slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis PowerPoint Presentation
Download Presentation
VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis

Loading in 2 Seconds...

play fullscreen
1 / 26

VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis - PowerPoint PPT Presentation


  • 142 Views
  • Uploaded on

VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis. Ettekanne struktuur. VoIP lahenduste liigid võrgude järgi VoIP lahenduste ründamise viisid VoIP lahendused ja kaugjuurdepääs Mida annab juurde kaugjuurdepääsu kasutamine

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis' - ely


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
ettekanne struktuur
Ettekanne struktuur
  • VoIP lahenduste liigid võrgude järgi
  • VoIP lahenduste ründamise viisid
  • VoIP lahendused ja kaugjuurdepääs
  • Mida annab juurde kaugjuurdepääsu kasutamine
  • Lahenduse arendamise võimalused Asterisk näitel
voip lahenduste liigid v rgude j rgi
VoIP lahenduste liigid võrgude järgi
  • Lahendused siseseks kasutamiseks juurdepääsuga sisevõrgust
  • Lahendused väliseks kasutamiseks teenusena
  • Kombineeritud lahendused, kaugjuurdepääsu kasutamine
lahendused siseseks kasutamiseks
Lahendused siseseks kasutamiseks
  • Eraldatud numbrivahemik
  • Väljund PSTN võrku kas

otse või teenuse pakkuja poolt

  • Mõeldud ettevõtesiseseks

kasutamiseks ja/või

helistamiseks väljaspoole

võrku, kõnede vastuvõtmiseks

(Call Center)

lahendused v liseks kasutamiseks teenusena
Lahendused väliseks kasutamiseks teenusena

ISP vaade, teenus mõeldud lõppkasutajatele

voip lahenduste r ndamise viisid
VoIP lahenduste ründamise viisid
  • SIP registratsiooni tüssamine (võrguaadressi võltsimine)
  • Sessiooni pealtkuulamine (Session Eavesdropping)
  • ARP tüssamine (ARP spoofing)
  • DoS (Denial of Service – teenuse tõkestamise rünne)
sessiooni pealtkuulamine
Sessiooni pealtkuulamine
  • MITM korral kui infoedastus on krüpteerimata kujul, ründajal on võimalus pakettide kinnipüüdmiseks/taasesitluseks/võltsimiseks
arp t ssamine
ARP tüssamine
  • ARP tüssamise korral
  • võltsitakse MAC aadressid ja kogu liiklus käib läbi ründaja seadme
dos teenuse t kestamise r nne
DoS – teenuse tõkestamise rünne
  • DoS rünnaku korral tulemuseks

on süsteemi ülekoormus ja/või

süsteemi kaitsemehhanismide

käivitamine, mille tulemuseks on

kasutatava ressurssi korral (sh ka

VoIP) ligipääs sellele kinni.

