלה, כמו גם אחרים, עשויים להימצא שם. (למידע נוסף על BackTrack Linux, עיין ב- BackTrack Linux: בדיקת חדירה קלה.)

מעבר ל- VoIP

התפוצה העולמית של טכנולוגיית ה- VoIP, בשילוב עם טכנולוגיות רשת מקומית (LAN) המשיכה עלייה במהירות ובקיבולת, הביאה להגירה המונית ליישום ה- VoIP. יתר על כן, תשתית ה- Ethernet הנוכחית בארגונים רבים גורמת למעבר ה- VoIP להיראות כבלתי מוח. עם זאת, לפני שמקבלי ההחלטות יביאו את הצעד למעמקי ה- VoIP, יהיה להם חוכמה לחקור את כל העלויות מבלי לשלול אבטחה.