Upload
damir-omanovic
View
150
Download
0
Embed Size (px)
Citation preview
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 1/17
VELEUČILIŠTE U RIJECI
Damir Omanović
KONTROLA SIGURNOSTI VoIP SUSTAVA
Seminarski rad
Rijeka, 2011.
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 2/17
SADRŽAJ
1.Uvod .....................................................................................................................................1
2. Prijenos glasa IP mrežom – VoIP .....................................................................................2
3. Prednosti uvođenja VoIP sustava .......................................................................................4
4. Sigurnosne prijetnje VoIP mreže .......................................................................................6
4.1. Neovlašteno praćenje i analiza prometa .....................................................................6
4.2. Uskraćivanje računalnih resursa .................................................................................6
4.3. Distribuirano uskraćivanje računalnih resursa ...........................................................7
4.4. Presretanje poziva ........................................................................................................7
4.5. Krađa identiteta ............................................................................................................8
4.6. Financijska zlouporaba VoIP infrastrukture (eng. Call Fraud) .................................8
4.7. VoIP neželjena pošta (eng. Spam over Internet Telephony - SPIT) ..........................8
5. Sigurnosni mehanizmi VoIP mreže .................................................................................10
5.1. Općenite preporuke za podizanje sigurnosti VoIP mreža .........................................11
5.1.1. Fizička sigurnost .....................................................................................................11
5.1.2. Odvajanje IP adresa ................................................................................................12
5.1.3. Virtualni LAN-ovi ..................................................................................................12
5.1.4. Vatrozidi .................................................................................................................12
5.1.5. Enkripcija ................................................................................................................13
6. Zaključak ..........................................................................................................................14
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 3/17
1. Uvod
Korištenjem VoIP tehnologije organizacije i manja poduzeća više ne moraju koristiti samo
tradicionalnu telefonsku mrežu, te na taj način smanjuju ukupne troškove komunikacije i
povećavaju fleksibilnost rada što je vrlo povoljno za tvrtke sa velikim brojem zaposlenika
izvan matične firme. Međutim, unatoč privlačnim aspektima u smislu isplativosti i
fleksibilnosti uvođenje VoIP sustava donosi nove sigurnosne rizike i sigurnosne ranjivosti
postojeće mreže.
Ovaj rad opisuje osnove VoIP tehnologije, najvažnije pogodnosti prilikom implementacije
VoIP sustava, a glavna tematika je opis sigurnosnih zahtjeva koji su postavljeni pred VoIP,
moguće prijetnje odnosno rizici, te preporuke i sigurnosni mehanizmi za povećanje
sigurnosti VoIP mreža.
1
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 4/17
2. Prijenos glasa IP mrežom – VoIP
Prijenos glasa IP protokolom (eng. VoIP )je spoj klasične mreže za prijenos glasa
podatkovnom IP mrežom kako bi se proširile mogućnosti dodatnih poslovnih aplikacija i
servisa, upotrebom zajedničkog protokola, čime se ujedno smanjuju ukupni troškovi
implementacije i razvoja kroz integraciju odvojenih odjela podrške. IP telefonija je u užem
smislu VoIP, tehnološki je vrlo kompleksna jer uključuje komponente iz svijeta glasovne i
podatkovne komunikacije. Mreža za prijenos glasa je uvijek bila odvojena od podatkovne
zbog korištenih protokola i značajki glasovne komunikacije koje su jako različite od značajki
podatkovne komunikacije. Glasovni promet je osjetljiv na kašnjenje i kolebanje kašnjenja,
ali može istpjeti djelomični gubitak paketa, dok je podatkovna mreža paketno okrenuta i podaci su manje osjetljivi na zastoj i kolebanje kašnjenja, ali općenito ne mogu tolerirati
gubitke.
Faktori koji utječu na kvalitetu prijenosa podataka drugačiji su od onih koji utječu na
kvalitetu prijenosa glasa, primjerice, podaci su relativno neosjetljivi na zastoje, dok prijenos
glasa se degradira malom količinom zastoja i ne može trpjeti ponovni prijenos izgubljenog
odnosno zakašnjelog paketa. Isto tako manja količina gubitka podatkovnih paketa ne utječe
na kvalitetu glasa tijekom slušanja primatelja, ali i onaj najmanji gubitak podataka može
pokvariti cijelu datoteku ili aplikaciju.
