コンテンツ
- ファイアウォールの通過
- ネットワークアドレス変換とVoIPの競合
- バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
- オープンソースのVoIPハッキングツール
- VoIPへの移行
取り除く:
VoIPは費用対効果が高いことで知られていますが、VoIPの実装に着手する前にセキュリティを考慮する必要があります。
Voice over Internet Protocol(VoIP)の費用対効果は、少なくとも、費用対効果の高い堅牢な音声通信の目標に向けて戦略的に進める方法を検討する企業の意思決定者の一部に好奇心を喚起します。しかし、VoIPテクノロジーは本当にスタートアップにとっても、既存の企業にとっても最高のソリューションですか?費用対効果は明白ですが、VoIPなどの実装前に考慮する必要があるセキュリティなどの他の項目はありますか?ネットワークアーキテクト、システム管理者、およびセキュリティスペシャリストは、VoIPの新しい世界に飛び込む前に次の問題を考慮するのが賢明でしょう。 (VoIPトレンドの詳細については、グローバルVoIP革命をご覧ください。)
ファイアウォールの通過
一般的なデータネットワークで組織のネットワーク境界を構成する場合、論理的な最初のステップは、ことわざの5タプル情報(ソースIPアドレス、宛先IPアドレス、ソースポート番号、宛先ポート番号、およびプロトコルタイプ)をパケットフィルタリングファイアウォールに挿入することです。ほとんどのパケットフィルタリングファイアウォールは5タプルデータを調べ、特定の条件が満たされると、パケットは受け入れられるか拒否されます。これまでのところ、いいですか?そんなに早くない。
ほとんどのVoIP実装は、ダイナミックポートトラフィッキングと呼ばれる概念を利用します。一言で言えば、ほとんどのVoIPプロトコルは、シグナリングの目的で特定のポートを使用します。たとえば、SIPはTCP / UDPポート5060を使用しますが、メディアトラフィック用に2つのエンドデバイス間で正常にネゴシエートできるポートを常に使用します。したがって、この場合、特定のポート番号に向けられたトラフィックを拒否または受け入れるようにステートレスファイアウォールを構成することは、ハリケーン中に傘を使用することに似ています。雨の一部があなたに降りかかるのをブロックするかもしれませんが、最終的にはそれだけでは十分ではありません。
進取的なシステム管理者が、ダイナミックポートのトラフィッキング問題の回避策がVoIPで使用されるすべての可能なポートへの接続を許可していると判断した場合はどうなりますか?そのシステム管理者は、数千の可能なポートを長時間解析するだけでなく、ネットワークが侵害された瞬間に、別の雇用源を探している可能性があります。
答えはなんですか? Kuhn、Walsh&Friesによると、組織のVoIPインフラストラクチャを保護するための主要な最初のステップは、ステートフルファイアウォールの適切な実装です。ステートフルファイアウォールは、過去のイベントの何らかのメモリを保持するという点でステートレスファイアウォールと異なりますが、ステートレスファイアウォールは過去のイベントのメモリをまったく保持しません。ステートフルファイアウォールを使用する理由は、上記の5タプル情報を検査するだけでなく、アプリケーションデータを検査する機能にあります。アプリケーションデータのヒューリスティックを調べる機能により、ファイアウォールは音声トラフィックとデータトラフィックを区別できます。
確立されたステートフルファイアウォールにより、音声インフラストラクチャは安全ですか?ネットワークセキュリティだけがそんなに簡単だったら。セキュリティ管理者は、ファイアウォールの構成という、これまでにない概念に留意する必要があります。 ICMPパケットをファイアウォール経由で許可するかどうか、または特定のパケットサイズを許可するかどうかなどの決定は、構成を決定するときに絶対に重要です。
ネットワークアドレス変換とVoIPの競合
ネットワークアドレス変換(NAT)は、1つのグローバルIPアドレスの背後にある複数のプライベートIPアドレスの展開を可能にするプロセスです。そのため、管理者のネットワークにルーターの背後に10個のノードがある場合、各ノードには、構成されている内部サブネットに対応するIPアドレスが割り当てられます。ただし、ネットワークを出るすべてのトラフィックは、1つのIPアドレス(ほとんどの場合ルーター)から送信されているように見えます。
NATを実装する方法は、組織がIPアドレス空間を節約できるため、非常に一般的です。ただし、VoIPがNATのネットワークに実装されている場合、小さな問題は発生しません。これらの問題は、VoIP呼び出しが内部ネットワークで行われたときに必ずしも発生するわけではありません。ただし、ネットワークの外部から呼び出しが行われると問題が発生します。主要な問題は、NAT対応ルーターがVoIPを介してネットワーク外部のポイントと通信するための内部要求を受信したときに発生します。 NATテーブルのスキャンを開始します。ルーターがIPアドレス/ポート番号の組み合わせを探して着信IPアドレス/ポート番号の組み合わせにマップすると、ルーターとVoIPプロトコルの両方で動的ポート割り当てが実行されるため、ルーターは接続を確立できません。
バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
誰もソフトウェアの品質に関心がない場合、プログラミングスキルを向上させることはできません。
紛らわしい?間違いない。この混乱により、Tuckerは、VoIPが展開されるたびにNATを廃止することを推奨するようになりました。スペース節約の利点に対処するNATはどうですか?これは、ネットワークへの新しいテクノロジーの導入に関わるギブアンドテイクです。
オープンソースのVoIPハッキングツール
意欲的なシステム管理者が、ハッカーに依頼するよりもネットワークのセキュリティ状態を評価することを好む場合、次のオープンソースツールのいくつかを試すかもしれません。利用可能なオープンソースのVoIPハッキングツールのうち、より一般的なものには、SiVuS、TFTP-Bruteforce、およびSIPViciousがあります。 SiVuSは、VoIPハッキングに関してはスイスアーミーナイフのようなものです。より便利な目的の1つに、ネットワークがスキャンされ、すべてのSIP対応デバイスが配置されるSIPスキャンがあります。 TFTPはシスコ固有のVoIPプロトコルであり、ご想像のとおり、TFTP-BruteforceはTFTPサーバーがユーザー名とパスワードを推測するために使用するツールです。最後に、SIPViciousは、ネットワーク内で考えられるSIPユーザーを列挙するために使用されるツールキットです。
上記のツールをすべて個別にダウンロードするのではなく、BackTrack Linuxの最新のディストリビューションを試すことができます。他のツールと同様、これらのツールはそこにあります。 (BackTrack Linuxの詳細については、BackTrack Linux:Penetration Testing Made Madeを参照してください。)
VoIPへの移行
VoIPテクノロジーの世界的な普及と、ローカルエリアネットワーク(LAN)テクノロジーの継続的な速度と容量の増加により、VoIP実装への大規模な移行が行われました。さらに、多くの組織の現在のイーサネットインフラストラクチャにより、VoIPの移行は簡単に思えます。ただし、意思決定者がVoIPの深みに突入する前に、セキュリティを除外せずにすべてのコストを調査するのが賢明でしょう。