|
|
|
| VoIP Güvenlik | |
| | Yazar | Mesaj |
---|
Admin Selahattin
Mesaj Sayısı : 65 Kayıt tarihi : 15/07/07
| Konu: VoIP Güvenlik Paz Tem. 15, 2007 4:37 pm | |
| Voice Over Ip Security IP Üzerinden Ses Taşıma ve Güvenlik
Ülkemizde gittikçe ivmesini arttırarak ilerleyen telekom marketi IT sektöründe de bir hareketlenme yaşatmakta. Bu hareket Türkiye’de yeni bir iş alanı açmakla birlikte IT bilgimize yeni uygulama, terim, cihaz ve yeni bilgi getirmektedir. Tabii tüm bunların yanında IT sektöründe kaçınılmaz olan güvenlik sorusu akla gelmektedir:
VoIP güvenli mi? Neler yapılabilir veya nasıl korunulabilir? Ve daha birçok soru...
‘VoIP Güvenliği’ adlı yazı serimizde bu sorulara elimizden geldiğince yanıt vermeye çalışacağız. VoIP de ne tip saldırılar olmakta, ne işe yararlar, nasıl yapılırlar, nasıl engellenirler vs....
Bildiğimiz gibi saldırıları veri çalma, yok etme, değiştirme ve engelleme olarak 4 ana gurupta incilemek mümkün. Bu güne kadar veri ağlarında hep karşımıza bu 4 tip saldırı tipinden biri çıkmıştır. Peki VoIP’de de aynı mı durum? Aslına bakarsanız evet, tek bir farkla. Evet sistemi tamamen çökertmek, verileri komple silmek, çalmak veya değiştirmek gibi saldırılar da mümkün olduğu gibi bir de kaynak kullanımı gibi ilginç bir saldırı söz konusu VoIP’de. Ve işin aslı da tamamen buna dayanmakta. Tear-1,2 veya 3 büyüklüğünde herhangi bir Telekom Operatörünün sistemini çökertmek, verileri silip sistemi kapatmak veya trafiği engellemek ne ise yarar bilemem ama (bence çok ileri derecede bir saldırganlık örneği olur bu), sahip olunan verileri çalmak size diğer operatörlere saldırabilmek gibi bir avantaj sağlar. Tüm bunlar bir yana daha önce de dediğimiz gibi VoIP güvenliğinde asıl önemli olan ve en çok kullanılan saldırı tipi kaynak kullanımı olmaktadır. Kaynak kullanımı ne demek ?
Daha ileride daha detaylı olarak inceliyecğimiz telekom operatörlerinin çalışma sistemini şimdi bu soruyu cevaplayabilmek için kısaca inceleyelim :
Her operatör arama sonlandırma ve başlatma hizmetlerini verebilmek gibi aynı anda bir operatörden satın alıp diğerine satmak gibi bir rol de üstlenirler. Buna trafik borsası da denebilir. Bu işemi yapmakta olan bir operatör düşünelim. Bir çok operatörden ses trafigi satın alıyor ve başkalarına satıyor veya bunları uygun şekilde sonlandırıyor. Operatörler diğer operatöden aldığı ses trafiğini ayırt edebilmek için kendilerine trafik yollayan operatörlere prefix adını verdiğimiz o operatörü tanımlayan bir rakam dizisi verir. (Örneğin; 2345# veya 123456789#) Ve diğer bir operatöre kendi prefix’i ile yollar veya sonlandırır. Şimdi hayal gücümüzü kullanalım ve en basit VoIP atağının nelere mal olacağına bir bakalım. Hiçbir koruması olmayan bir operatörün sistemine girip gerekli tanımlamaları çalabilirseniz, artık bu operatöre doğru istediğiniz gibi trafik yollama şansına sahip olursunuz. Bu ne gibi bir yarar sağlar? Eğer bu markette iş yapıyorsanız ve böyle bir para ödemeden ses trafiği yollayabileceğiniz bir gateway veya gatekeeper varsa bir gecede birkaç bin dolardan yüzbinlerce dolara kadar parayı nakit olarak kazanmanız mümkün. Kaldı ki genelde karşılaşılan VoIP saldırıları da bu yönde olmaktadır.
