Ja se si

Rrjetet Konvergjente dhe Voice over Internet Protocol (VoIP)

Mar 3 2009
0 Shpërndarje
Rrjetet Konvergjente dhe Voice over Internet Protocol (VoIP)

alt

“Sajimi i politikës për sigurinë e rrjeteve mund të jetë i ndërlikuar për faktin se një politikë racionale kërkon që organizata të ndërlidhë sigurinë e kompjuterëve dhe të rrjeteve, me sjelljen njerëzore dhe të vlerësojë dobinë e informacionit.” Douglas E. Comer, profesor në Purdue University

 

Rrjet konvergjent quhet rrjeti që ka aftësinë e transmetimit të zërit, të të dhënave, faksit, videos, ose ndonjë kombinimi të këtyre llojeve të sinjaleve ose mjeteve të komunikimit. Të drejtuara nga teknologjitë e reja të Voice over IP (VoIP) dhe nevojës për uljen e kostos, shumë ndërmarrje po projektojnë rrjete konvergjente të reja, me qëllim migrimin e teknologjive të zërit dhe aplikacioneve. Gjithashtu, një nga definicionet me të përfolura nga autorët është edhe ai i konvergjencës së telekomunikimeve, që shihet si bashkim i trashëgimisë së bazuar në arkitekturën e Time Division Multiplexing (TDM) me teknologjinë e sotme të transferimit-në-paketa (Asynchronous Transfer Mode [ATM], frame, IP, ose rrjete të të dhënave) dhe inteligjencës të thirrjes-së-kontrolluar. Kjo u mundëson transportuesve komercialë dhe ofruesve të shërbimeve, të konsolidojnë rrjetet e zërit dhe të të dhënave, që të ofrojnë shërbime të integruara komunikimi.  Rrjetet konvergjente përbëhen nga arkitektura e bazuar-në-paketa që kryesisht kombinojnë shpejtësinë dhe efikasitetin e rrjeteve të brezit të gjerë me arkitekturën me tipare të shumta të Signaling System 7 (SS7). Rrjeti SS7 është lidhje vitale në mes të rrjeteve të zërit dhe të të dhënave. SS7 mundëson rrugëtimin dhe komandimin e trafikut të zërit dhe të dhënave përtej rrjeteve konvergjente, ndonëse vazhdon t’i bëjë të disponueshme shërbimet e rrjetit inteligjent për botën tradicionale të telefonisë. Veç kësaj, rrjetet SS7 i lidhin thirrjet më shpejt dhe kështu ulin koston e përgjithshme të punës.

Në rrjetet konvergjente, thirrja rrugëton deri te pajisja e hostit në sajë të A-linjave të SS7, ku hosti fillimisht do të verifikojë miratimin dhe pajisë me një lloj regjistrimi të menjëhershëm, pranon numrin e shënuar në regjistër dhe kështu drejton thirrjen përmes metodës së rrugëtimit më të lirë deri në destinacion. Bazuar në kosto, thirrja çon jashtë portën e transferimit-në-paketa deri tek reja e regjimit të transferit asinkron (ATM) që ndodhet në distancën e fundme, ku pastaj një portë tjetër pranon thirrjen dhe e drejton nëpërmjet rrjetit telefonik me komutator publik (PSTN)  deri në destinacion.
Rrjetet e komunikimit:
Rrjete tradicionale të komunikimit mund të ofrojnë një nga dy llojet e ndryshme të shërbimeve të rrjetit: shërbime të orientuara-në-lidhje (CON) dhe shërbime me lidhje-të-pakta (CNLS). Shërbimeve të orientuara-në-lidhje ju duhet të vendosin një sesion lidhjeje (analog me thirrjen telefonike) para se të dhënat të dërgohen. Këto shërbime ngrenë lidhje virtuale mes sistemeve të fundme tejpërtej rrjetit. Në anën tjetër, shërbimeve me lidhje të pakta nuk ju duhet vendosja e sesionit mes të dërguesit dhe marrësit. Dërguesi thjesht fillon të dërgojë paketa (të quajtura datagrame) për në destinacion. Ky lloj shërbimi nuk ka besueshmërinë e shërbimeve të orientuara-në-lidhje, por është i dobishëm për transfere periodike të vrullshme. Në mënyrë të ndërsjellë, asnjëri nga sistemet nuk ruan strukturën e të dhënës për sistemet të cilëve ju dërgojnë transmetim ose marrin transmetim.
Rrjetet tradicionale të zërit klasifikohen si rrjete me orientim-në-lidhje, në të cilat shtegu nga burimi për në destinacion vendoset përpara se informatat të barten. Për dallim nga këto, rrjetet tradicionale të të dhënave klasifikohen si rrjete me lidhje-të-pakta, në të cilat adresa e burimit dhe destinacionit i bashkëngjitet informatës së paketit, me çka pastaj paketi hidhet në rrjetë për tu bartur deri në destinacionin e fundit. Megjithatë, rrjetet me lidhje-të-pakta nuk mund të garantojnë se paketat do të shpërndahen sipas radhës së transmetimit.

