콘텐츠
- 방화벽 통과
- 네트워크 주소 변환과 VoIP 충돌
- 버그 없음, 스트레스 없음-인생을 파괴하지 않고 인생을 바꾸는 소프트웨어를 만드는 단계별 가이드
- 오픈 소스 VoIP 해킹 툴
- VoIP로 전환
테이크 아웃 :
VoIP는 비용 효율성으로 잘 알려져 있지만 VoIP 구현을 시작하기 전에 보안을 고려해야합니다.
VoIP (Voice over Internet Protocol)의 비용 효율성은 최소한 비용 효율적이지만 강력한 음성 통신의 목표를 향해 전략적으로 진행하는 방법을 고려하는 기업 의사 결정자들에게 호기심을 불러 일으 킵니다. 그러나 VoIP 기술은 실제로 신생 기업이나 기존 회사에 가장 적합한 솔루션입니까? 비용 효율성은 명백하지만 VoIP 구현 전에 고려해야 할 보안과 같은 다른 항목이 있습니까? 네트워크 아키텍트, 시스템 관리자 및 보안 전문가는 신흥 VoIP 세계로 뛰어 들기 전에 다음과 같은 문제를 고려해야합니다. VoIP 트렌드에 대한 자세한 내용은 글로벌 VoIP 혁명을 참조하십시오.
방화벽 통과
일반적인 데이터 네트워크에서 조직 네트워크 경계를 구성 할 때 논리적 첫 번째 단계는 속담 5 튜플 정보 (소스 IP 주소, 대상 IP 주소, 소스 포트 번호, 대상 포트 번호 및 프로토콜 유형)를 패킷 필터링 방화벽에 삽입하는 것입니다. 대부분의 패킷 필터링 방화벽은 5 개의 튜플 데이터를 검사하고 특정 기준이 충족되면 패킷이 수락되거나 거부됩니다. 지금까지는 잘 되었습니까? 그렇게 빠르지 않습니다.
대부분의 VoIP 구현은 동적 포트 트래 피킹이라는 개념을 사용합니다. 간단히 말해서, 대부분의 VoIP 프로토콜은 시그널링 목적으로 특정 포트를 사용합니다. 예를 들어 SIP는 TCP / UDP 포트 5060을 사용하지만 미디어 트래픽을 위해 두 엔드 장치간에 성공적으로 협상 할 수있는 포트를 항상 사용합니다. 따라서이 경우 특정 포트 번호에 대한 트래픽 바인딩을 거부하거나 수락하도록 상태 비 저장 방화벽을 구성하는 것은 허리케인 동안 우산을 사용하는 것과 유사합니다. 비가 내리는 것을 막을 수는 있지만 궁극적으로는 충분하지 않습니다.
엔터프라이즈 시스템 관리자가 동적 포트 트래 피킹 문제에 대한 해결 방법이 VoIP에서 사용하는 모든 가능한 포트에 대한 연결을 허용한다고 결정하면 어떻게됩니까? 시스템 관리자는 수천 개의 가능한 포트를 파싱하는 긴 밤을 지낼뿐 아니라 네트워크가 침해되는 순간 다른 고용 원을 찾고있을 것입니다.
답은 무엇입니까? Kuhn, Walsh & Fries에 따르면 조직의 VoIP 인프라를 보호하는 첫 번째 단계는 상태 저장 방화벽을 올바르게 구현하는 것입니다. 상태 저장 방화벽은 과거 이벤트의 메모리를 유지한다는 점에서 상태 비 저장 방화벽과 다른 반면, 상태 비 저장 방화벽은 과거 이벤트의 메모리를 전혀 보유하지 않습니다. 상태 저장 방화벽을 사용하는 이유는 위에서 언급 한 5 개의 튜플 정보를 검사 할뿐만 아니라 응용 프로그램 데이터도 검사 할 수있는 기능에 있습니다. 응용 프로그램 데이터 휴리스틱을 검사하는 기능은 방화벽이 음성 및 데이터 트래픽을 구별 할 수있게합니다.
상태 기반 방화벽이 설정되어 있으면 음성 인프라가 안전합니까? 네트워크 보안 만 그렇게 간단하다면. 보안 관리자는 항상 숨어있는 개념 인 방화벽 구성을 염두에 두어야합니다. 방화벽을 통해 ICMP 패킷을 허용할지 여부 또는 특정 패킷 크기를 허용해야하는지 여부와 같은 결정은 구성을 결정할 때 절대적으로 중요합니다.
