VoIP - Backdoor para sua rede? - Tecnologia

Vídeo: A Look at Basic VoIP Implementation - The VoIP Report

Contente

Atravessando o Firewall
Conflitos de VoIP com conversão de endereço de rede
Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
Ferramentas de hackers VoIP de código aberto
Transição para VoIP

Leve embora:

O VoIP é conhecido por sua relação custo-benefício, mas a segurança deve ser considerada antes de você iniciar uma implementação de VoIP.

A relação custo-eficácia do protocolo VoIP (Voice over Internet Protocol), sem dúvida, evoca, no mínimo, curiosidade por parte dos tomadores de decisão corporativos, considerando como avançar estrategicamente em direção à meta de comunicação de voz econômica - mas robusta. No entanto, a tecnologia VoIP é realmente a melhor solução para startups ou até empresas estabelecidas? A relação custo-benefício é evidente, mas existem outros itens, como segurança, que devem ser considerados antes da implementação do VoIP? Arquitetos de rede, administradores de sistemas e especialistas em segurança devem prestar atenção nos seguintes problemas antes de entrar no mundo emergente do VoIP. (Para saber mais sobre as tendências de VoIP, consulte A revolução global de VoIP.)

Atravessando o Firewall

Ao configurar o limite de rede de uma organização em uma rede de dados típica, uma primeira etapa lógica é inserir as proverbiais informações de 5 tuplas (endereço IP de origem, endereço IP de destino, número da porta de origem, número da porta de origem, número da porta de destino e tipo de protocolo) em um firewall de filtragem de pacotes. A maioria dos firewalls de filtragem de pacotes examina os dados de 5 tuplas e, se certos critérios forem atendidos, o pacote será aceito ou rejeitado. Até aí tudo bem, certo? Não tão rápido.

A maioria das implementações de VoIP utiliza um conceito conhecido como tráfego dinâmico de portas. Em poucas palavras, a maioria dos protocolos VoIP usa uma porta específica para fins de sinalização. Por exemplo, o SIP usa a porta TCP / UDP 5060, mas invariavelmente usa qualquer porta que possa ser negociada com sucesso entre dois dispositivos finais para o tráfego de mídia. Portanto, nesse caso, simplesmente configurar um firewall sem estado para negar ou aceitar o tráfego vinculado a um determinado número de porta é semelhante ao uso de um guarda-chuva durante um furacão. Você pode impedir que parte da chuva caia sobre você, mas, no final das contas, isso não basta.

E se um administrador de sistema empreendedor decidir que a solução alternativa para o problema de tráfego dinâmico de portas está permitindo conexões com todas as portas possíveis utilizadas pelo VoIP? O administrador do sistema não apenas passará uma longa noite analisando milhares de portas possíveis, mas, no momento em que sua rede for violada, ele provavelmente estará procurando outra fonte de emprego.

Qual é a resposta? De acordo com Kuhn, Walsh & Fries, o primeiro passo importante para garantir a infraestrutura de VoIP de uma organização é a implementação adequada de um firewall stateful. Um firewall com estado difere de um firewall sem estado, pois retém algum tipo de memória de eventos passados, enquanto um firewall sem estado não retém absolutamente nenhuma memória de eventos passados. O raciocínio por trás do uso de um firewall stateful centra-se em sua capacidade de não apenas examinar as informações de cinco tuplas acima mencionadas, mas também de examinar os dados do aplicativo. A capacidade de examinar a heurística de dados do aplicativo é o que permite ao firewall diferenciar entre tráfego de voz e dados.

Com um firewall estabelecido, a infraestrutura de voz é segura, correta? Se a segurança da rede fosse assim tão simples. Os administradores de segurança devem permanecer atentos a um conceito sempre à espreita: configuração de firewall. Decisões, como permitir ou não pacotes ICMP através de um firewall ou se um determinado tamanho de pacote deve ser permitido, são absolutamente cruciais ao determinar a configuração.

Conflitos de VoIP com conversão de endereço de rede

A conversão de endereços de rede (NAT) é o processo que permite a implantação de vários endereços IP privados atrás de um endereço IP global. Portanto, se a rede de um administrador tiver 10 nós atrás de um roteador, cada nó terá um endereço IP que corresponda a qualquer sub-rede interna configurada. No entanto, todo o tráfego que sai da rede parece vir de um endereço IP - provavelmente o roteador.

A prática de implementar o NAT é extremamente popular, pois permite que uma organização economize espaço de endereço IP. No entanto, isso não representa um pequeno problema quando o VoIP está sendo implementado na rede do NAT. Esses problemas não surgem necessariamente quando chamadas de VoIP são feitas em uma rede interna. No entanto, surgem problemas quando as chamadas são feitas de fora da rede. A principal complicação surge quando um roteador habilitado para NAT recebe uma solicitação interna para se comunicar via VoIP para pontos fora da rede; inicia uma varredura de suas tabelas NAT. Quando o roteador procura uma combinação de endereço IP / número de porta para mapear para a combinação de endereço IP / número de porta recebido, o roteador não consegue fazer a conexão devido à alocação dinâmica de porta praticada pelo roteador e pelo protocolo VoIP.

Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida

Você não pode melhorar suas habilidades de programação quando ninguém se importa com a qualidade do software.

Confuso? Sem dúvida. É essa confusão que levou Tucker a recomendar acabar com o NAT sempre que o VoIP for implantado. E quanto aos NATs abordam os benefícios de conservação do espaço, você pergunta? Esse é o dar e receber envolvido com a introdução de novas tecnologias na sua rede.

Ferramentas de hackers VoIP de código aberto

Se um administrador de sistemas aspirante preferir avaliar a postura de segurança de sua rede em vez de um hacker fazer isso por ele, ele pode tentar algumas das seguintes ferramentas de código aberto. Das ferramentas de hackers VoIP de código aberto disponíveis, algumas das mais populares são SiVuS, TFTP-Bruteforce e SIPVicious. O SiVuS é como um canivete suíço quando se trata de hacking por VoIP. Entre um de seus propósitos mais úteis, está a digitalização SIP, onde uma rede é digitalizada e todos os dispositivos habilitados para SIP estão localizados. TFTP é um protocolo VoIP específico da Cisco e, como você deve ter adivinhado, o TFTP-Bruteforce é uma ferramenta usada para adivinhar possíveis nomes de usuário e senhas de um servidor TFTP. Por fim, o SIPVicious é um kit de ferramentas usado para enumerar possíveis usuários do SIP em uma rede.

Em vez de baixar individualmente todas as ferramentas mencionadas acima, pode-se tentar a distribuição mais recente do BackTrack Linux. Essas ferramentas, assim como outras, podem ser encontradas lá. (Para obter mais informações sobre o BackTrack Linux, consulte BackTrack Linux: Teste de penetração facilitado.)

Transição para VoIP

A proliferação global da tecnologia VoIP, juntamente com as tecnologias da rede local (LAN), aumentou continuamente a velocidade e a capacidade, resultando em uma migração em massa para a implementação do VoIP. Além disso, a atual infraestrutura Ethernet em muitas organizações faz a transição do VoIP parecer um acéfalo. No entanto, antes que os tomadores de decisão mergulhem nas profundezas do VoIP, seria prudente pesquisar todos os custos sem excluir a segurança.