DMZ-Hosting per servizi VOIP ... Da usare o non usare?

Question

DMZ-Hosting per servizi VOIP ... Da usare o non usare?

#1 da (1 voti)
#2 da (1 voti)
#3 da (0 voti)
#4 da (-5 voti)

1

Ho un servizio VOIP da PhonePower ...

Offrono ai propri utenti un dispositivo MTA per connettersi alla loro rete, tuttavia le loro istruzioni sono che l'utente deve attivare DMZ-Hosting per questo dispositivo, per consentire al loro servizio di funzionare.

Il problema che vedo è il messaggio di avviso associato a questa impostazione nel firmware del mio router. Viene fornito il seguente avviso:

[ATTENZIONE! L'uso di un computer in modalità DMZ apre il computer all'esterno, creando così un rischio per la sicurezza. ]

Inoltre, il mio servizio VOIP con PhonePower sembra funzionare correttamente ora senza attivare DMZ-Hosting per riconoscere l'indirizzo mac del dispositivo MTA PhonePower. Quindi la mia conclusione logica finora è --- perché dovrei attivare DMZ-Hosting, se il mio servizio VOIP sembra funzionare bene senza?

Quando ho premuto PhonePower per una spiegazione, hanno riconosciuto che la mia sicurezza generale sarebbe stata abbassata con il router e il loro dispositivo se DMZ-Hosting è stato attivato e mi ha spiegato come ho scelto di configurarlo, ma hanno comunque mantenuto che dovrebbe davvero essere acceso perché il loro servizio funzioni. Ho risposto dicendo: "Quindi, questo potrebbe significare che anche se il mio VOIP funziona ora con DMZ disattivato, potrebbe smettere di funzionare di nuovo?" La risposta di PhonePower era "Sì". Ho quindi chiesto se il motivo è perché il mio VOIP utilizza una rete separata, a cui hanno risposto di sì.

Dato l'avvertimento implicito che ho riscontrato nella configurazione del firmware del mio router, mi fa comunque rabbia pensare che sarebbe necessaria una funzionalità come DMZ, soprattutto perché abbasserebbe la mia sicurezza generale, come effettivamente confermato da PhonePower.

Se mi imbatto in ulteriori problemi lungo la strada, ma voglio ancora mantenere attivo il mio servizio VOIP, suppongo che non avrei altra scelta se non riattivare DMZ-Hosting come suggerito da PhonePower, ma se il mio servizio funziona adesso senza di esso, mi sembra che abbia più senso tenere fuori DMZ.

Qualsiasi comprensione tecnica e oggettiva di questo argomento sarebbe molto apprezzata ...

voip

posta zeroday1 24.10.2014 - 16:51

fonte

4 risposte

Leggi altre domande sui tag voip

Impedisci agli utenti di scaricare Javascript, immagini Differenza tra la crittografia MD4 e MD5

score 1 · Answer 1

No. Non è un problema di sicurezza in sé dato che l'hosting DMZ si applica solo al dispositivo VOIP, non al computer - ad esempio, si immette l'IP del dispositivo per l'apertura di tutte le porte. Tuttavia, se il dispositivo VOIP presentasse vulnerabilità di sicurezza, il dispositivo VOIP potrebbe essere utilizzato come un salto per raggiungere i tuoi computer.

Un'idea migliore è chiedere al provider VOIP quali porte in entrata il fornitore di servizi utilizza e aprirle manualmente nella porta in avanti.

Il motivo per cui ti chiedono di DMZ è di mantenerlo semplice per i neofiti.

Il motivo per cui il servizio funziona è perché le chiamate in uscita utilizzano il traffico in uscita. Anche il dispositivo "sonda" il servizio VOIP a intervalli regolari. Ciò mantiene le porte UDP aperte in modo che le chiamate in arrivo funzionino. Ma a volte può succedere che la connessione nella tabella di stato termini il timeout e che quindi non sia possibile ricevere chiamate fino alla prossima ricerca o alla successiva chiamata in uscita.

I dispositivi NAT possono anche causare problemi audio "a senso unico" con VOIP, in cui una parte sente l'altra parte, ma l'altra parte non sente una parte.