En basit tipte saldırı bu şekilde olur dedik. Nelere dikkat edilmeli? Nasıl kurulmalı veya korunmalı? Bu soruların cevaplarının önemi, böyle bir ağı kurarken harcanacak milyonlarca doları harcarken bir kez daha önem kazanmaktadır. Çünkü yanlış kurulan veya korunan bir operatör belki sadece 1 gece değil anlayıncaya kadar onlarca gece sömürülmeye mahkum olacaktır. Ödeme günü geldiğinde ise, parasını alarak kabul ettiği trafiğin yanında kaçak olarak açıklardan giren trafiğin parasını da ödemek zorunda kalacak ve belki artık yapacak birşeyi de kalmamış olacaktır.
Dediğimiz gibi IP Telephony, VoIP hayatımıza yenilikler getirdi her alanda. Ama yeni terimlerle birlikte. İşte bu yüzden yazımızın daha ileriki bölümlerinde bazı terimleri türkçeye çevirmeden, jargon da kullanıldığı gibi kullanarak daha rahat anlatabileceğimizi düşündük. Tabi terimlerin anlaşılabilmesi için bir voip sözlüğü ile bu bölüme son vereceğiz. Umarız bu sözlük ileriki bölümlerde size zorluk yaratmadan yazının anlaşılmasında yardımcı olur.
Editör Notu: Eğer sözlükte olmayıp yazının ilerleyen bölümlerinde geçen yabancı bir terim olursa lütfen bize haber veriniz, en kısa sürede sözlüğe eklemek ilk işim olacaktır.
Sevgiler...
Tansel Akyüz
VoIP Glossary – VoIP Sözlüğü
AHT (Average Hold Time): Ortamala Bekleme Süresi Arayanın numarayı çevirdikten sonra, karşının açma veya kapama anına kadar geçen sure.
ANI (Automatic Number Identification): Telefonun arayan numarayı aranan tarafa iletmesi, CallerID örneği.
ASP (Application Service Provider): Uygulama Desteği Servisi Yazılım tabanlı uygulamarda 3.kuşak destek tipi. Uygulama WAN üzerinden kullanılarak belli kriterle gore ödeme yapılıyor. Bir nevi kiralamak gibi.
ASR (Answer-Seizure Ratio): Normal Gerçekleşen Arama-Toplam Arama Oranı Başarı ile gerçekleşen arama sayısının toplam arama girişimi sayısına oranıdır.
A-Z Rate – A’dan Z’ye Ücretler Bir operatörün elindeki, servis verebileceği tüm hedef noktaların (ülke, şehir veya özel bir nokta) ücret tarifesi.
Billing Increment: Faturalama kriteri Toplam arama süresini faturalandırırken, ilk arama ve kontur atış değerleri, sn olarak.
Buyer: Satın alan Telefon sonlandırma hizmetini satın alan şahıs yada şirket.
Buyer Tariff: Satın Alma Tarifesi Satın alınana sonlandırma hizmetinin lokasyonlara gore fiyatlandırması. Genelde AtoZ rate diye geçer. A dan Z ye verilebilen sonlandırma hizmetinin fiyatlarını içerir.
Call: Arama 2 uç nokta arasında gerçekleşmiş yada gerçekleşmesi için girişimde bulunulmuş ses bağlantısı.
Call deflection: Çağrı Yönlendirme H450.3 olarak tanımlanan, bir uç noktadaki cevaplanmayan bir H323 aramasının başka bir H323 uç noktasına aktarılması.
Call Detail Record (CDR): Arama Detayı Tek, tek bütün aramaların detaylarını içeren, otomatik olarak yaratılmış, zaman dilimlerine göre sıralanan, indirilebilen rapor dosyası.