voip lahendused ja kaugjuurdep s
VoIP lahendused ja kaugjuurdepääs
  • Kaugjuurdepääsu kasutus VoIP lahenduste juures
mida annab juurde kaugjuurdep su kasutamine
Mida annab juurde kaugjuurdepääsu kasutamine
  • Saab eristada kahe krüpteerimise meetodi kõne jaoks välisvõrgus
  • Üks neist on nn meediavoo krüpteerimine, mille puhul krüpteeritud kõne edastatakse läbi hariliku võrgu
  • Teine on kanalipõhine krüpteerimine, ehk siis võrguvahendite kasutamine kõne kaitseks
  • Kaugjuurdepääs tagab kõne privaatsust välisvõrgus ja lisaks lahendab teisi VoIP’ga seotud probleeme
mida annab juurde kaugjuurdep su kasutamine1
Mida annab juurde kaugjuurdepääsu kasutamine
  • Kasutajate autoriseerimine
  • Kasutajate jaoks üldiselt toimub autoriseerimine kahes etapis
  • Kõigepealt kasutajat autoriseeritakse vastu tulemüüri (LDAP, AD, Novell, lokaalne baas jm)
  • Teiseks, kasutajat autoriseeritakse vastu VoIP serverit (nt SIP korral)
  • Autoriseerimine kahe sammuga suurendab turvalisust
mida annab juurde kaugjuurdep su kasutamine2
Mida annab juurde kaugjuurdepääsu kasutamine
  • NAT traversal probleemi lahendamine
  • NAT traversal probleem võib näiteks tekkida siis, kui kasutajal on ISP poolt määratud dünaamiline IP aadress
  • On võimalik anda kasutajale sisevõrgu IP aadress ning kogu VoIP liiklus saadetakse sellele aadressile
  • Kuna kasutaja ja tulemüüri vahel on tekitatud tunnel, siis liiklus garanteeritult jõuab kasutaja seadmesse
mida annab juurde kaugjuurdep su kasutamine3
Mida annab juurde kaugjuurdepääsu kasutamine
  • Kasutajate mobiilsus
  • Kasutajad saavad VPN kliendiga ligi ka näiteks välismaalt
  • Juhul kui operaatori poolt on IPSec liiklus keelatud, on võimalus kapseldada liiklust UDP paketidesse ja/või kasutada SSL ühendust
mida annab juurde kaugjuurdep su kasutamine4
Mida annab juurde kaugjuurdepääsu kasutamine
  • Kõnede privaatsus
  • Loodud VPN tunnelis liiklus on kaitstud erinevate turvameetmetega, sh ka läbi kanali krüpteerimise erinevate algoritmidega
  • Seanssidesse sekkumine ja nende pealtkuulamine on praktiliselt välistatud nii välise ründaja kui ka teenuse pakkuja jaoks
  • Kõnede pealtkuulamine/lahtikrüpteerimine on praktikas välistatud ka julgeoleku asutuste jaoks
mida annab juurde kaugjuurdep su kasutamine5
Mida annab juurde kaugjuurdepääsu kasutamine
  • Seadmete valik
  • Tulemüür, VoIP server ja ka VoIP klientide valik on vaba, tuleb jälgida kokkusobivust VPN kliendi ja tulemüüri vahel (oleneb kasutaja platvormist)
  • Mõned tulemüürid oskavat hallata VoIP liiklust, prioriteseerida seda, vähendada latentsust, jälgida portide muutust sessiooni jooksul ja vastavalt sellele reageerida
  • Meediavoo krüpteerimise osas (näiteks protokolli ZRTP puhul) VoIP klientide valik on kitsas ja valida saab paarist kliendist PC jaoks
mida annab juurde kaugjuurdep su kasutamine6
Mida annab juurde kaugjuurdepääsu kasutamine
  • Kaitse nimetatud rünnakute vastu
  • ARP tüssamine, SIP registratsiooni võltsimine ja ka sessiooni pealtkuulamine on välistatud, kuna kogu liiklus kliendi ja tulemüüri vahel on krüpteeritud
  • DoS rünnakute vastu VoIP serverid reeglina kaitstud ei ole, serveri vastupidavus on ainult aja ja jõudluse küsimus
  • Kuna kaugjuurdepääsu lahenduses on kasutusel nn “Behind the Firewall” printsiip, siis DoS rünnakutega tegeleb tulemüür
  • Paljud tulemüürid on hästi kaitstud DoS rünnakute vastu – kasutusel on “blacklistid”, “puzzle” tehnoloogia jne
mida annab juurde kaugjuurdep su kasutamine7
Mida annab juurde kaugjuurdepääsu kasutamine
  • Lahenduse majanduslik külg
  • Investeering toimub seadmetesse ja litsentsidesse
  • WiMAX, WiFi ja muudes tasuta levialades on VoIP vahelised kõned tasuta. Kõnesid välismaalt PSTN/GSM võrkudesse maksustatakse kodumaa tariifide järgi (tuleb mainida, et neid ei krüpteerita)
  • Traadita interneti tariifide korral (mobiilseadmed) makstakse püsitasu
  • Mõnede operaatorite juures traffiku limiidi ületamisel on lubatud tasuta kasutamine teatud edastuskiirusega
  • Kuna koodek on kasutajal valida, siis saab kiiruse nõue vähendada ka <10 Kbit/s
lahenduse arendamise v imalused asterisk n itel
Lahenduse arendamise võimalused Asterisk näitel
  • Asterisk VoIP serveri funktsionaalsus
  • SIP, IAX, IAX2 sisseehitatud toetus – toetatud ATA adapterid, VoIP telefonid, VoIP tarkvaralised telefonid, PSTN telefonid jne
  • Kõnepost, automaatvastaja, teenus “Leia Mind”, kõnede suunamised jm kuni telefoni mängudeni
  • Asterisk on GPL litsentsiga ja omab tasuta versioone
  • Asterisk on Linux’i baasil tehtud ja riistvara valik oleneb süsteemi piirangutest ja soovitud jõudlusest
  • Asterisk tehnoloogia VoIP serveritesse saab panna Zapata ISDN kaarte, mis annab väljundi PSTN võrku otse
  • Asterisk serverit saab siduda VoIP telefoni numbritega, milliseid väljastab telefoni/interneti teenuse pakkuja
lahenduse arendamise v imalused asterisk n itel1
Lahenduse arendamise võimalused Asterisk näitel
  • Asterisk VoIP serveri arendamise võimalused
  • Lisamoodulite kasutamine – Asterisk serverite puhul lisanduvad teenused, sellised nagu kõnepost jm
  • Site – to – Site VPN tunnelid lubavad VoIP serveri kasutust ka ettevõte partneritele või filiaalidele
  • VoIP servereid saab omavahel ühendada, kasutades näiteks IAX2 protokolli. Sellisel juhul näiteks iga ettevõte/filiaali jaoks võib luua oma numbriplaani – 1XX, 2XX jne
  • VoIP serverite ühendamine üle VPN tunneli tagab ka võrkudevaheliste ühenduste privaatsust
slide26

Tänan!

Michailas Ornovskis

michailas@stallion.ee

1