네트워크 주소 변환과 VoIP 충돌
NAT (Network Address Translation)는 하나의 글로벌 IP 주소 뒤에 여러 개인 IP 주소를 배치 할 수있는 프로세스입니다. 따라서 관리자의 네트워크에 라우터 뒤에 10 개의 노드가있는 경우 각 노드에는 구성된 내부 서브넷에 해당하는 IP 주소가 있습니다. 그러나 네트워크를 떠나는 모든 트래픽은 하나의 IP 주소 (대부분 라우터)에서 오는 것으로 보입니다.
NAT 구현 방식은 조직이 IP 주소 공간을 절약 할 수있게 해주므로 매우 인기가 있습니다. 그러나 NAT가 연결된 네트워크에서 VoIP를 구현할 때는 큰 문제가되지 않습니다. 내부 네트워크에서 VoIP 호출을 할 때 이러한 문제가 반드시 발생하는 것은 아닙니다. 그러나 네트워크 외부에서 전화를 걸 때 문제가 발생합니다. NAT를 사용하는 라우터가 VoIP를 통해 네트워크 외부의 지점으로 통신하기위한 내부 요청을 수신하면 주된 문제가 발생합니다. NAT 테이블 스캔을 시작합니다. 라우터가 들어오는 IP 주소 / 포트 번호 조합에 매핑 할 IP 주소 / 포트 번호 조합을 찾을 때 라우터와 VoIP 프로토콜 모두에 의해 실행되는 동적 포트 할당으로 인해 라우터가 연결할 수 없습니다.
버그 없음, 스트레스 없음-인생을 파괴하지 않고 인생을 바꾸는 소프트웨어를 만드는 단계별 가이드
아무도 소프트웨어 품질에 신경 쓰지 않으면 프로그래밍 기술을 향상시킬 수 없습니다.
혼란 스러운가? 의심의 여지가 없습니다. VoIP가 배포 될 때마다 Tucker가 NAT를 제거하도록 권장하는 것은 이러한 혼란입니다. 공간 절약 혜택을 다루는 NAT는 어떻습니까? 네트워크에 새로운 기술을 도입하는 것과 관련된 공짜입니다.
오픈 소스 VoIP 해킹 툴
야심 찬 시스템 관리자가 해커에게 해를 끼치 지 않고 네트워크 보안 상태를 평가하는 것을 선호하는 경우 다음과 같은 오픈 소스 도구 중 일부를 사용해 볼 수 있습니다. 사용 가능한 오픈 소스 VoIP 해킹 툴 중 SiVuS, TFTP-Bruteforce 및 SIPVicious가 가장 많이 사용됩니다. SiVuS는 VoIP 해킹과 관련하여 스위스 군용 칼과 같습니다. 보다 유용한 목적 중 하나는 네트워크를 스캔하고 모든 SIP 가능 장치가있는 SIP 스캔입니다. TFTP는 Cisco 고유의 VoIP 프로토콜이며 TFTP-Bruteforce는 TFTP 서버에서 가능한 사용자 이름과 암호를 추측하는 데 사용되는 도구입니다. 마지막으로 SIPVicious는 네트워크 내에서 가능한 SIP 사용자를 열거하는 데 사용되는 툴킷입니다.
위에서 언급 한 모든 도구를 개별적으로 다운로드하는 대신 BackTrack Linux의 최신 배포판을 사용해 볼 수 있습니다. 이러한 도구와 기타 도구는 여기에서 찾을 수 있습니다. BackTrack Linux에 대한 자세한 내용은 BackTrack Linux : 쉬운 침투 테스트를 참조하십시오.
VoIP로 전환
VoIP 기술의 전 세계 확산과 LAN (Local Area Network) 기술의 속도 및 용량 증가는 VoIP 구현으로의 대량 마이그레이션으로 이어졌습니다. 또한 많은 조직의 현재 이더넷 인프라로 인해 VoIP 전환이 쉽지 않은 것처럼 보입니다. 그러나 의사 결정자가 VoIP의 깊이에 빠지기 전에 보안을 배제하지 않고 모든 비용을 조사하는 것이 현명합니다.