Codec - Compression-decompression: Sıkıştırma Arama esnasında ses paketlerinin sıkıştırılması için kullanılan protocol.
Congestion: Tıkanıklık Gerçekleşmek isteyen trafiğin sahip olunan bant genişliğini aşması sonucu ortaya çıkan sıkışma.
Contract: Kontrat Arama sonlandırması satın almak veya satmak için 2 veya daha fazla taşıyıc (Carrier) arasında yapılan anlaşma. Kontrat, önerilen dakika fiyatı (Tarif), ödeme periyodu, istenen veya taahhüt edilen dakika miktarı, arama faturalama kriteri, en az bir tane kayıtlı gateway veya gatekeeper gibi bilgileri içerir.
Deposit: Depozit Taşıyıcılardan satın alanın satana yaptığı bir ön ödemedir. Bu ödeme kredi olarak kullanılır.
Dial-peer Adreslenebilir arama uç noktası. Aranan taraf. Aranan uç noktanın gitmesi gereken adresi ve hangi aygıtın hangi ses portunda gideceğini söyleyen tanım.
Dial-peer hunting Aranan uç noktanın meşgul olması, yanlış numara hatası alma veya dial-peer tanımlanmamış numara aranması gibi durumlada aranabilecek diğer numara.
DiffServ (Differentiated Services): Ayrıcalık Tanıma Servisi Eğer ban genişliğini zorlayan başka bir protocol var ise ses paketlerine öncelik tanıyarak sesin kalitesini arttıran servis.
DNIS (Dialed Number Identification Service): Arayan Numara Tanımlama Servisi Arayan numaranın cevaplayan karşı tarafa yollanması özelliği.
DTMF (Dual-Tone Multifrequency) Telefonun tuşlarına bastıkça üretilen ses sinyali çeşitleri.
E&M (Ear and Mouth) Analog PBX bağlantısını karşılayan portlara verilen ad.
E.164 Uluslar arası telekomünikasyon sayısal planı. E164 numarası, eşsiz olup, genel ağ sonlandırma noktasını temsil eder. 3 alan içerir. CC (Country Code) Ükle Kodu, NDC (National Destination Code) Ulusal Hedef Kodu ve SN (Subscriber Number) Kullanıcı Numarası. En fazla 15 dijit olabilir.
E1 Geniş Ağ dijital transmisyon şeması. Avrupa için : 2,048 Mbits/s; 31 kanal, her biri 64 Kbps.
EndPoint: Uç Nokta Bütün arama topolojisi göz önüne alınırsa, aramanın başladığı veya aramanın karşılandığı noktalar uç noktalardır. Aramanın gerçekleşmesi için arada rol gateway ve gatekeeper lar ise her biri karşılıklı kendi içinde uç nokta olarak anılabilir.
Failed Call: Gerçekleşemeyen Arama Arama gerçekleşti mesajını alamayan her arama denemesi, gerçekleşemeyen aramadır. Genelde ücretlendirilmez. Ama faturalandırma tarifelerine göre bir kısmı ücretlendirilmiş olabilir.
FXO (Foreign Exchange Office) Analog PBX bağlantısını karşılayan ses aygıtı. Dial-Tone vermez. Santralin dahili tarafına bağlanan tek kanal analog ses portudur.
FXS (Foreign Exchange Station) Telefon, Fax gibi cihazların direk takılabildiği ses aygıtı. Santralin harici (PSTN) tarafına bağlanır ve Dial-Tone verir.
G.711 64 kbps, yüksek kalite, düşük işlemci yükü.
G.723.1 6.4/5.3 kbps, orta kalite, yüksek işlemci yükü.
G.726 16/24/32/40 kbps, iyi kalite, düşük işlemci yükü.
G.728 16 kbps, orta kalite, çok yüksek işlemci yükü.
G.729 8 kbps, orta kalite, yüksek işlemci yükü.
G.7xx Ses sıkıştırmada ITU standartları.
