互联网协议语音(VoIP)的成本效益无疑至少唤起了企业决策者的好奇心,考虑如何战略性地实现成本效益 – 但强大 – 语音通信的目标。然而,VoIP技术真的是初创公司甚至成熟公司的最佳解决方案吗?成本效益显而易见,但在VoIP实施之前是否还应考虑其他项目,如安全性?在进入新兴的VoIP世界之前,网络架构师,系统管理员和安全专家明智地考虑到以下问题。
遍历防火墙
在典型数据网络中配置组织的网络边界时,逻辑上的第一步是将众所周知的5元组信息(源IP地址,目标IP地址,源端口号,目标端口号和协议类型)插入到数据包过滤防火墙中。大多数数据包过滤防火墙检查5元组数据,如果满足某些条件,则接受或拒绝数据包。到目前为止一切都那么好吧?没那么快。
大多数VoIP实施都使用称为动态端口交易的概念。简而言之,大多数VoIP协议使用特定端口进行信令传输。例如,SIP使用TCP / UDP端口5060,但它们总是使用在两个终端设备之间可以成功协商的任何端口用于媒体流量。因此,在这种情况下,简单地配置无状态防火墙以拒绝或接受绑定某个端口号的流量类似于在飓风期间使用伞。你可能会阻止一些雨落在你身上,但最终,这还不够。
如果有进取心的系统管理员决定动态端口贩卖问题的解决方法允许连接到VoIP使用的所有可能端口,该怎么办?这个系统管理员不仅会在数千个可能的端口进行解析,而且在他的网络被破坏的那一刻,他可能会寻找另一个就业来源。
答案是什么?根据Kuhn,Walsh&Fries的说法,确保组织VoIP基础设施安全的第一步是正确实施状态防火墙。状态防火墙与无状态防火墙的不同之处在于它保留了过去事件的某种记忆,而无状态防火墙绝对不会记住过去的事件。使用状态防火墙的原因在于它不仅能够检查上述5元组信息,还能检查应用程序数据。检查应用程序数据启发式的能力使防火墙能够区分语音和数据流量。
使用已建立的状态防火墙,语音基础设施是安全的,正确的吗?如果只有网络安全那么简单。安全管理员必须牢记一个永远潜伏的概念:防火墙配置。在确定配置时,决定(例如是否允许ICMP数据包通过防火墙,或者是否应允许某个数据包大小)绝对至关重要。
VoIP与网络地址转换冲突
网络地址转换(NAT)是允许在一个全局IP地址后面部署多个私有IP地址的过程。因此,如果管理员的网络在路由器后面有10个节点,则每个节点将具有与已配置的任何内部子网相对应的IP地址。但是,离开网络的所有流量似乎都来自一个IP地址 – 最有可能是路由器。
实现NAT的做法非常流行,因为它允许组织节省IP地址空间。但是,当在NAT’d网络上实施VoIP时,它会带来不小的问题。当在内部网络中进行VoIP呼叫时,不一定会出现这些问题。但是,当从网络外部进行呼叫时会出现问题。当启用NAT的路由器收到通过VoIP与网络外部点通信的内部请求时,会出现主要的复杂情况; 它启动对其NAT表的扫描。当路由器查找IP地址/端口号组合以映射到传入IP地址/端口号组合时,由于路由器和VoIP协议实施的动态端口分配,路由器无法建立连接。
混乱?毫无疑问。正是这种混乱促使Tucker建议在部署VoIP时取消NAT。你问,NAT的地址空间保护效益怎么样?这就是为您的网络引入新技术所带来的让步。
开源VoIP黑客工具
如果一个有抱负的系统管理员更喜欢评估他的网络的安全状态而不是让黑客为他做这件事,他可能会尝试以下一些开源工具。在可用的开源VoIP黑客工具中,一些比较流行的是SiVuS,TFTP-Bruteforce和SIPVicious。在涉及VoIP黑客攻击时,SiVuS就像一把瑞士军刀。其中一个更有用的目的是SIP扫描,其中扫描网络并且所有支持SIP的设备都位于其中。TFTP是一种特定于思科的VoIP协议,正如您可能已经猜到的,TFTP-Bruteforce是一种用于猜测TFTP服务器可能的用户名和密码的工具。最后,SIPVicious是一个用于枚举网络中可能的SIP用户的工具包。
可以尝试最新的BackTrack Linux发行版,而不是单独下载所有上述工具。这些工具以及其他工具可以在那里找到。
过渡到VoIP
VoIP技术的全球扩散,加上局域网(LAN)技术的速度和容量不断增加,导致大规模迁移到VoIP实施。此外,许多组织中的当前以太网基础设施使得VoIP转换看起来很简单。然而,在决策者深入了解VoIP之前,他们明智地研究所有成本而不排除安全性。