Content
- Rastreig del tallafoc
- Conflictes de VoIP amb traducció d’adreces de xarxa
- Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
- Eines de pirateria virtual de codi obert
- Transició a VoIP
Emportar:
El VoIP és molt conegut per la seva rendibilitat, però s’hauria de tenir en compte la seguretat abans d’iniciar-se en una implementació de VoIP.
L’eficàcia de costos del protocol de veu sobre Internet (VoIP) evoca, sens dubte, curiositat per part dels responsables corporatius que consideren com es pot procedir estratègicament cap a l’objectiu d’una comunicació de veu efectiva, però robusta. Tanmateix, ¿la tecnologia VoIP és realment la millor solució per a startups o fins i tot empreses consolidades? L’eficàcia de cost és clarament evident, però hi ha altres elements, com la seguretat, que s’haurien de considerar abans d’una implementació de VoIP? Els arquitectes de xarxa, els administradors de sistemes i els especialistes en seguretat haurien de tenir en compte els problemes següents abans de fer un salt al món emergent del VoIP. (Per obtenir més informació sobre les tendències de VoIP, vegeu The Global VoIP Revolution.)
Rastreig del tallafoc
Quan configureu el límit d'una xarxa d'organitzacions en una xarxa de dades típica, un primer pas lògic és inserir la informació proverbial de 5 tuples (adreça IP d'origen, adreça IP de destinació, número de port d'origen, número de port de destinació i tipus de protocol) en un tallafoc de filtració de paquets. La majoria de tallafocs filtradors de paquets examinen les dades de cinc tuples i, si es compleixen determinats criteris, el paquet és acceptat o rebutjat. Fins ara tan bé, oi? No molt ràpid.
La majoria de les implementacions de VoIP utilitzen un concepte conegut com a tràfic de ports dinàmic. En poques paraules, la majoria de protocols VoIP utilitzen un port específic amb finalitats de senyalització. Per exemple, SIP utilitza el port 5060 TCP / UDP, però sempre utilitzen qualsevol port que es pugui negociar amb èxit entre dos dispositius finals per a trànsit multimèdia. Per tant, en aquest cas, simplement configurar un tallafoc sense estat per denegar o acceptar el trànsit enllaçat per a un determinat número de port és similar a l'ús d'un paraigua durant un huracà. És possible que una mica de la pluja us desembarqui, però en última instància, això no és suficient.
Què passa si un administrador del sistema emprenedor decideix que la solució al problema dinàmic del tràfic de ports permet la connexió a tots els ports possibles utilitzats per VoIP? L’administrador del sistema només no estarà durant una llarga nit analitzant milers de ports possibles, sinó que, en el moment que es trenqui la seva xarxa, probablement busqui una altra font d’ocupació.
Quina és la resposta? Segons Kuhn, Walsh & Fries, un primer pas important per aconseguir la infraestructura de VoIP d’una organització és la implementació adequada d’un tallafoc estat. Un tallafoc estatal es diferencia d’un tallafoc sense estat perquè conserva algun tipus de memòria d’esdeveniments passats, mentre que un tallafoc sense estat conserva absolutament cap memòria d’esdeveniments passats. El raonament que s’utilitza un tallafoc centrat es centra en la seva capacitat de no només examinar la informació de cinc tuples esmentada, sinó també examinar les dades de l’aplicació. La capacitat d’examinar l’heurística de dades d’aplicacions és el que permet al tallafoc diferenciar entre el trànsit de veu i dades.
Amb un tallafoc establert establert, la infraestructura de veu és segura, correcta? Si la seguretat de la xarxa només fos tan senzilla. Els administradors de seguretat han de tenir present en un concepte que sempre es destaca: la configuració del tallafoc. Les decisions, com ara permetre o no els paquets ICMP a través d’un tallafoc, o si s’hauria de permetre un cert nombre de paquets, són absolutament crucials a l’hora de determinar la configuració.
Conflictes de VoIP amb traducció d’adreces de xarxa
La traducció d’adreces de xarxa (NAT) és el procés que permet el desplegament de diverses adreces IP privades darrere d’una adreça IP global. Així, si la xarxa d’un administrador té deu nodes darrere d’un encaminador, cada node tindria una adreça IP que correspon a qualsevol subrenda interna que s’ha configurat. Tanmateix, sembla que tot el trànsit que surt de la xarxa prové d’una adreça IP, molt probablement, l’encaminador.
La pràctica d’implementar NAT és extremadament popular, ja que permet a una organització conservar l’espai d’adreces IP. Tot i això, no suposa cap problema quan s’està implementant el VoIP a la xarxa del NAT. Aquests problemes no sorgeixen necessàriament quan les trucades de VoIP es fan en una xarxa interna. Tanmateix, es produeixen problemes quan es fan trucades des de fora de la xarxa. La principal complicació es produeix quan un encaminador habilitat per NAT rep una sol·licitud interna de comunicació per VoIP a punts de fora de la xarxa; inicia una exploració de les seves taules NAT. Quan l’encaminador busca una combinació d’adreça IP / número de port per associar la combinació d’adreça IP / número de port entrants, l’encaminador no pot realitzar la connexió a causa de l’assignació de ports dinàmic practicada tant pel router com pel protocol VoIP.
Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
No podeu millorar les vostres habilitats de programació quan ningú es preocupa per la qualitat del programari.
Confús? Sense dubte. És aquesta confusió la que va impulsar Tucker a recomanar eliminar la NAT cada cop que es desplegui VoIP. Què passa amb els NATs per abordar els beneficis de conservació de l’espai? Aquest és el resultat i la implantació de la introducció de la tecnologia a la vostra xarxa.
Eines de pirateria virtual de codi obert
Si un administrador del sistema aspirant prefereix valorar la postura de seguretat de les seves xarxes en lloc que un pirata informàtic ho faci per ell, podria provar algunes de les següents eines de codi obert. De les eines de pirateria VoIP de codi obert disponibles, algunes de les més populars són SiVuS, TFTP-Bruteforce i SIPVicious. SiVuS és com un ganivet de l’exèrcit suís quan es tracta de pirateria VoIP. Un dels seus propòsits més útils és l’escaneig SIP, on s’escaneja una xarxa i es troben tots els dispositius habilitats SIP. TFTP és un protocol VoIP específic per a Cisco, i, com haureu endevinat, TFTP-Bruteforce és una eina que s’utilitza per endevinar un nom d’usuari i contrasenyes de servidors TFTP. Finalment, SIPVicious és un conjunt d’eines que s’utilitza per enumerar possibles usuaris SIP dins d’una xarxa.
En lloc de descarregar de manera individual totes les eines esmentades anteriorment, es podria provar l'última distribució de BackTrack Linux. S'hi poden trobar aquestes eines, així com d'altres. (Per obtenir més informació sobre BackTrack Linux, vegeu BackTrack Linux: Prova de penetració senzilla.)
Transició a VoIP
La proliferació global de la tecnologia VoIP, unida a les tecnologies de la xarxa d'àrea local (LAN) continua augmentant la velocitat i la capacitat, ha donat lloc a una migració massiva cap a la implementació de VoIP. A més, la infraestructura Ethernet actual en moltes organitzacions fa que la transició de VoIP sembli una opció no obstruïda. Tanmateix, abans que els responsables de la decisió s’enfonsin en les profunditats del VoIP, convindria investigar tots els costos sense excloure la seguretat.