Gatekeeper IP ağlarında ses, fax ve multimedia uygulamalar için yönetim görevi gören merkezi kontrol aygıtı. Gatekeeperlar çalışmakta olduğun ağın bilgi kaynağıdır. Adres çözümleme, kimlik tanımlama ve yetkilendirme, CDR kaydı ve ağ yönetim sistemleri ile iletişim sağlar. Gatekeeper lar bant genişliğini kotrol edebilme, eski sisteme ara bağlantı sağlamak, gerçek zamanlı ağ yönetimi ve yük dengeleme ile ağı izleme yeteneklerine de sahip olabilir. | |
| | | Admin Selahattin
Mesaj Sayısı : 65 Kayıt tarihi : 15/07/07
| Konu: Geri: VoIP Güvenlik Paz Tem. 15, 2007 4:38 pm | |
| Gateway IP telefon sisteminde, ses ve fax aramalarını, gerçek zamanlı olarak PSTN (Public Switched Telephone Network) ve IP ağı arasında çevirmeye yarar. Ses ve fax sıkıştırma ve açma, paketleme, arama yönlendirme ve control sinyalleşmesi başlıca görevleridir. Ek olarak, dışarıdan bağlantı için arabirim sağlar, mesela Gatekeeper veya softswitch, faturalandırma sistemi ve ağ yönetim sistemleri.
Grace Period: Müsade Süresi Aramanın başladığı zaman aralığı. Sn olarak anılır.
H.225 RAS, RTP/RTCP, Q.931 arama sinyalleşmesi protokolleri ve H323 mesaj formatı için kullanılır.
H.245 Karşılıklı uygunluk iletişimini, medya akışı için açık ve kapalı kanalların mesajlarını ve benzeri iletişimi sağlayan protokoldur. (örneğin; medya sinyalleşmesi)
H.323 Paket tabanlı, çoklu media iletişim sistemlerini tanımlayan ITU-T ‘Şemsiye’ standardıdır. Bu standart değişik çoklu media uç noktalarını bir nevi çoklu media sistemine (uç noktalar, Gateway ler, MCU(Multipoint Conferencing Units – Çok noktalı konferans cihazı) ve Gatekeeper lar) çevirmeye ve iletişim kurmalarına yarar. BU standart birçok IP üzerinden ses taşıyan uygulamada kullanılır. Ve diğer standartlara (H.225, H.245) göre özellikle gereklidir.
Hairpin Teekom terimidir. Anlamı; Aramanın geldiği yol üzerinden geri arama yollamaktır. Örneğin; eğer arama, aramanın başladığı en yakın gateway’e IP üzerinden taşınamıyor ise geldiği yoldan local gateway’e aynen geri yollanır.
Hop off Genellikle gateway’lerde görülen H.323 ile arama yapmak isterken karşıda H.323 olmayan bir karşılama söz konusu olmasıdır. Lokalde hopoff olmuş demek haippin olmuş demektir. Örneğin; Aranılan numara için verilen tanımlamalar dial-peer tanımlarında yok ise gatekeeper en yakın local gateway’e aramayı geldiği yoldan yollar.
IP Centrex Arama bekletme, arama transfer etme, aranan son numara, tekrar arama, arama yönlendirme, 3 yollu arama gibi servisleri sunar. Fakat sadece paket tabanlı ağlarda olabilir.
IP Telephony – IP üzerinden telefonculuk Ses ve fax aramalarının veri ağları üzerinden IP (Internet Protokolü) ile aktarılmasıdır. IP telephony, devre-anahtarlama (circuit-switched) telefon ağlarının, paket tabanlı telefon ağlarına dönüşümünün bir sonucudur. Ve ses sıkıştırma teknikleri, esnek ve sofistike transmisyon teknikleri, zengin servis kullanımı gibi getirileri olmuştur.
ITSP Internet Telephony Service Provider. IP üzerinden telefonculuk hizmeti veren şirket.