Preko glasovnih paketa , mreža pruža prioritet nad običnim podaktovnim paketima i
mora postojati dovoljna propusnost mreže.
Postoji nekoliko standardnih strategija dodjele prioriteta glasovnog prometa:
• Klasa usluge CoS (eng. Class of Service)
• Određivanje prioriteta priključaka
• Korištenje standarda IEEE 802.1p/Q
• Određivanje prioriteta servisa
2
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 5/17
• Korištenje VLAN-a
Klasa usluge (CoS) označava metodu klasifikacije i ne osigurava razinu kvalitete
usluge za razliku od QoS-a (eng. Quality of Service). Klasa usluge je zapravo tehnika ilimetoda koju koriste mehanizmi za određivanje prioriteta vrste prometa i većina CoS
strategija dodjeljuje stupanj prioriteta okviru paketa ili samom paketu. CoS ili etiketiranje je
u potpunosti neefikasno bez QoS-a jer može označavati samo podatke. QoS se za razliku od
CoS-a bazira na etikete i filtre kod davanja prioriteta podatkovnim nizovima.
Određivanje prioriteta može se izvoditi dodjelom prioriteta na bazi UDP-a (eng. User
Datagram Protocol - korisnički podatkovni protokol) priključka brojeva koje koristeglasovni paketi. Prilikom ove metode koristi se mrežna oprema kojom se dodijeljuje prioritet
svih paketa u rasponu priključka. UDP se koristi za prijenos glasa kroz lokalnu mrežu, jer
nije zasnovan na vezi za razliku od TCP-a (eng. Transmition Control Protocol –
transmisijski kontrolni protokol). Zbog osjetljivosti ljudskih slušnih organa na zastoj bolje je
odbaciti pakete nego ponovno slati glas u stvarnom vremenu, pa je bezspojni protokol
prikladniji od spojnog. Za određivanje razlike prioriteta prometa usmjernici i podatkovni
preklopnici trećeg sloja tada koriste te priključke. Prioritetni promet mogu sačinjavatiglasovni paketi (UDP), signalni paketi (TCP) ili kombinacija obadviju varijanti. Ova vrsta
modela rješenja je OSI model (eng. Open System Interconnection) 4. sloja i radi s dolaznim i
odlaznim podacima nekih priključaka ili niza priključaka.
Tijekom određivanja prioriteta servisa redefinira se postojeći bit vrste usluge TOS-a
(eng. Terms of Service) u IP zaglavlju kombiniranjem prvih šest bitova u 64 moguće
kombinacije. Ovakvo korištenje TOS-a se može koristiti pomoću IP telefona, usmjernika i preklopnika u LAN-u i WAN okruženju. TOS je rješenje trećeg sloja OSI modela i radi sa IP
paketima na LAN-u i WAN-u.
Jedan od načina određivanja prioriteta je i IEEE 802.1Q standard koji koristi četiri
bajta kako bi nadopunio zaglavlje 2. sloja. IEEE 802.1Q definira otvoreni standard virtualnih
lokalnih mreža etiketiranja, dok IEEE 802.1p standard koristi preostala tri bita IEEE 802.1Q
zaglavlja za dodijeljivanje jedne od osam različitih klasa usluge.
