slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis PowerPoint Presentation
Download Presentation
VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis

Loading in 2 Seconds...

play fullscreen
1 / 26

VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis - PowerPoint PPT Presentation


  • 143 Views
  • Uploaded on

VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis. Ettekanne struktuur. VoIP lahenduste liigid võrgude järgi VoIP lahenduste ründamise viisid VoIP lahendused ja kaugjuurdepääs Mida annab juurde kaugjuurdepääsu kasutamine

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

VoIP lahenduse turvamine kaugjuurdepääsu vahenditega Michailas Ornovskis


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
ettekanne struktuur
Ettekanne struktuur
  • VoIP lahenduste liigid võrgude järgi
  • VoIP lahenduste ründamise viisid
  • VoIP lahendused ja kaugjuurdepääs
  • Mida annab juurde kaugjuurdepääsu kasutamine
  • Lahenduse arendamise võimalused Asterisk näitel
voip lahenduste liigid v rgude j rgi
VoIP lahenduste liigid võrgude järgi
  • Lahendused siseseks kasutamiseks juurdepääsuga sisevõrgust
  • Lahendused väliseks kasutamiseks teenusena
  • Kombineeritud lahendused, kaugjuurdepääsu kasutamine
lahendused siseseks kasutamiseks
Lahendused siseseks kasutamiseks
  • Eraldatud numbrivahemik
  • Väljund PSTN võrku kas

otse või teenuse pakkuja poolt

  • Mõeldud ettevõtesiseseks

kasutamiseks ja/või

helistamiseks väljaspoole

võrku, kõnede vastuvõtmiseks

(Call Center)

lahendused v liseks kasutamiseks teenusena
Lahendused väliseks kasutamiseks teenusena

ISP vaade, teenus mõeldud lõppkasutajatele

voip lahenduste r ndamise viisid
VoIP lahenduste ründamise viisid
  • SIP registratsiooni tüssamine (võrguaadressi võltsimine)
  • Sessiooni pealtkuulamine (Session Eavesdropping)
  • ARP tüssamine (ARP spoofing)
  • DoS (Denial of Service – teenuse tõkestamise rünne)
sessiooni pealtkuulamine
Sessiooni pealtkuulamine
  • MITM korral kui infoedastus on krüpteerimata kujul, ründajal on võimalus pakettide kinnipüüdmiseks/taasesitluseks/võltsimiseks
arp t ssamine
ARP tüssamine
  • ARP tüssamise korral
  • võltsitakse MAC aadressid ja kogu liiklus käib läbi ründaja seadme
dos teenuse t kestamise r nne
DoS – teenuse tõkestamise rünne
  • DoS rünnaku korral tulemuseks

on süsteemi ülekoormus ja/või

süsteemi kaitsemehhanismide

käivitamine, mille tulemuseks on

kasutatava ressurssi korral (sh ka

VoIP) ligipääs sellele kinni.