ITU-T Telekomunikasyon sektörü için ITU standartları.
Jitter Butun paketlerin iletilmesinde yaşanan toplam gecikme miktarı.
Latency - Gecikme Pakedin kaynaktan hedefe ulaşıncaya kadar harcadığı zaman. Geçikme ve bant genişliği, hız ve ağın kapasitesini tanımlar.
Media Gateway – Medya Geçidi Ses gibi medyaların başladığı ve bittiği noktalarda kullanılan cihazlar. Bu iletişim esnasında geçilen her Gateway ve Gatekeeper’larda aslında karşılıklı olarak birer Media Gateway’dir.
MGCP (Media Gateway Control Protocol) – Media Gateway Kontrol Protokolü H.323 ve SIP protokollerinin tamamlayan protokol. Gateway gibi control elemanlarının Media Gateway’leri control etmesi için dizayn edilmiştir. Gateway Location Protocol (GLP – Gateway Lokasyon Protokolü) ile birlikte çalışır. PSTN tarafından gelen aramayı, gerekli noktaya ulaşması için ara iletişim kanalını açar. MGCP, yeni paket üzerinden ses taşıma standartları getirerek sistemi kolaylaştırmış, complex ihtiyaçları elimine etmiş, kaynak kullanımını azaltmış ve uçlardaki terminallerin fiyatlarını azaltmıştır.
Minimum Duration – En az süre Aramanın, ne kadar kısa sürerse sürsün yuvarlanacağı arama süresi. Örneğin hizmet aldığınız operator 30 sn ile belirlemişse bu süreyi, siz 20 sn de görüşmüş olsanız 30 sn olarak ücretlendirilir. Genellikle bu süre 30 veya 60 sn dir. (Editör Notu : Eğer kötü niyetli değillerse tabii. Şahsen bunu 120 hatta 240 sn olarak ücretlendirenlerini bile gördüm. Düşünsenize, telefon ettiniz arkadaşınıza ve ‘geciktim ama yoldayım’ dediniz ve kapattınız. Mesaj yazacak durum da yok. Gitti 10 sn için 4 dakika. )
PBX (Private Branch eXchange) Ev veya ofis içinde telefonların haberleşmesini sağlayan şebeke. Aynı tüm bunları birleştiren genel şebeke gibi.
PRI (Primary Rate Interface) 30 B kanalı 1 D kanalı olan ISDN servisi. PRI 30 adet ses kanalı içeren dijital ses arayüzüdür.
PSTN (Public Switched Telephone Network): Genel Anahtarlamalı Telefon Ağı Telefon aramalarını bakır teller üzerinden bir uçtan diğer uca kadar taşıyan şebeke.
Q.931 ISDN bağlantı control protokolü. Akış kontrolü ve tekrar yollama desteği yoktur. Bağlantının kurulması ve sonlandırılması ile sorumludur. H.323 senaryosunda; bu protocol TCP’de paketlenir ve 1720 numaralı TCP portuna yollanır.
QSIG Q sinyalleşmesi. Sİnyalleşme standardı. ISDN Q.931 standardına dayanan, bilinen kanal sinyalleşmesi. Birçok PBX’de kullanılır.
RAS (Registration, Admission, Status): Kayıt, Girme izni, Durum Terminaller ve Gateway’ler arası yönetim protokolü.
RSVP (Resource Reservation Protocol): Kaynak Rezervasyon Protokolü BU protocol IP ağlarında kaynak rezervasyonu yapar. IP üzerinde çalışan uygulamalar bağlanılan uç noktadaki transfer edilmek istenen paket akışı doğasını (bant genişliği, trafiğin çıkabileceği en uç nokta, jitter ve benzeri) görmek için RSVP protokolü kullanabilirler. RSVP IPv6 ya bağımlıdır.