3
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 6/17
3. Prednosti uvođenja VoIP sustava
Potreba za implementacijom VoIP-a u organizacijama općenito se mogu sagledati
kroz sljedeće stavke:
• Smanjenje troškova za pozive u inozemstvo do 50% uz razne dodatne
funkcionalnosti
• Besplatna komunikacija između izdvojenih lokacija ukoliko su povezane
•
Besplatne audio i video konferencije između lokacija (ovisno o propusnostimreže)
• Prelazak s analogne centrale na kompletno IP telefonsko rješenje
• Dodavanje IP centrale postojećem sustavu radi uštede i proširene
funkcionalnosti
• Centralizirana administracija (jednostavnije održavanje)
• Jedna mrežna infrastruktura za razne kanale komunikacije (podaci, glas, faks,
video)
• Mogućnost integracije u VPN sa mobilnim operaterom (GSM gateway)
• Omogućeno je integriranje sa svim oblicima telekomunikacijskoh mreža
(PSTN, GSM, ostali oblici VoIP-a) te prema potrebi pametno usmjeravanje
poziva kroz najjeftiniju ili najefikasniju rutu
• Fleksibilnost nadogradnji bilo software-skih ili hardware-skih mogućnosti
(ograničeno ili nemoguće kod digitalnih telefonskih centrala)
Da bi se iskoristile prednosti IP telefonije nije potrebno mijenjati cjelokupnu
telefonsku infrastrukturu. IP centralu moguće je dodati na već postojeći telefonski sustav i
tako iskoristiti dodatne mogućnosti i uštede koje centrala nudi. U većini slučajeva korisnici
prelaze s analognog telefonskog sustava na IP telefonski sustav, a mogu čak i zadržati
4
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 7/17
postojeće analogne telefonske uređaje uz odgovarajuće adaptere, međutim potpuna
funkcionalnost IP telefonije se dobiva sa IP telefonima. Jedna od najbitnijih funkcionalnih
stavki VoIP sustava je mobilnost. Dodatna funkcionalnost je mogućnost softverskog
razgovaranja s prijenosnog računala s bilo koje lokacije na svijetu, spajajući se na vlastitu IP
centralu putem interneta.
U slučaju da poduzeće posjeduje vlastitu računalnu mrežu (LAN, WAN ...),
distribuirane lokacije povezane u istu tu mrežu, te k tome uspostavlja značajan broj poziva u
inozemstvo, VoIP samo u području telefonije ima rok povrata investicije od 12 do 15
mjeseci. Ako se u obzir uzmu i ostale poslovne beneficije koje tehnologija donosi od
komfora, sigurnosti, na vidjelo izlazi kako je IP telefonija zaista sljedeća evolucijska
stepenica u poslovnoj komunikaciji bez koje se u novije vrijeme neće moći poslovati.
Upravo zbog navedenih pogodnosti koje pruža VoIP tehnologija velik broj manjih i srednjih
poduzeća uvodi ovaj sustav kako bi reducirali troškove komunikacije. Međutim postavlja se
pitanje sigurnosti sustava i kontrole istog. U sljedećim segmentima seminarskog rada će biti
objašnjeno upravo to pitanje i biti će navedeni osnovni kontrolni mehanizmi.
5
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 8/17
4. Sigurnosne prijetnje VoIP mreže
Neki od glavnih sigurnosnih problema koji se pojavljuju u VoIP okolinama su slični
ako ne i isti kao i problemi koji se dotiču sigurnosti IP mreža. Danas se velik broj
podatkovne komunikacije obavlja preko Interneta, što je moguće korištenjem sustava IP
adresiranja. VoIP isto koristi IP adresiranje za lociranje ostalih korisnika na glasovnim
komunikacijskim mrežama. Stoga je IP sigurnost vrlo važna stavka za zaštitu VoIP mreža,
za koje se očekuje da će postati okosnica svih glasovnih komunikacija u svijetu. Napadi na
sigurnost VoIP-a mogu biti pasivni (kada je cilj doći do informacija koje se prenose, a da se
pri tom sami podaci ne mijenjaju) i aktivni (ovi napadi uključuju izmjenu ili generiranje
lažnog tijeka podataka).
4.1. Neovlašteno praćenje i analiza prometa
Neovlašteno praćenje i prisluškivanje mrežnog prometa (eng. Sniffing/Eavesdropping)
može rezultirati otkrivanjem povjerljivih ili nezaštićenih korisničkih informacija i podataka.
Iskorištavanjem ovog propusta sofisticiranim zlonamjernim korisnicima omogućeno je
prikupljanje informacija o VoIP mreži koje se mogu iskoristiti za napade na druge dijelove
mreže. Za sprječavanje ovih napada predlaže se primjena neke od dodatnih metoda
enkripcije na višim mrežnim slojevima.