voip lahendused ja kaugjuurdep s
VoIP lahendused ja kaugjuurdepääs
  • Kaugjuurdepääsu kasutus VoIP lahenduste juures
mida annab juurde kaugjuurdep su kasutamine
Mida annab juurde kaugjuurdepääsu kasutamine
  • Saab eristada kahe krüpteerimise meetodi kõne jaoks välisvõrgus
  • Üks neist on nn meediavoo krüpteerimine, mille puhul krüpteeritud kõne edastatakse läbi hariliku võrgu
  • Teine on kanalipõhine krüpteerimine, ehk siis võrguvahendite kasutamine kõne kaitseks
  • Kaugjuurdepääs tagab kõne privaatsust välisvõrgus ja lisaks lahendab teisi VoIP’ga seotud probleeme
mida annab juurde kaugjuurdep su kasutamine1
Mida annab juurde kaugjuurdepääsu kasutamine
  • Kasutajate autoriseerimine
  • Kasutajate jaoks üldiselt toimub autoriseerimine kahes etapis
  • Kõigepealt kasutajat autoriseeritakse vastu tulemüüri (LDAP, AD, Novell, lokaalne baas jm)
  • Teiseks, kasutajat autoriseeritakse vastu VoIP serverit (nt SIP korral)
  • Autoriseerimine kahe sammuga suurendab turvalisust
mida annab juurde kaugjuurdep su kasutamine2
Mida annab juurde kaugjuurdepääsu kasutamine
  • NAT traversal probleemi lahendamine
  • NAT traversal probleem võib näiteks tekkida siis, kui kasutajal on ISP poolt määratud dünaamiline IP aadress
  • On võimalik anda kasutajale sisevõrgu IP aadress ning kogu VoIP liiklus saadetakse sellele aadressile
  • Kuna kasutaja ja tulemüüri vahel on tekitatud tunnel, siis liiklus garanteeritult jõuab kasutaja seadmesse
mida annab juurde kaugjuurdep su kasutamine3
Mida annab juurde kaugjuurdepääsu kasutamine
  • Kasutajate mobiilsus
  • Kasutajad saavad VPN kliendiga ligi ka näiteks välismaalt
  • Juhul kui operaatori poolt on IPSec liiklus keelatud, on võimalus kapseldada liiklust UDP paketidesse ja/või kasutada SSL ühendust
mida annab juurde kaugjuurdep su kasutamine4
Mida annab juurde kaugjuurdepääsu kasutamine
  • Kõnede privaatsus
  • Loodud VPN tunnelis liiklus on kaitstud erinevate turvameetmetega, sh ka läbi kanali krüpteerimise erinevate algoritmidega
  • Seanssidesse sekkumine ja nende pealtkuulamine on praktiliselt välistatud nii välise ründaja kui ka teenuse pakkuja jaoks
  • Kõnede pealtkuulamine/lahtikrüpteerimine on praktikas välistatud ka julgeoleku asutuste jaoks
mida annab juurde kaugjuurdep su kasutamine5
Mida annab juurde kaugjuurdepääsu kasutamine
  • Seadmete valik
  • Tulemüür, VoIP server ja ka VoIP klientide valik on vaba, tuleb jälgida kokkusobivust VPN kliendi ja tulemüüri vahel (oleneb kasutaja platvormist)
  • Mõned tulemüürid oskavat hallata VoIP liiklust, prioriteseerida seda, vähendada latentsust, jälgida portide muutust sessiooni jooksul ja vastavalt sellele reageerida
  • Meediavoo krüpteerimise osas (näiteks protokolli ZRTP puhul) VoIP klientide valik on kitsas ja valida saab paarist kliendist PC jaoks
mida annab juurde kaugjuurdep su kasutamine6
Mida annab juurde kaugjuurdepääsu kasutamine
  • Kaitse nimetatud rünnakute vastu
  • ARP tüssamine, SIP registratsiooni võltsimine ja ka sessiooni pealtkuulamine on välistatud, kuna kogu liiklus kliendi ja tulemüüri vahel on krüpteeritud
  • DoS rünnakute vastu VoIP serverid reeglina kaitstud ei ole, serveri vastupidavus on ainult aja ja jõudluse küsimus
  • Kuna kaugjuurdepääsu lahenduses on kasutusel nn “Behind the Firewall” printsiip, siis DoS rünnakutega tegeleb tulemüür
  • Paljud tulemüürid on hästi kaitstud DoS rünnakute vastu – kasutusel on “blacklistid”, “puzzle” tehnoloogia jne
mida annab juurde kaugjuurdep su kasutamine7
Mida annab juurde kaugjuurdepääsu kasutamine
  • Lahenduse majanduslik külg
  • Investeering toimub seadmetesse ja litsentsidesse
  • WiMAX, WiFi ja muudes tasuta levialades on VoIP vahelised kõned tasuta. Kõnesid välismaalt PSTN/GSM võrkudesse maksustatakse kodumaa tariifide järgi (tuleb mainida, et neid ei krüpteerita)
  • Traadita interneti tariifide korral (mobiilseadmed) makstakse püsitasu
  • Mõnede operaatorite juures traffiku limiidi ületamisel on lubatud tasuta kasutamine teatud edastuskiirusega
  • Kuna koodek on kasutajal valida, siis saab kiiruse nõue vähendada ka <10 Kbit/s
lahenduse arendamise v imalused asterisk n itel
Lahenduse arendamise võimalused Asterisk näitel
  • Asterisk VoIP serveri funktsionaalsus
  • SIP, IAX, IAX2 sisseehitatud toetus – toetatud ATA adapterid, VoIP telefonid, VoIP tarkvaralised telefonid, PSTN telefonid jne
  • Kõnepost, automaatvastaja, teenus “Leia Mind”, kõnede suunamised jm kuni telefoni mängudeni
  • Asterisk on GPL litsentsiga ja omab tasuta versioone
  • Asterisk on Linux’i baasil tehtud ja riistvara valik oleneb süsteemi piirangutest ja soovitud jõudlusest
  • Asterisk tehnoloogia VoIP serveritesse saab panna Zapata ISDN kaarte, mis annab väljundi PSTN võrku otse
  • Asterisk serverit saab siduda VoIP telefoni numbritega, milliseid väljastab telefoni/interneti teenuse pakkuja
lahenduse arendamise v imalused asterisk n itel1
Lahenduse arendamise võimalused Asterisk näitel
  • Asterisk VoIP serveri arendamise võimalused
  • Lisamoodulite kasutamine – Asterisk serverite puhul lisanduvad teenused, sellised nagu kõnepost jm
  • Site – to – Site VPN tunnelid lubavad VoIP serveri kasutust ka ettevõte partneritele või filiaalidele
  • VoIP servereid saab omavahel ühendada, kasutades näiteks IAX2 protokolli. Sellisel juhul näiteks iga ettevõte/filiaali jaoks võib luua oma numbriplaani – 1XX, 2XX jne
  • VoIP serverite ühendamine üle VPN tunneli tagab ka võrkudevaheliste ühenduste privaatsust
slide26

Tänan!

Michailas Ornovskis

michailas@stallion.ee

1