Kërkesat e implementimit:
Duke pasur në konsideratë faktin se implementimi i rrjeteve VoIP përkrah të dy komunikimet, atë të zërit dhe të të dhënave, procesi i projektimit duhet të marrë parasysh të dyja këto kërkesa. Vetë fakti se të dyja këto rrjete paraqesin sfida unike, faktorët në vijim duhet marrë në konsideratë gjithashtu:
Përcaktimi i objektivave të rrjetit VoIP, përfshi këtu aplikacionet që do të përkrahen siç janë: konferencat me video ose uebsitet me përkrahje audio.
Të kihen parasysh mjediset punuese te teknologjive aktuale të zërit dhe të dhënave.
Të përpilohet dokumenti me kërkesat e sistemit, i cili do të përshkruajë nyjet e bashkimit që sistemi duhet të ofrojë dhe përfshirja e objektivave të duhura të projektimit siç janë: vonesat nga skaji në skaj, besueshmëria, niveli i papërcaktueshmërisë dhe të tjera.
Të konsiderohet sistemi zëvendësues që do të përkrahë këtë rrjet siç janë: menaxhimi i rrjetit, analizat e rrjetit, siguria e rrjetit dhe përkrahja e përdoruesve.
Zhvillimi i procedurave të instalimit dhe planeve të miratuara të sistemit, përfshi këtu testimet ndër-operuese mes të komponentëve të ndryshëm.
Instalimi i sistemit të ri në mjedis laboratorik ose në lokalitet pilot, me qëllim testimin e funksionalitetit dhe aplikacioneve të tij, para se të vendoset në mjedis të vërtetë pune.
Të përdoret shqyrtuesi i protokolleve, siç është Sniffer Portable Analyzer, me qëllim të dokumentimit të transaksioneve të komunikimit, siç janë konfigurimi i thirrjeve.
Për sa vazhdon vendosja në skenë e rrjetit, të kontrollohet funksionaliteti i secilës komponentë të rrjetit, përfshi këtu ndër-operimi i sistemeve nga prodhues të ndryshëm siç janë procesorët e postës së zërit.

Pohimet e mësipërme patën në fokus dallimet në mes të rrjeteve të zërit dhe atyre të të dhënave, ku rrjetet e zërit kryesisht projektohen për të arritur besueshmëri të lartë ndërsa rrjetet e të dhënave operojnë sipas modelit shërbimet me “përpjekje më të mirë”. Si pasojë, nevoja për të mbindërtuar rrjetin ekzistues të zërit me infrastrukturën e VoIP kërkon të merren në konsideratë një numër i konsiderueshëm i elementeve për projektim të rrjeteve si dhe të faktorëve operues që prekin Kualitetin e Shërbimeve. Një nga faktorët më të shquar që prekin Kualitetin e Shërbimeve janë pa dyshim përcaktimi i sasisë të gjendjes latente dhe të vonesave që shkaktohen gjatë transmetimeve nga skaji në skaj.

Komponentët e Sigurisë së VoIP:
Arkitekturat e VoIP: Dy arkitektura të VoIP janë vendosur si standarde dhe që të dyjat po përdoren me të madhe dhe implementohen kudo në botë. Emrat e tyre reflektojnë protokollet e sinjalizimit që ato përdorin: arkitekturat H.323 dhe SIP. Arkitektura H.323 është më e vjetra, por kjo nuk do të thotë se nuk përmban të metat e saj. Në anën tjetër, edhe pse arkitekturë më e re, SIP është bërë protokolli sinjalizues mbizotërues për përdorim në teknologjitë e reja. Siç edhe ndodh me shumicën e teknologjive të rrjeteve dhe të Internetit, shumica ndajnë mendimin se H.323 do të ishte tashmë arkitekturë e harruar. H.323 është një shpatë me dy teha, që do të thotë se ishte H.323 arkitektura që mundësonte implementimin e shumicës së zgjidhjeve VoIP deri në ditët e sotme dhe njëkohësisht ishte edhe pengesa më e madhe e ndër-operimit të rrjeteve VoIP mes prodhuesve të ndryshëm.