4.2. Uskraćivanje računalnih resursa
Napadi uskraćivanja računalnih resursa (eng. Denial of Service - DoS) mogu biti zasnovani
na okupiranju računalnih mreža s nepotrebnim podacima ili na rušenju pojedinih komponenti
mreže. Ukoliko organizacija Uskraćivanje računalnih resursa koristi tradicionalne
6
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 9/17
komunikacijske kanale za razgovor (javna telefonska mreža) tada čak i u slučajevima kada je
podatkovna mreža srušena, organizacija i dalje može komunicirati i obavljati telefonske
razgovore. Ukoliko organizacija temelji svoje poslovanje na VoIP mreži, tada DoS napadi
mogu biti veoma efikasni protiv tih organizacija. To je rezultat činjenice da DoS napadi
prekidaju uslugu ili smanjuju kvalitetu postojeće usluge (eng. Quality of Sevice - QoS) za
koju je nužno da bude visoka kako bi VoIP bio funkcionalan. Zbog opasnosti koju DoS
napadi predstavljaju za VoIP mreže, proizvođači VoIP opreme sve češće ugrađuju u svoje
proizvode različite metode zaštite od DoS napada, primjerice korištenje ASA uređaja.
4.3. Distribuirano uskraćivanje računalnih resursa
Distribuirani napadi uskraćivanja računalnih resursa (eng. Distributed Denial of Service -
DDoS) slični su prethodno opisanim napadima uz razliku što se ovi napadi ne izvršavaju s
jednog računala nego s većeg broja istih uređaja. Da bi zloćudni korisnik izvršio DDoS
napad potrebno je da na određeni način utječe na veću skupinu računala. To se može izvesti
ukoliko napadač preuzme kontrolu nad tim računalima. Ta računala mogu biti upravljana
preko različitih virusa i trojanaca koji napadaču omogućavaju upravljanje računalima i
zagušivanje mreže hrpom nepotrebnih podataka koji uzrokuju uskraćivanje resursa na
napadnutom računalu ili mreži.
Za ispunjenje DDoS napada nije potrebno da napadač preuzme kontrolu nad računalima s
kojih želi izvesti napad. Napadač može izvesti DDoS napad ukoliko pošalje zahtjev s
lažiranom izvorišnom IP adresom na grupu računala. Tada će sva ta računala odgovoriti na
te upite na ciljano računalo te time onemogućiti rad tog računala.
4.4. Presretanje poziva
Presretanje poziva (eng. call interception) omogućava neovlašteno nadgledanje i snimanje
poziva, te glasovnih poruka. Presretanjem i prisluškivanjem poziva unutar organizacija
moguće je ukrasti tajne i povjerljive poslovne podatke. VoIP pozivi se mogu presretati tako
7
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 10/17
da se preusmjere na neki posredni server koji prema svojoj konfiguraciji nadzire VoIP
pozive - tzv. „Čovjek u sredini“ („Man in the middle“) napad. VoIP pozivi se mogu na
jednostavan način skupljati i dekodirati ukoliko napadač ima fizički pristup lokalnoj
računalnoj mreži preko koje VoIP paketi putuju. Kao protumjere za ovakve napade potrebno
je zaštititi fizičke pristupe mreži te implementirati enkripciju s nekom od raspoloživih
metoda.
4.5. Krađa identiteta
Krađom ili neovlaštenim korištenjem tuđeg identiteta napadač može doći do informacija
potrebnih za stjecanje kontrole nad tuđim IP telefonom, te preusmjeriti promet na drugu
lokaciju. I ukoliko legitimni korisnik nije svjestan preusmjeravanja poziva tada može odavati
povjerljiva informacije, a da nije ni svjestan toga.
4.6. Financijska zlouporaba VoIP infrastrukture (eng.
Call Fraud)
Call fraud je specifičan napad za VoIP mreže koji se sastoji od nezakonitog korištenja VoIP
infrastrukture za obavljanje telefonskih poziva. Takvi telefonski pozivi izgledaju kao da su
pokrenuti od legitimnih korisnika unutar napadnute mreže pa se njima i naplaćuju.
4.7. VoIP neželjena pošta (eng. Spam over Internet
Telephony - SPIT)
Iako se čini da je pretrpavanje IP telefona neželjenim SPIT porukama i informacijama samo
neugodna nuspojava konekcije na Internet, većina korisnika gubi korisno vrijeme na čišćenje
8
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 11/17
telefona od istih, te tijekom tog vremena nisu u mogućnosti ispunjavati svoje poslovne
zadatke. Kako se sve više poslovnih korisnika odlučuje za VoIP komunikacije, VoIP
neželjena pošta ima sve veću i veću tendenciju širenja i sve veću populaciju kojoj je
namijenjena.
