![ASMR After the Holidays [Medical Exam, Secretary, Massage and more]](https://i.ytimg.com/vi/DyYDv4OnpmA/hqdefault.jpg)
Inhalt
- Durchqueren der Firewall
- VoIP-Konflikte mit der Netzwerkadressübersetzung
- Keine Bugs, kein Stress - Ihre schrittweise Anleitung zur Erstellung lebensverändernder Software, ohne Ihr Leben zu zerstören
- Open Source VoIP-Hacking-Tools
- Übergang zu VoIP
Wegbringen:
VoIP ist bekannt für seine Kosteneffizienz. Die Sicherheit sollte jedoch berücksichtigt werden, bevor Sie mit der VoIP-Implementierung beginnen.
Die Kosteneffizienz von VoIP (Voice over Internet Protocol) weckt zweifellos zumindest die Neugier der Entscheidungsträger in Unternehmen, die überlegen, wie sie strategisch auf das Ziel einer kostengünstigen und dennoch robusten Sprachkommunikation zusteuern sollen. Ist die VoIP-Technologie jedoch wirklich die beste Lösung für Startups oder sogar etablierte Unternehmen? Die Kosteneffizienz ist offensichtlich, aber gibt es andere Punkte, wie z. B. die Sicherheit, die vor einer VoIP-Implementierung in Betracht gezogen werden sollten? Netzwerkarchitekten, Systemadministratoren und Sicherheitsspezialisten sollten die folgenden Probleme berücksichtigen, bevor sie in die aufstrebende VoIP-Welt vordringen. (Weitere Informationen zu VoIP-Trends finden Sie unter The Global VoIP Revolution.)
Durchqueren der Firewall
Beim Konfigurieren einer Organisationsnetzwerkgrenze in einem typischen Datennetzwerk besteht ein logischer erster Schritt darin, die sprichwörtlichen 5-Tupel-Informationen (Quell-IP-Adresse, Ziel-IP-Adresse, Quell-Port-Nummer, Ziel-Port-Nummer und Protokolltyp) in eine Paketfilter-Firewall einzufügen. Die meisten Paketfilter-Firewalls untersuchen die 5-Tupel-Daten. Wenn bestimmte Kriterien erfüllt sind, wird das Paket entweder akzeptiert oder abgelehnt. So weit so gut, oder? Nicht so schnell.
Die meisten VoIP-Implementierungen verwenden ein Konzept, das als dynamisches Port-Trafficking bezeichnet wird. Kurz gesagt, die meisten VoIP-Protokolle verwenden einen bestimmten Port für Signalisierungszwecke. Beispielsweise verwendet SIP den TCP / UDP-Port 5060, verwendet jedoch immer denjenigen Port, der für den Medienverkehr zwischen zwei Endgeräten erfolgreich ausgehandelt werden kann. In diesem Fall ist es also vergleichbar, eine zustandslose Firewall so zu konfigurieren, dass für eine bestimmte Portnummer gebundener Datenverkehr abgelehnt oder akzeptiert wird, wie wenn Sie während eines Hurrikans einen Regenschirm verwenden. Sie könnten einen Teil des Regens daran hindern, auf Ihnen zu landen, aber letztendlich ist das einfach nicht genug.
Was ist, wenn ein unternehmungslustiger Systemadministrator entscheidet, dass die Problemumgehung für das dynamische Port-Trafficking Verbindungen zu allen möglichen Ports zulässt, die von VoIP verwendet werden? Der Systemadministrator wird nicht nur eine lange Nacht damit verbringen, Tausende von möglichen Ports zu analysieren, sondern in dem Moment, in dem sein Netzwerk unterbrochen wird, wird er wahrscheinlich nach einer anderen Beschäftigungsquelle suchen.
Was ist die Antwort? Ein erster wichtiger Schritt zur Sicherung der VoIP-Infrastruktur eines Unternehmens ist laut Kuhn, Walsh & Fries die ordnungsgemäße Implementierung einer Stateful Firewall. Eine zustandsbehaftete Firewall unterscheidet sich von einer zustandslosen Firewall dadurch, dass sie eine Art Speicher für vergangene Ereignisse enthält, wohingegen eine zustandslose Firewall absolut keinen Speicher für vergangene Ereignisse enthält. Der Grund für die Verwendung einer Stateful Firewall liegt in ihrer Fähigkeit, nicht nur die oben genannten 5-Tupel-Informationen, sondern auch Anwendungsdaten zu untersuchen. Durch die Möglichkeit, die Heuristik von Anwendungsdaten zu untersuchen, kann die Firewall zwischen Sprach- und Datenverkehr unterscheiden.