H.323 është produkt i punës së përbashkët të Internet Engineering Task Force (IETF) dhe International Telecommunication Union Telecommunication Standardization Sector (ITU-T) për të përshtatur shtrirjen e multimedias nëpër rrjetet e IP-së. Ky ngërthen në vete konferencë audio, video dhe të dhënash dhe ofron platformë të komplete për të mundësuar një komunikim të tillë (packetizer). Është protokoll i fuqishëm që mund të akomodojë pajisje të ndryshme dhe të ndërtojë një rrjet që korrespondon me mundësitë e rrjeteve PSTN. Për këtë arsye, H.323 u bë bazament për shumicën e implementimeve të VoIP “gjatë viteve të më hershme”. Megjithëse H.323 posedon aftësitë për të projektuar rrjete shumë të besueshme, përshtatshmëria dhe zgjerueshmëria janë pjesë e rënies së tij. Kështu, H.323 bëhet i veçantë në implementim, duke penguar ndër-operimin në mes të furnizuesve të ndryshëm, ose edhe të shitësve të ndryshëm, në të njëjtin rrjet.

Me qëllim tejkalimin e problemeve të H.323, IETF zhvilloi protokollin SIP, posaçërisht për implementim të shërbimeve VoIP. SIP ofron të njëjtat funksione të sinjalizimit si edhe H.323, por e lehtëson procesin. Bazohet në formatin me komanda, me çka u mundëson pajisjeve të skajshme të komunikojnë në mënyrë direkte në mes tyre pa pasur nevojë për porta të ndërmjetme për të analizuar dhe deshifruar mesazhet. Kështu, duke e kufizuar përdorimin e SIP vetëm për shërbime të VoIP, evitohet një sasi e madhe e kompleksitetit të H.323, meqë nuk ka nevojë për trajtim të shërbimeve të tjera multimediale. Të gjitha thirrjet ose sesionet e të dhënave ndajnë karakter të ngjashëm. Me gjithë këtë, pajisjet për VoIP nuk janë pa shumëllojshmëri.

Mjerisht, SIP nuk është projektuar me të njëjtin format të zgjerueshmërisë si edhe H.323 dhe kjo me qëllim që të evitohen problemet e ndër-operimit. Megjithëse në dukje të parë kjo po punonte mirë, me kalimin e kohës kur teknologjitë VoIP u bënë edhe më të avancuara, u paraqit problemi i zgjerimit të SIP pa rrënuar pajtueshmërinë (Packetizer). Mosha e problemit të vjetër e të qenurit prapavajtës i pajtueshmërisë ose të qenurit shumë efikas dhe efektiv nga procesorët, lënë pas kokën e shëmtuar të SIP. Gjithashtu, SIP bën të mundur përdorimin eksplicit të adresimit statik, me çka e vështirësohet kalimi i tij nëpër transferuesin e adresave të rrjetit (NAT), mureve mbrojtës dhe tuneleve të rrjeteve private virtuale (VPN). alt

