VoIP-后门到您的网络？

内容

穿越防火墙
VoIP与网络地址转换冲突
没有错误，没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南
开源VoIP黑客工具
过渡到VoIP

带走：

VoIP以其高性价比而著称，但是在开始VoIP实施之前应考虑安全性。

毫无疑问，互联网协议语音（VoIP）的成本效益至少会引起企业决策者的好奇，他们正在考虑如何战略性地实现具有成本效益且稳健的语音通信目标。但是，VoIP技术真的是初创企业甚至是成熟公司的最佳解决方案吗？成本效益显而易见，但是在实施VoIP之前是否还应考虑其他事项，例如安全性？在进入VoIP新兴世界之前，网络架构师，系统管理员和安全专家应该明智地考虑以下问题。（要了解有关VoIP趋势的更多信息，请参阅《全球VoIP革命》。）

穿越防火墙

在典型数据网络中配置组织网络边界时，逻辑上的第一步是将众所周知的5元组信息（源IP地址，目标IP地址，源端口号，目标端口号和协议类型）插入数据包过滤防火墙。大多数数据包筛选防火墙都会检查5元组数据，如果满足某些条件，则可以接受或拒绝数据包。到目前为止一切顺利，对吗？没那么快。

大多数VoIP实施都利用一种称为动态端口传输的概念。简而言之，大多数VoIP协议都将特定端口用于信令目的。例如，SIP使用TCP / UDP端口5060，但它们始终使用可以在两个终端设备之间成功协商的任何端口进行媒体流量。因此，在这种情况下，简单地配置无状态防火墙以拒绝或接受绑定到特定端口号的流量类似于在飓风期间使用保护伞。您可能会挡住一些雨水，但最终，这还不够。

如果一个进取的系统管理员认为动态端口传输问题的解决方法是允许连接到VoIP使用的所有可能的端口，该怎么办？该系统管理员不仅要花费大量的时间来解析成千上万个可能的端口，而且在其网络遭到破坏的那一刻，他可能还会在寻找其他工作来源。

答案是什么？根据Kuhn，Walsh＆Fries的说法，保护组织VoIP基础结构的主要第一步是正确实施有状态防火墙。有状态防火墙与无状态防火墙的不同之处在于，它保留某种类型的过去事件的内存，而无状态防火墙则绝对不保留任何过去事件的内存。使用状态防火墙的原因不仅在于检查上述5元组信息的能力，还在于检查应用程序数据的能力。检查应用程序数据试探法的能力使防火墙能够区分语音和数据流量。

使用已建立的状态防火墙，语音基础架构是安全的，对吗？如果只有网络安全就这么简单。安全管理员必须牢记一个永恒的概念：防火墙配置。在决定配置时，绝对重要的决定是至关重要的，例如是否允许通过防火墙的ICMP数据包，或是否应允许一定的数据包大小。

VoIP与网络地址转换冲突

网络地址转换（NAT）是允许在一个全局IP地址后面部署多个私有IP地址的过程。因此，如果管理员的网络在路由器后面有10个节点，则每个节点的IP地址都将与已配置的内部子网相对应。但是，所有离开网络的流量似乎都来自一个IP地址-很可能是路由器。

实施NAT的做法非常流行，因为它允许组织节省IP地址空间。但是，当在NAT的网络上实施VoIP时，它不会带来不小的问题。当在内部网络中进行VoIP呼叫时，不一定会出现这些问题。但是，当从网络外部进行呼叫时，确实会出现问题。当启用NAT的路由器收到内部请求以通过VoIP与网络外部的点进行通信时，就会出现主要的复杂情况。它开始对其NAT表进行扫描。当路由器寻找IP地址/端口号组合以映射到传入IP地址/端口号组合时，由于路由器和VoIP协议均实现了动态端口分配，因此路由器无法建立连接。

没有错误，没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南

当没有人关心软件质量时，您就无法提高编程技能。

令人困惑？毫无疑问。正是这种困惑促使Tucker建议在部署VoIP时就取消NAT。您会问NAT如何解决节省空间的好处？这就是将新技术引入网络的过程。

开源VoIP黑客工具

如果有抱负的系统管理员更喜欢评估自己的网络安全状况，而不是让黑客为他做这件事，那么他可以尝试以下一些开源工具。在可用的开源VoIP黑客工具中，更受欢迎的是SiVuS，TFTP-Bruteforce和SIPVicious。当涉及到VoIP黑客攻击时，SiVuS就像瑞士军刀。其更有用的目的之一是SIP扫描，即扫描网络并找到所有启用SIP的设备。 TFTP是专用于Cisco的VoIP协议，正如您可能已经猜到的，TFTP-Bruteforce是一种工具，用于猜测TFTP服务器可能的用户名和密码。最后，SIPVicious是一个工具包，用于枚举网络中可能的SIP用户。

您可以尝试下载最新版本的BackTrack Linux，而不是单独下载所有上述工具。这些工具以及其他工具都可以在此处找到。（有关BackTrack Linux的更多信息，请参阅BackTrack Linux：轻松进行渗透测试。）