Contenu
- Traverser le pare-feu
- Conflits VoIP avec la traduction d'adresses réseau
- Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
- Outils de piratage VoIP Open Source
- Transition vers la VoIP
À emporter:
La VoIP est bien connue pour sa rentabilité, mais la sécurité doit être prise en compte avant de vous lancer dans une implémentation VoIP.
Le rapport coût-efficacité de la voix sur protocole Internet (VoIP) suscite indubitablement, à tout le moins, la curiosité des décideurs d’entreprise en ce qui concerne la marche à suivre stratégique pour atteindre l’objectif d’une communication vocale économique, mais robuste. Cependant, la technologie VoIP est-elle vraiment la meilleure solution pour les startups, voire les entreprises établies? La rentabilité est évidente, mais y a-t-il d'autres éléments, tels que la sécurité, qui devraient être pris en compte avant la mise en œuvre de la VoIP? Les architectes de réseau, les administrateurs système et les spécialistes de la sécurité seraient bien avisés de prendre en compte les problèmes suivants avant de se lancer dans le monde émergent de la VoIP. (Pour en savoir plus sur les tendances de la VoIP, voir The Global VoIP Revolution.)
Traverser le pare-feu
Lors de la configuration d'une frontière de réseau d'entreprise dans un réseau de données typique, une première étape logique consiste à insérer les informations proverbiales de 5 tuple (adresse IP source, adresse IP de destination, numéro de port source, numéro de port de destination et type de protocole) dans un pare-feu de filtrage de paquets. La plupart des pare-feux de filtrage de paquets examinent les données de 5 tuples et, si certains critères sont remplis, le paquet est accepté ou rejeté. Jusqu'ici tout va bien, non? Pas si vite.
La plupart des implémentations VoIP utilisent un concept appelé trafic de port dynamique. En résumé, la plupart des protocoles VoIP utilisent un port spécifique à des fins de signalisation. Par exemple, SIP utilise le port TCP / UDP 5060, mais utilise invariablement le port pouvant être négocié avec succès entre deux périphériques d'extrémité pour le trafic multimédia. Ainsi, dans ce cas, configurer un pare-feu sans état pour refuser ou accepter le trafic lié à un certain numéro de port est similaire à l’utilisation d’un parapluie lors d’un ouragan. Vous pouvez empêcher une partie de la pluie de tomber sur vous, mais au final, cela ne suffit pas.
Que se passe-t-il si un administrateur système entreprenant décide que la solution au problème de gestion dynamique du trafic des ports autorise les connexions à tous les ports possibles utilisés par VoIP? Non seulement l'administrateur du système passera une longue nuit à analyser des milliers de ports possibles, mais dès que son réseau sera brisé, il sera probablement à la recherche d'une autre source d'emploi.
Quelle est la réponse? Selon Kuhn, Walsh & Fries, la mise en œuvre appropriée d’un pare-feu dynamique constitue une première étape importante dans la sécurisation de l’infrastructure VoIP d’une entreprise. Un pare-feu avec état se distingue d'un pare-feu sans état en ce sens qu'il conserve une sorte de mémoire des événements passés, alors qu'un pare-feu sans état ne conserve absolument aucune mémoire des événements passés. L'utilisation d'un pare-feu avec état repose principalement sur sa capacité non seulement à examiner les informations à 5 tuples susmentionnées, mais également à examiner les données d'application. La possibilité d'examiner l'heuristique des données d'application est ce qui permet au pare-feu de différencier le trafic voix et le trafic de données.
Avec un pare-feu avec état établi, l'infrastructure vocale est sécurisée, n'est-ce pas? Si seulement la sécurité du réseau était aussi simple. Les administrateurs de la sécurité doivent garder à l’esprit un concept toujours d'actualité: la configuration du pare-feu. Les décisions, telles que l'autorisation ou non des paquets ICMP à travers un pare-feu, ou si une certaine taille de paquet doit être autorisée, sont absolument cruciales lors de la détermination de la configuration.
Conflits VoIP avec la traduction d'adresses réseau
La traduction d'adresse réseau (NAT) est le processus qui permet le déploiement de plusieurs adresses IP privées derrière une adresse IP globale. Ainsi, si un réseau d’administrateur a 10 nœuds derrière un routeur, chaque nœud aura une adresse IP correspondant au sous-réseau interne configuré. Cependant, tout le trafic quittant le réseau semble provenir d'une seule adresse IP, très probablement du routeur.
La pratique de la mise en œuvre de NAT est extrêmement populaire car elle permet à une organisation de conserver un espace d'adressage IP. Cependant, la mise en œuvre de la VoIP sur le réseau NAT n’est pas un problème mineur. Ces problèmes ne se posent pas nécessairement lorsque des appels VoIP sont effectués dans un réseau interne. Cependant, des problèmes surviennent lorsque des appels sont passés de l'extérieur du réseau. La principale complication survient lorsqu'un routeur compatible NAT reçoit une demande interne de communication via VoIP vers des points situés à l'extérieur du réseau; il lance une analyse de ses tables NAT. Lorsque le routeur recherche une combinaison adresse IP / numéro de port à mapper sur la combinaison adresse IP / numéro de port entrante, il ne peut pas établir la connexion en raison de l'attribution dynamique de ports pratiquée à la fois par le routeur et le protocole VoIP.
Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
Vous ne pouvez pas améliorer vos compétences en programmation lorsque personne ne se soucie de la qualité des logiciels.
Déroutant? Sans aucun doute. C'est cette confusion qui a poussé Tucker à recommander de supprimer le NAT chaque fois que la VoIP est déployée. Qu'en est-il des avantages des NAT pour la conservation de l'espace, demandez-vous? Tel est le principe impliqué dans l'introduction de nouvelles technologies sur votre réseau.
Outils de piratage VoIP Open Source
Si un administrateur système en herbe préfère évaluer la sécurité de son réseau plutôt que de le faire par un pirate informatique, il peut essayer certains des outils open source suivants. SiVuS, TFTP-Bruteforce et SIPVicious sont parmi les outils de piratage VoIP open source disponibles. SiVuS est comme un couteau suisse en matière de piratage VoIP. L’analyse SIP est l’un des objectifs les plus utiles. Elle consiste à analyser un réseau et à localiser tous les périphériques compatibles SIP. TFTP est un protocole VoIP spécifique à Cisco et, comme vous l'avez peut-être deviné, TFTP-Bruteforce est un outil utilisé pour deviner les noms d'utilisateur et les mots de passe possibles d'un serveur TFTP. Enfin, SIPVicious est une boîte à outils utilisée pour énumérer les utilisateurs SIP possibles au sein d’un réseau.
Plutôt que de télécharger individuellement tous les outils mentionnés ci-dessus, essayez la dernière version de BackTrack Linux. Ces outils, ainsi que d'autres, peuvent être trouvés là. (Pour plus d'informations sur BackTrack Linux, voir BackTrack Linux: les tests de pénétration simplifiés.)
Transition vers la VoIP
La prolifération mondiale de la technologie VoIP, associée aux technologies de réseau local (LAN) continuant d’accroître la vitesse et la capacité, a entraîné une migration de masse vers la mise en œuvre de la VoIP. En outre, l'infrastructure Ethernet actuelle dans de nombreuses organisations fait de la transition VoIP une évidence. Cependant, avant que les décideurs ne plongent dans les méandres de la VoIP, il serait sage de rechercher tous les coûts sans exclure la sécurité.