9
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 12/17
5. Sigurnosni mehanizmi VoIP mreže
Uključivanjem govornih aplikacija u IP domenu pored niza prednosti nosi sa sobom
rizike karakteristične za IP tehnologiju po pitanju sigurnosti govornih servisa koji ranije nisu
bili prisutni (u koliko se izuzme prisluškivanje i krađa servisa otprije poznate kod PSTN-a).
Sve vrste opasnosti i napada na mreže podataka su sada prisutne i kao prijetnja prijenosu
govora preko IP-a. Složenosti problema doprinosi VoIP arhitektura koja je veoma složena i
hijerarhijski organizirana sa mnogo mrežnih komponenti (media gateway, IP telefoni, IP
PBX, usmjernik, prijeklopnik, vatrozidi itd) i protokola koji imaju velike sigurnosne
propuste, jer su slabo definirani u tom smislu. Pomnim planiranjem moguće je
implementirati VoIP u konvergentnu mrežu sa odgovarajućom sigurnošću, a da se pri tom nenarušavaju performanse VoIP-a.
Kako bi se VoIP sustav učinio što sigurnijim (potpunu sigurnost je skoro nemoguće
ostvariti) potrebno je poduzeti odgovarajuće sigurnosne mjere na svim razinama što se
postiže uporabom raznih sigurnosnih mehanizama. Potrebno je naglasiti da, nažalost, mjere
koje se poduzimaju u ovom smjeru utječu na kvalitetu usluge ( QoS (ogleda se u kašnjenju
ili blokiranju poziva od strane firewall-a odnosno u kašnjenju i kolebanju kašnjenja
uzrokovanim procesom enkripcije)).
Neke od smjernica koje treba pratiti pri izgradnji sigurnog VoIP okruženja:
- korištenje sistema za detekciju i prevenciju upada u sistem (Intrusion Detection and
Prevention Systems)
- instalacija ALG-a (Aplication Layer Gateway) na granicama povjerljivih zona
- korištenje mehanizama autorizacije, autentifikacije i IPSec
- korištenjem VPN za VoIP na kritičnim mjestima
- odvajanje govora i podataka na kritičnim mjestima korištenjem VLAN (Virtual Local
Area Network)
- primjena različitih metoda enkripcije
10
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 13/17
- redoviti update softvera, instalacija antivirusnog programa i njegovo održavanje,
onemogućavanje nepotrebnog daljinskog pristupa, onemogućavanje svih nepotrebnih
servisa, zaštita prostorija s opremom i sl.
5.1. Općenite preporuke za podizanje sigurnosti VoIP
mreža
U svrhu zaštite VoIP mreže potrebno je stalno raditi na sigurnosti. Napadi se
neprestano razvijaju i administratori mreže moraju štititi, kako mrežu u cijelosti, tako i pojedine usluge. U nastavku ovog poglavlja navedeni su uobičajeni načini zaštite kojima se
minimaliziraju sigurnosni rizici i prijetnje unutar VoIP mreža.
5.1.1. Fizička sigurnost
Promatrano s aspekta fizičke sigurnosti i konfiguriranja samih VoIP aplikacija preporučuju
se sljedeće metode:
- sve kritične VoIP mrežne i poslužiteljske komponente trebalo bi locirati u zaštićene i
sigurne lokacije odvojene od neovlaštenog pristupa.
- IP telefone bi trebalo konfigurirati tako da ne prikazuju svoje mrežne konfiguracijske
informacije.
-SoftPhone sustave, koji provode VoIP komunikaciju pomoću običnog računala, slušalica i
specijalnog programa, trebalo bi izbjegavati.
11
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 14/17
5.1.2. Odvajanje IP adresa
Sve VoIP komponente trebalo bi postaviti na odvojene privatne mreže, koje nisu djeljive sostalim mrežama. U tu svrhu potrebno je koristiti privatne IP adrese (10.0.0.0/8,
172.16.0.0/16 i 192.168.0.0/16) za daljnje odvajanje IP telefonije od podatkovnih mreža.
Kada su potrebne mrežne konekcije između VoIP i ostalih podatkovnih mreža (npr. zbog
glasovne pošte) potrebno je implementirati NAT koji prevodi javne IP adrese u privatne, te
time interna računala odvaja od vanjske mreže. NAT bi trebalo implementirati na dodirnim
točkama VoIP i ostalih mreža.