Mit einer eingerichteten Stateful Firewall ist die Sprachinfrastruktur sicher, richtig? Wenn nur die Netzwerksicherheit so einfach wäre. Sicherheitsadministratoren müssen auf ein immer lauerndes Konzept achten: die Firewall-Konfiguration. Entscheidungen, wie z. B. ob ICMP-Pakete durch eine Firewall zugelassen werden sollen oder nicht, oder ob eine bestimmte Paketgröße zulässig sein soll, sind für die Festlegung der Konfiguration von entscheidender Bedeutung.
VoIP-Konflikte mit der Netzwerkadressübersetzung
Die Netzwerkadressübersetzung (Network Address Translation, NAT) ermöglicht die Bereitstellung mehrerer privater IP-Adressen hinter einer globalen IP-Adresse. Wenn das Netzwerk eines Administrators 10 Knoten hinter einem Router hat, verfügt jeder Knoten über eine IP-Adresse, die dem jeweils konfigurierten internen Subnetz entspricht. Der gesamte Datenverkehr, der das Netzwerk verlässt, scheint jedoch von einer IP-Adresse zu stammen - höchstwahrscheinlich vom Router.
Das Implementieren von NAT ist äußerst beliebt, da es einem Unternehmen ermöglicht, IP-Adressraum zu sparen. Dies ist jedoch kein Problem, wenn VoIP im NAT-Netzwerk implementiert wird. Diese Probleme treten nicht unbedingt auf, wenn VoIP-Anrufe in einem internen Netzwerk getätigt werden. Probleme treten jedoch auf, wenn Anrufe von außerhalb des Netzwerks getätigt werden. Die Hauptkomplikation tritt auf, wenn ein NAT-fähiger Router eine interne Anfrage zur Kommunikation über VoIP an Punkte außerhalb des Netzwerks erhält. es initiiert einen Scan seiner NAT-Tabellen. Wenn der Router nach einer Kombination aus IP-Adresse und Portnummer sucht, die der Kombination aus eingehender IP-Adresse und Portnummer zugeordnet werden kann, kann der Router die Verbindung aufgrund der dynamischen Portzuweisung, die sowohl vom Router als auch vom VoIP-Protokoll ausgeführt wird, nicht herstellen.
Keine Bugs, kein Stress - Ihre schrittweise Anleitung zur Erstellung lebensverändernder Software, ohne Ihr Leben zu zerstören
Sie können Ihre Programmierkenntnisse nicht verbessern, wenn sich niemand um die Softwarequalität kümmert.
Verwirrend? Kein Zweifel. Es ist diese Verwirrung, die Tucker dazu veranlasste, bei jedem Einsatz von VoIP die Beseitigung von NAT zu empfehlen. Was ist mit NATs, die sich mit den Vorteilen der Platzersparnis befassen? Dies ist das Geben und Nehmen bei der Einführung neuer Technologien in Ihrem Netzwerk.
Open Source VoIP-Hacking-Tools
Wenn ein angehender Systemadministrator lieber die Sicherheitslage seines Netzwerks beurteilt, als dass ein Hacker dies für ihn tut, kann er einige der folgenden Open-Source-Tools ausprobieren. Einige der verfügbaren Open-Source-VoIP-Hacking-Tools sind SiVuS, TFTP-Bruteforce und SIPVicious. SiVuS ist wie ein Schweizer Taschenmesser, wenn es um VoIP-Hacking geht. Einer seiner nützlichsten Zwecke ist das SIP-Scannen, bei dem ein Netzwerk gescannt wird und sich alle SIP-fähigen Geräte befinden. TFTP ist ein für Cisco spezifisches VoIP-Protokoll, und wie Sie vielleicht erraten haben, ist TFTP-Bruteforce ein Tool, mit dem TFTP-Server mögliche Benutzernamen und Passwörter erraten können. Schließlich ist SIPVicious ein Toolkit, mit dem mögliche SIP-Benutzer in einem Netzwerk aufgelistet werden können.
Anstatt alle oben genannten Tools einzeln herunterzuladen, können Sie auch die neueste Version von BackTrack Linux ausprobieren. Diese und andere Tools finden Sie dort. (Weitere Informationen zu BackTrack Linux finden Sie unter BackTrack Linux: Penetrationstests leicht gemacht.)
Übergang zu VoIP
Die weltweite Verbreitung der VoIP-Technologie in Verbindung mit der LAN-Technologie (Local Area Network) hat zu einer Massenmigration zur VoIP-Implementierung geführt. Darüber hinaus lässt die derzeitige Ethernet-Infrastruktur in vielen Organisationen den VoIP-Übergang wie ein Kinderspiel erscheinen. Bevor Entscheidungsträger jedoch in die Tiefe von VoIP eintauchen, sollten sie alle Kosten untersuchen, ohne die Sicherheit auszuschließen.