İçerik
- Güvenlik Duvarını Geçmek
- Ağ Adresi Çevirisi ile VoIP Anlaşmazlıkları
- Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz
- Açık Kaynak VoIP Hack Araçları
- VoIP'ye Geçiş
Paket servisi:
VoIP, maliyet etkinliği ile bilinir, ancak bir VoIP uygulamasına başlamadan önce güvenlik göz önünde bulundurulmalıdır.
İnternet Protokolü (VoIP) üzerinden sesin maliyet etkinliği kuşkusuz, en azından, stratejik olarak maliyet etkin - ama sağlam - sesli iletişim hedefine yönelik stratejik olarak nasıl ilerleyeceğini düşünen kurumsal karar vericiler tarafında bir merak uyandırmaktadır. Ancak, VoIP teknolojisi yeni başlayanlar ve hatta kurulmuş şirketler için gerçekten en iyi çözüm mü? Maliyet etkinliği açıkça bellidir, ancak bir VoIP uygulamasından önce göz önünde bulundurulması gereken güvenlik gibi başka öğeler var mı? Ağ mimarları, sistem yöneticileri ve güvenlik uzmanları, ortaya çıkmakta olan VoIP dünyasına girmeden önce aşağıdaki sorunları hesaba katarlar. (VoIP eğilimleri hakkında daha fazla bilgi için, bkz. Küresel VoIP Devrimi.)
Güvenlik Duvarını Geçmek
Tipik bir veri ağında bir organizasyon ağı sınırını yapılandırırken, mantıksal bir ilk adım, 5-tuple bilgisini (kaynak IP adresi, hedef IP adresi, kaynak port numarası, hedef port numarası ve protokol tipi) bir paket filtreleme güvenlik duvarına yerleştirmektir. Paket filtreleme güvenlik duvarlarının çoğu 5 tuple verilerini inceler ve belirli kriterler karşılanırsa paket kabul edilir veya reddedilir. Şimdilik çok iyi, değil mi? Çok hızlı değil.
VoIP uygulamalarının çoğu, dinamik liman ticareti olarak bilinen bir kavramı kullanır. Özetle, çoğu VoIP protokolü, sinyal gönderme amacıyla belirli bir port kullanır. Örneğin, SIP, 5060 numaralı TCP / UDP bağlantı noktasını kullanır, ancak medya trafiği için iki uç aygıt arasında başarılı bir şekilde pazarlanan herhangi bir bağlantı noktasını her zaman kullanır. Bu nedenle, bu durumda, belirli bir bağlantı noktası numarasına bağlı trafiği reddetmek veya kabul etmek için durumsuz bir güvenlik duvarını yapılandırmak, bir kasırga sırasında şemsiye kullanmaya benzer. Yağmurun bir kısmının size inmesini engelleyebilirsiniz, ancak sonuçta bu yeterli değil.
Bir girişimci sistem yöneticisi, dinamik liman ticareti sorununa geçici çözümün VoIP tarafından kullanılan tüm olası bağlantı noktalarına bağlantı kurmaya izin verdiğine karar verirse ne olur? Yalnızca sistem yöneticisi binlerce olası bağlantı noktası aracılığıyla uzun bir ayrıştırma gecesi geçirmekle kalmayacak, aynı zamanda ağı bozulduğu anda muhtemelen başka bir istihdam kaynağı arayacak.
Cevap nedir? Kuhn'a göre, Walsh & Fries, bir kuruluşun VoIP altyapısını güvenceye almanın ilk önemli adımı, durum bilgisi olan bir güvenlik duvarının doğru şekilde uygulanmasıdır. Durum bilgisi olmayan bir güvenlik duvarı, geçmiş olayların bir tür hafızasını elinde bulundurması durumsuz bir güvenlik duvarından farklıdır, oysa durumsuz bir güvenlik duvarı geçmiş olayların kesinlikle hiçbir hafızasını elinde tutmaz. Durum bilgisi olan bir güvenlik duvarı kullanmanın arkasındaki gerekçe, sadece yukarıda belirtilen 5 tuple bilgisini inceleme değil aynı zamanda uygulama verilerini de inceleme yeteneğine dayanmaktadır. Uygulama veri sezgiselini inceleme yeteneği, güvenlik duvarının ses ve veri trafiği arasında ayrım yapmasına olanak sağlayan şeydir.
