VoIP - Backdoor ke Jaringan Anda?

Pengarang: Robert Simon
Tanggal Pembuatan: 22 Juni 2021
Tanggal Pembaruan: 22 Juni 2024
Anonim
Find Network Vulnerabilities with Nmap Scripts [Tutorial]
Video: Find Network Vulnerabilities with Nmap Scripts [Tutorial]

Isi


Bawa pulang:

VoIP terkenal dengan efektivitas biaya, tetapi keamanan harus dipertimbangkan sebelum Anda memulai implementasi VoIP.

Keefektifan biaya voice over Internet Protocol (VoIP) tidak diragukan lagi membangkitkan rasa penasaran, paling tidak, pada pihak para pembuat keputusan perusahaan yang mempertimbangkan bagaimana melanjutkan secara strategis menuju tujuan komunikasi suara yang efektif - namun kuat - biaya. Namun, apakah teknologi VoIP benar-benar solusi terbaik untuk startup, atau bahkan perusahaan mapan? Efektivitas biaya jelas jelas, tetapi apakah ada item lain, seperti keamanan, yang harus dipertimbangkan sebelum implementasi VoIP? Arsitek jaringan, administrator sistem dan spesialis keamanan akan bijaksana untuk memperhitungkan masalah berikut sebelum melompat ke dunia VoIP yang muncul. (Untuk mempelajari lebih lanjut tentang tren VoIP, lihat Revolusi VoIP Global.)

Melintasi Firewall

Ketika mengonfigurasi batas jaringan organisasi dalam jaringan data tipikal, langkah logis pertama adalah memasukkan informasi tuple 5-pepatah (alamat IP sumber, alamat IP tujuan, nomor port sumber, nomor port tujuan, dan tipe protokol) ke dalam firewall packet filtering. Sebagian besar firewall penyaringan paket memeriksa data 5-tupel, dan jika kriteria tertentu dipenuhi, paket dapat diterima atau ditolak. Sejauh ini bagus, bukan? Tidak secepat itu.


Sebagian besar implementasi VoIP menggunakan konsep yang dikenal sebagai perdagangan port dinamis. Singkatnya, sebagian besar protokol VoIP menggunakan port khusus untuk keperluan pensinyalan. Misalnya, SIP menggunakan port TCP / UDP 5060, tetapi mereka selalu menggunakan port apa pun yang dapat berhasil dinegosiasikan antara dua perangkat akhir untuk lalu lintas media. Jadi, dalam hal ini, cukup mengkonfigurasi firewall stateless untuk menolak atau menerima lalu lintas yang terikat untuk nomor port tertentu mirip dengan menggunakan payung selama badai. Anda mungkin memblokir sebagian hujan agar tidak mendarat di atas Anda, tetapi pada akhirnya, itu tidak cukup.

Bagaimana jika administrator sistem yang giat memutuskan bahwa solusi untuk masalah perdagangan port dinamis memungkinkan koneksi ke semua port yang mungkin digunakan oleh VoIP? Administrator sistem tidak hanya berada di malam yang panjang untuk menguraikan ribuan port yang mungkin, tetapi saat jaringannya dilanggar, ia kemungkinan akan mencari sumber pekerjaan lain.


Apa jawabannya? Menurut Kuhn, Walsh & Fries, langkah pertama utama dalam mengamankan infrastruktur VoIP organisasi adalah implementasi firewall stateful yang tepat. Firewall stateful berbeda dari firewall stateless dalam hal ini mempertahankan beberapa jenis memori dari peristiwa masa lalu, sedangkan firewall stateless sama sekali tidak menyimpan memori peristiwa masa lalu. Alasan di balik menggunakan pusat firewall stateful pada kemampuannya untuk tidak hanya memeriksa informasi 5-tuple yang disebutkan di atas, tetapi juga memeriksa data aplikasi. Kemampuan untuk memeriksa heuristik data aplikasi adalah apa yang memungkinkan firewall untuk membedakan antara suara dan lalu lintas data.

Dengan firewall stateful yang mapan, infrastruktur suara aman, benar? Andai saja keamanan jaringan semudah itu. Administrator keamanan harus tetap memperhatikan konsep yang selalu mengintai: konfigurasi firewall. Keputusan, seperti apakah mengizinkan paket ICMP atau tidak melalui firewall, atau jika ukuran paket tertentu diizinkan, sangat penting ketika menentukan konfigurasi.