RTP (Real-Time Transport Protocol): Gerçek Zamanlı Transport Protokolü Genellikle IP ağlarında kullanılır. RTP uçtan uça ağda, uygulamaların gerçek zamanlı veri transferi yapabilmeleri için tasarlanmıştır. Örneğin; ses, görüntü veya simülasyon verisi. Multicast veya Unicast olabilir.
SS7 (Signalling System 7): Sinyalleşme Sistemi 7 PSTN’de SS7, aramanın başlatıldığı bölgeden başka bir hakim bölgeye doğru giden aramaların başlatılması ve yönetilmesi için kullanılır. Buradan da anlaşılacağı gibi, SS7 ancak operatörler arasında kullanılır. Bu protokol aslında IP tabanlı ağlarda BGP protokolüne benzetilebilir. SS7 : • Aramanın başlatılması, kurulması ve yönetilmesini • Arama bittiği zaman sonlandırılmasını • Ücretlendirilmesini • Arama yönlendirme, • Arayan numaranın gösterilmesi • 800 ve 900’lü numara, • Kullanıcı tanımlama, kişisel dolaşım
Gibi servisleride destekler.
SIP (Session Initiation Protocol): Oturum Başlatma Protokolü Uygulama katmanı protokolüdür. Internet Telefonculuğunda sinyalleşme için kullanılır. SIP, ses/görüntü konferansı veya etkileşimli oyunlar için oturum açar. IP ağlarında arama aktarma özelliği getirerek, IP telefonculuk yapan servis sağlayıcıların web, elektronik posta veya chat servisleri ile bu özelliği birleştirmesini sağlar. Ek olarak, kullanıcı tanımlama, yönlendirme ve kayıt olma servisleri sağlar. SIP geleneksel telefonculuk özelliklerini de desteklemektedir, örneğin; kişisel dolaşım, günün saatine göre arama yönlendirme, coğrafi duruma göre arama yönlendirme.
Softswitch (Proxy çalışan Gatekeeper, Arama Sunucusu, Arama Ajanı, Media Gateway denetleyicisi, veya Anahtar Denetleyici olarak da bilinir) PSTN ile IP Telefon arasında köprü görevi görür. Media Gateway’den gelen telefon aramasının control edilmesi işini görür. Protokol dönüştürme, kimlik tanımlama, yetkilendirme ve yönetim görevleride vardır.
Trunk İki nokta arasında iletişim kanalı. Tipik olarak, birçok aramayı kaldırabilecek anahtarlama merkezleri ile veri sinyalleşmesi arasındaki yüksek bant genişliklerine sahip telefon kanalları olarak adlandırılır.
VoIP (Voice over IP): IP üzerinden Ses Normal telefon sistemindeki sesi IP tabanlı Internet üzerinden aynı ses kalitesinde, güveninirliliğinde ve özelleiklerinde taşımaktır. Telefon ve fax konuşmalarının router (yönlendirici) üzerinden taşınmasıdır. VoIP’de, DSP (Digital Signal Processing – Dijital sinyal prosesi) segmantleri ile ses sinyali frame’lere çevrilir ve belli bir gurup oluşturduklarında ses paketlerine çevrilir. Bu paketler ITU-T’nin tanımladığı H.323 protokolü ile IP üzerinden transfer edilir.
VoIP Termination Service – VoIP Sonlandırma Servisi IP üzerinden taşınan ses trafiğinin sonlandırılabilmesi servisidir. Örneğin; bu hizmeti veren bir operötörün belli noktalarda VoIP’i PSTN yani lokal servise sunmasıdır. Yani, her eve giden bakır tellerin oluşturduğu PSTN şebekesi ile IP tabanlı system arasında geçiş sağlamaktır.
VoIP Origination Service – VoIP Başlatma Servisi Sonlandırma servisinin tam tersidir. Yani ses trafiğinin PSTN şebekeden alınıp IP tabanlı sisteme yollanmasıdır. | |
| | | | VoIP Güvenlik | |
|
| Bu forumun müsaadesi var: | Bu forumdaki mesajlara cevap veremezsiniz
| |
| |
| |
|