5.1.3. Virtualni LAN-ovi
Predlaže se odvajanje VoIP-a od ostalih podatkovnih mreža korištenjem virtualnih lokalnih
mreža (eng. Virtual Local Area Networks - VLAN). Tehnologija virtualnih LAN-ova
omogućuje logičko grupiranje korisnika, neovisno o njihovoj fizičkoj lokaciji, u manjelogičke cjeline, tzv. virtualne lokalne računalne mreže (VLAN). Ovakvim pristupom moguće
je unutar jednog fizičkog LAN-a kreirati nekoliko manjih međusobno odvojenih virtualnih
LAN-ova, od kojih svaki zadržava svojstva klasične računalne mreže. Grupiranje korisnika
moguće je realizirati prema različitim kriterijima kao što su MAC adrese mrežnih kartica, IP
adrese, portovi preklopnika, itd…Odvajanjem podatkovnih i VoIP mreža smanjuje se
“natjecanje“ za mrežnim resursima i samim time smanjuje se vrijeme kašnjenja za prijenosne
servise.
5.1.4. Vatrozidi
12
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 15/17
Najbolji način za osiguravanje VoIP usluge jest filtriranje prometa između VoIP mreža i
podatkovnih mreža korištenjem vatrozida (eng. firewalls). Vatrozid je sustav (programski ili
sklopovski) čija je osnovna uloga filtriranje dolaznog i odlaznog mrežnog prometa
organizacije. Svoju osnovnu zadaću vatrozid obavlja putem sigurnosnih pravila koja
definiraju koji je promet dopušten, a koji zabranjen u skladu sa sigurnosnom politikom
organizacije. Jedan od nedostataka vatozidne zaštite je taj što se nakon definicije pravila
filtriranja ona više ne mijenjaju, ili se moraju mijenjati ručno. Nažalost, zbog specifičnosti
VoIP-a koji za normalan rad zahtjeva korištenje velikog raspona otvorenih portova (protokol
koji se koristi za prijenos VoIP podataka koristi raspon portova od 10024 do 65535 za
transportiranje paketa), potrebno je koristiti vatrozide koji direktno podržavaju SIP i H.323
protokole.
5.1.5. Enkripcija
Gdje god je moguće i izvedivo trebala bi se implementirati enkripcija VoIP prometa
korištenjem VPN-ova (eng. Virtual Private Networks) ili bilo kojom metodom trenutno
dostupnom. Virtualne privatne mreže (tzv. enkripcijski tuneli) omogućavaju sigurno spajanje
dvije fizički odvojene mreže preko Interneta bez izlaganja podataka neautoriziranim
korisnicima. Nakon što je jednom uspješno podignuta, virtualna privatna mreža zaštićena je
od neovlaštenih iskorištenja sve dok su enkripcijske tehnike sigurne. Koncept VPN-a
omogućava udaljenim korisnicima na nezaštićenoj strani direktno adresiranje računala
unutar lokalne mreže, što drugim korisnicima nije moguće zbog NAT-a i filtriranja paketa.
Brzina kojom takva udaljena računala komuniciraju s lokalnim računalima mnogo je sporija
od one koju računala u lokalnoj mreži koriste. Razlog tome je njihova fizička udaljenost i
oslonjenost na brzinu Interneta, ali i procesi enkripcije podataka, filtriranja paketa na
vatrozidu, i dekripcije originalnih podataka.
Kako bi udaljeni korisnici uspješno prošli fazu spajanja na lokalnu mrežu potrebno je
uspješno obaviti autentifikaciju istih. Ta autentifikacija mora biti kriptirana u svrhu
sprječavanja krađe podataka od strane napadača i iskorištenja istih.
13
5/17/2018 Seminar Damir Omanovic - slidepdf.com
http://slidepdf.com/reader/full/seminar-damir-omanovic 16/17
6. Zaključak
Kako raste velik broj poduzeća koji koriste VoIP u svom poslovanju tako raste i mogućnost
već opisanih napada na samu tehnologiju koju koriste poduzeća.
Kako je VoIP tehnologija relativno nova na tržištu, tako poduzeća moraju stalno biti na
oprezu i moraju tražiti nove načine zaštite kako bi sprječili opisane napade u ovom radu.
14