Tieni chiuso DMZ, ma se ricevi segnalazioni su persone che non sono in grado di chiamarti (ad esempio amici che dicono che è difficile raggiungerti) o problemi audio a una via, ti sentono ma non li senti, o Al contrario, dovresti aprire manualmente le porte indivuali utilizzate dal servizio VOIP.

score 1 · Answer 2

Molti ITSP (Internet Telephone Service Provider) richiedono che i dispositivi basati su VoIP siano installati su DMZ perché molti router sono firewall che eseguono pacchetti di feed di traduzione degli indirizzi di rete (NAT) e causano audio unidirezionale (il client può sentire, il chiamante non può e vice versa). I dispositivi basati su VoIP funzionano come tramite i messaggi SIP:

Chiamante - > Switch SS7 - > voip - > fornitore - > il tuo dispositivo (SIP)

Un messaggio di solito assomiglia a questo:

   MESSAGE sip:[email protected] SIP/2.0
   Via: SIP/2.0/TCP ss7-2-voip.yourprovider.com;branch=1337
   Max-Forwards: 70
   From: sip:[email protected];tag=1337
   To: sip:[email protected]
   CSeq: 1 MESSAGE
   Content-Type: text/plain
   Content-Length: 18

Ciò avviene tramite SIP sulla porta 5060. Se il tuo dispositivo era protetto da un firewall, una semplice regola da uno a uno che consentiva la connessione 5060 sarebbe sufficiente per far squillare il telefono, ma quando inizia una conversazione, le cose diventano interessanti. All'interno del messaggio SIP, c'è una porta RTP. RTP è come l'audio prende il volo, e questa è una porta casuale tra 20000-30000 nella maggior parte dei casi. Il che significa che dovresti perforare ancora più buchi nel tuo firewall per consentirne il passaggio.

Per i provider, è più facile per loro dire: posizionalo fuori dalla tua DMZ, piuttosto che dire: Ok, devi aprire le porte 5060, e anche, 20000-30000 perché ci saranno dei momenti in cui qualcuno andrà tornare (non capire il networking) e dire: " Oh, non c'è modo che io apra molte porte! Un utente malintenzionato mi ucciderà! "

Sul lato NAT dell'equazione, molti firewall cambieranno le informazioni di indirizzamento (questo è ciò che fa NAT), ma non sono in grado di modificare le informazioni di indirizzamento IP INSIDE del messaggio SIP. Quindi, ciò che accade è questo:

SIP PACKET ORIGINALE

   MESSAGE sip:[email protected] SIP/2.0
   Via: SIP/2.0/TCP ss7-2-voip.yourprovider.com;branch=1337
   Max-Forwards: 70
   From: sip:[email protected];tag=1337
   To: sip:[email protected] <---- TAKE NOTE

PACCHETTO NAT MODIFICATO

   MESSAGE sip:[email protected] SIP/2.0
   Via: SIP/2.0/TCP ss7-2-voip.yourprovider.com;branch=1337
   Max-Forwards: 70
   From: sip:[email protected];tag=1337
   To: sip:[email protected]:23456 <--- NAT REWRITE PORT TUPLE

Il modo migliore per superare la paura è fare una regola individuale con il tuo fornitore. Se succede qualcosa tramite il tuo provider, sono da biasimare.

score 0 · Answer 3

Fare una DMZ su un adattatore telefonico VoIP non causa danni alla rete.

Il modo giusto per fare una DMZ è assegnare un host DMZ sul router e assegnare lo stesso IP per il tuo VTA, questo farà sì che il tuo VTA sia esposto a Internet; gli altri dispositivi collegati al router (computer, telefoni, ecc.) rimarranno comunque protetti dietro il firewall dei router.

Un adattatore telefonico VoIP (come Grandstream HT802) non può essere violato perché non ha nulla da hackerare (nessun sistema operativo, processore logico o una memoria locale) l'unico danno che possono fare a un tale dispositivo è corrotto il suo firmware e renderlo non operativo ma non può rubare informazioni dal tuo computer (non ha l'hardware per farlo), non può comunicare con un computer, e anche perché il tuo computer è ancora protetto con il firewall, è come una casella fittizia che accede al server ISP dei provider di servizi e trasmette la conversazione tramite il telefono analogico ad essa collegato.

La differenza con un dispositivo che può essere compromesso è che l'adattatore telefonico VoIP non ha nulla da hackerare, ma un normale server lo fa.

score -5 · Answer 4

-5

Sì, è un problema di sicurezza in sé. Il dispositivo VoIP diventa un bersaglio per le frodi tariffarie basate su VoIP. La maggior parte dei dispositivi VoIP rivolti verso Internet tendono ad avere nomi utente e password.

risposta data 25.03.2015 - 17:47

fonte