Belirlenmiş bir güvenlik duvarı ile ses altyapısı güvenlidir, doğru mu? Keşke ağ güvenliği bu kadar basit olsaydı. Güvenlik yöneticileri sürekli gizlenen bir konsepte dikkat etmelidir: güvenlik duvarı yapılandırması. ICMP paketlerine güvenlik duvarı yoluyla izin verilip verilmeyeceği veya belirli bir paket boyutuna izin verilip verilmemesi gibi kararlar, yapılandırma belirlenirken kesinlikle çok önemlidir.
Ağ Adresi Çevirisi ile VoIP Anlaşmazlıkları
Ağ adresi çevirisi (NAT), birden çok özel IP adresinin tek bir genel IP adresinin arkasına konuşlandırılmasını sağlayan bir işlemdir. Bu nedenle, bir yöneticinin ağında bir yönlendiricinin arkasında 10 düğüm varsa, her düğümde yapılandırılmış olan iç alt ağa karşılık gelen bir IP adresi bulunur. Ancak, ağı terk eden tüm trafik tek bir IP adresinden geliyor gibi görünmektedir - büyük olasılıkla yönlendirici.
NAT uygulama pratiği, bir kuruluşun IP adres alanını korumasına izin verdiği için son derece popülerdir. Bununla birlikte, NAT’ın ağında VoIP uygulanırken küçük bir problem oluşturmaz. VoIP aramaları dahili bir ağda yapıldığında, bu sorunların ortaya çıkması gerekmez. Ancak, aramalar şebeke dışından yapıldığında problemler ortaya çıkar. Birincil komplikasyon, NAT etkin bir yönlendirici, VoIP üzerinden ağ dışındaki noktalarla iletişim kurmak için dahili bir istek aldığında ortaya çıkar; NAT tablolarını taramaya başlar. Yönlendirici, gelen IP adresi / bağlantı noktası numarası kombinasyonuna eşlemek için bir IP adresi / bağlantı noktası numarası kombinasyonu aradığında, yönlendirici hem yönlendirici hem de VoIP protokolü tarafından uygulanan dinamik bağlantı noktası ayırması nedeniyle bağlantı kuramaz.
Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz
Hiç kimse yazılım kalitesini önemsemediğinde programlama becerilerinizi geliştiremezsiniz.
Kafa karıştırıcı? Şüphesiz. Bu karışıklık, Tucker'ı VoIP ne zaman dağıtılsa NAT ile birlikte uzak durmasını önerdi. Peki ya NAT’lar uzay koruma faydalarını ele alıyorlar? Bu, ağınıza yeni teknolojilerin tanıtılmasıyla ilgili al ve ver.
Açık Kaynak VoIP Hack Araçları
Kalkınan bir sistem yöneticisi, onun için bir hacker yapmak yerine ağlarının güvenlik duruşunu değerlendirmeyi tercih ederse, aşağıdaki açık kaynaklı araçlardan bazılarını deneyebilir. Mevcut açık kaynaklı VoIP korsanlık araçlarından bazıları daha popüler olanlardan bazıları SiVuS, TFTP-Bruteforce ve SIPVicious. SiVuS, VoIP korsanlığı söz konusu olduğunda İsviçre Çakısı gibidir. En faydalı amaçlarından biri, bir ağın tarandığı ve tüm SIP özellikli cihazların bulunduğu SIP taramasıdır. TFTP, Cisco'ya özgü bir VoIP protokolüdür ve tahmin edebileceğiniz gibi, TFTP-Bruteforce, bir TFTP sunucusunun olası kullanıcı adlarını ve şifrelerini tahmin etmek için kullanılan bir araçtır. Son olarak, SIPVicious, bir ağdaki olası SIP kullanıcılarını numaralandırmak için kullanılan bir araçtır.
Yukarıda belirtilen tüm araçları ayrı ayrı indirmek yerine, en son BackTrack Linux dağıtımını deneyebilirsiniz. Bu araçlar, diğerleri gibi, orada da bulunabilir. (BackTrack Linux hakkında daha fazla bilgi için, bkz. BackTrack Linux: Penetrasyon Testleri Daha Kolay.)
VoIP'ye Geçiş
Yerel alan ağı (LAN) teknolojilerinin birleştiği VoIP teknolojisinin küresel proliferasyonu, hız ve kapasitede artmaya devam etti ve VoIP uygulamasına toplu bir göçle sonuçlandı. Dahası, birçok kuruluştaki mevcut Ethernet altyapısı VoIP geçişini hiç düşüncesiz gibi gösteriyor. Bununla birlikte, karar vericiler VoIP’in derinliklerine dalmadan önce, güvenlik hariç tüm masrafları araştırmak akıllıca olacaktır.