Konflik VoIP dengan Terjemahan Alamat Jaringan

Terjemahan alamat jaringan (NAT) adalah proses yang memungkinkan untuk penyebaran beberapa alamat IP pribadi di belakang satu alamat IP global. Jadi, jika jaringan administrator memiliki 10 node di belakang router, setiap node akan memiliki alamat IP yang sesuai dengan apa pun subnet internal yang telah dikonfigurasi. Namun, semua lalu lintas yang meninggalkan jaringan tampaknya berasal dari satu alamat IP - kemungkinan besar, router.

Praktek penerapan NAT sangat populer, karena memungkinkan organisasi untuk menghemat ruang alamat IP. Namun, itu tidak menimbulkan masalah kecil ketika VoIP sedang diterapkan di jaringan NAT. Masalah-masalah ini tidak selalu muncul ketika panggilan VoIP dilakukan di jaringan internal. Namun, masalah muncul ketika panggilan dilakukan dari luar jaringan. Komplikasi utama muncul ketika router yang mendukung NAT menerima permintaan internal untuk berkomunikasi melalui VoIP ke titik-titik di luar jaringan; itu memulai pemindaian tabel NAT-nya. Ketika router mencari kombinasi alamat IP / nomor port untuk memetakan ke kombinasi alamat IP / nomor port yang masuk, router tidak dapat membuat koneksi karena alokasi port dinamis yang dilakukan oleh router dan protokol VoIP.

Tanpa Bug, Tanpa Stres - Panduan Langkah Demi Langkah Anda untuk Membuat Perangkat Lunak yang Mengubah Hidup Tanpa Menghancurkan Kehidupan Anda

Anda tidak dapat meningkatkan keterampilan pemrograman Anda ketika tidak ada yang peduli dengan kualitas perangkat lunak.

Membingungkan? Tanpa keraguan. Kerancuan inilah yang mendorong Tucker untuk merekomendasikan penghapusan NAT setiap kali VoIP digunakan. Bagaimana dengan NATs yang membahas manfaat konservasi ruang, Anda bertanya? Tersebut adalah memberi dan menerima yang terlibat dengan memperkenalkan teknologi baru ke jaringan Anda.

Alat Peretas VoIP Sumber Terbuka

Jika seorang administrator sistem calon lebih memilih untuk menilai postur keamanan jaringannya daripada memiliki peretas melakukannya untuknya, ia mungkin mencoba beberapa alat open source berikut. Dari alat peretas VoIP open-source yang tersedia, beberapa yang lebih populer adalah SiVuS, TFTP-Bruteforce, dan SIPVicious. SiVuS seperti pisau Tentara Swiss dalam hal peretasan VoIP. Di antara salah satu tujuan yang lebih berguna adalah pemindaian SIP, di mana jaringan dipindai dan semua perangkat yang mendukung SIP berada. TFTP adalah protokol VoIP khusus untuk Cisco, dan, seperti yang Anda duga, TFTP-Bruteforce adalah alat yang digunakan untuk menebak server TFTP yang memungkinkan nama pengguna dan kata sandi. Akhirnya, SIPVicious adalah toolkit yang digunakan untuk menghitung kemungkinan pengguna SIP dalam jaringan.

Daripada mengunduh secara individu semua alat yang disebutkan di atas, orang mungkin mencoba distribusi terbaru dari BackTrack Linux. Alat-alat ini, serta yang lainnya, dapat ditemukan di sana. (Untuk lebih lanjut tentang BackTrack Linux, lihat BackTrack Linux: Pengujian Penetrasi Menjadi Mudah.)

Transisi ke VoIP

Proliferasi global teknologi VoIP, ditambah dengan teknologi jaringan area lokal (LAN) terus meningkat dalam kecepatan dan kapasitas, telah menghasilkan migrasi massal ke implementasi VoIP. Lebih jauh, infrastruktur Ethernet saat ini di banyak organisasi membuat transisi VoIP tampak seperti no-brainer. Namun, sebelum para pengambil keputusan terjun ke kedalaman VoIP, mereka akan bijaksana untuk meneliti semua biaya tanpa mengecualikan keamanan.