Deep packet inspection dei pacchetti VOIP

0

Alcune società di telecomunicazioni in Europa e forse in altre parti del mondo ora vogliono addebitare ai loro clienti il traffico VOIP (forse alcuni lo stanno già facendo), ad es. l'uso di Viber, Skype ecc. poiché è "gratuito" da utilizzare su Android e IOS.

Credo che useranno l'ispezione approfondita dei pacchetti per leggere le intestazioni dei pacchetti per capire che proviene da servizi come Viber e Skype.

Voglio discutere il punto di vista della sicurezza su questo e in che modo è possibile per un cliente bypassare l'ispezione del pacchetto e cosa può fare un'azienda di telecomunicazioni per ispezionare i pacchetti anche se un cliente tenta di bypassare l'ispezione.

Questo è ciò che so che renderà il cliente in grado di bypassare l'ispezione e che cosa può fare un'azienda per ispezionare i pacchetti anche se sono crittografati.

Per bypassare l'ispezione dei pacchetti:

  • Usa VPN
  • Utilizza un tunnel SSH
  • Gli sviluppatori di Viber e Skype aggiungono il supporto SSL nella loro applicazione

Per ispezionare:

  • Leggi le intestazioni dei pacchetti per vedere da quale applicazione provengono i pacchetti
  • Leggi l'intervallo di tempo e le dimensioni del pacchetto

Cos'altro può fare un cliente per l'ispezione e cos'altro può fare un'azienda per ispezionare i pacchetti?

    
posta Rox 20.04.2012 - 11:53
fonte

1 risposta

3

Non sono riuscito a trovare articoli che lo dicessero e dubito strongmente che ti facciano pagare per questo (a meno che tu non stia usando i loro servizi VOIP invece di skype). La ragione di ciò è che alcuni provider danno priorità a questo tipo di traffico sulla loro rete e alcuni addirittura hanno reti separate speciali (funziona solo per i loro telefoni / servizi VOIP).

Non puoi davvero cifrare voip stesso con SSL. La ragione di ciò è che VOIP usa UDP. SSL richiede un protocollo stateful come TCP. Quindi un tunnel VPN sarebbe l'unica opzione.

Se vogliono sapere se stai usando VOIP avresti davvero bisogno di fare DPI con IPv4. Con IPv6 questo non è necessario in quanto IPv6 ha uno speciale campo di intestazione per identificare il traffico.

La tua migliore opzione sarebbe ancora una VPN. In realtà non conosco altri modi.

Modifica

Bruno ha suggerito di poter utilizzare DTLS anche a livello di implementazione.

    
risposta data 20.04.2012 - 12:04
fonte

Leggi altre domande sui tag