Rreziqet dhe Kërcënimet:
Mohimi i Shërbimeve (DoS): Kërcënimi nga mohimi i shërbimeve në rrjetet e VoIP është i madh. Ky nivel kaq i lartë i rrezikshmërisë mban në vete shumë pikëpamje te ndryshme. Sulmet e rëndomta të DoS të vërshimit të rrjeteve me trafik të selektuar mund të rrëzojnë cilindo rrjet të dhënave, përfshirë këtu edhe rrjetet që mbartin shërbimet VoIP. Ky lloj sulmesh të DoS gjeneron një trafik masiv, i cili parandalon procedimin e kërkesave të vlefshme nga pajisjet në rrjet dhe në të shumtën e kohës ndal rrjetin në tërësi. Meqë VoIP është shërbim i kohës-reale, atëherë sulmet e tilla rrëzojnë në mënyrë efikase gjithë sistemin komunikues të organizatave. Megjithatë, nuk është i vetmi lloj sulmesh DoS që mund të ndodhë në rrjetet e VoIP.
Hakeri mund të përfitojë nga dobësitë e SIP, siç është ajo e mungesës të shqitjes së sigurt të sesionit të kërkuar. Në vend të posedimit të tërësishëm të rrjetit të të dhënave, hakeri mund të përqendrohet vetëm në rrëzimin e sistemit të VoIP. Kjo mund të ndodhë përmes depërtimit në rrjet dhe vërshimit të serverëve të VoIP me kërkesa për shqitje të sesionit. Në këtë mënyrë, kërkesat e paligjshme ngadalësojnë punën e serverit, ndërsa disa nga kërkesat e selektuara që drejtësisht identifikojnë sesionet valide në mënyrë të menjëhershme, do t’i ndërpresin thirrjet. Kështu, edhe pse rrjeti punon dhe sistemet VoIP funksionojnë, çdo orvatje për të realizuar një thirrje në mënyrë të parakohshme ndërpritet dhe kjo e bën të pamundur komunikimin në tërësi.
Spami përgjatë Telefonisë së Internetit (SPIT): Është një vazhdimësi e kërcënuesit më të pëlqyer nga gjithkush – SPAM. Përkundrazi, SPIT ka tërhequr me të madhe vëmendjen e mediave meqë mëton të jetë më shkatërrues se sa SPAM. Sistemet e postës elektronike deri në një masë ofrojnë mundësi për filtrimin e SPAM dhe atë ose duke evituar ndërfutjen e tij në rrjet, ose duke sistemuar mesazhet e këtilla, dhe/ose duke i asgjësuar këto mesazhe. Mjerisht, mundësitë e tilla janë të limituara në mjediset e produkteve të zërit. Shqyrtuesit e trafikut ofrojnë ndihmë deri në një masë të caktuar, por meqë bazohen në bllokimin e tërësishëm të trafikut të ardhur nga një vend i caktuar, në këtë mënyrë bllokojnë edhe ardhjen e mesazheve të pranueshme gjithashtu. Një mënyrë tjetër për të parandaluar SPIT është vendosja e sistemeve alarmuese ne rrjetet e VoIP me qëllim të uljes së sasisë së tij. Kështu, secila pajisje do të jetë në gjendje të identifikojë mesazhet nga burimet e dyshimta dhe të ofrojë një sasi të konsiderueshme mbrojtjeje. Kjo teknologji në bashkëpunim me teknologjitë për njohjen e zërit mund të ulë dukshëm sasinë e pohuesve të rrejshëm. Megjithëkëtë, teknologjitë e tilla janë akoma në fazën e hershme të zhvillimit të tyre. Deri më sot, SPIT nuk ka qenë një nga kërcënuesit kryesore në rrjetet VoIP, por ka potencial për tu bërë i tillë.
Mashtrimi dhe Pirateria: Mashtrimi konsiderohet një nga kërcënuesit kryesorë të VoIP, posaçërisht për faktin se disa nga raportimet e kësaj natyre mbushën ballinat e revistave për siguri të sistemeve informative. Ekzistojnë dy lloje mashtrimesh: mashtrim i tarifës premium dhe mashtrim i rishitjes. Të dy këto lloje mashtrimesh janë të ndërlidhura. Në mashtrimin e tarifës premium, hakeri depërton deri tek sistemi VoIP me qëllim realizimin e thirrjeve për në destinacionet me tarifë premium siç janë thirrjet ndërkombëtare, apo thirrjet e numrave të veçantë. Ky lloj mashtrimi ka kohë që ndodh nëpër korporata, sepse faturimi zakonisht ngatërrohet nga sasia e madhe e thirrjeve të realizuara nga vetë nëpunësit e korporatës. Ky lloj mashtrimi zakonisht është i ndërlidhur me personelin e brendshëm, që përfitojnë nga anonimiteti. Për dallim, mashtrimi i rishitjes ndodh kur hakeri arrin të depërtojë deri tek sistemi VoIP në pronësi personale apo korporate dhe duke përfituar nga kjo vrimë vendos shtegun për të realizuar dhe shitur thirrjet përmes rrjetit VoIP tashmë të sulmuar. Kohëve të fundit është raportuar nga disa furnizues të shërbimeve VoIP se mashtrime të tilla ka kohë që kanë ndodhur në rrjetet e tyre. Në përgjithësi, furnizuesit e shërbimeve VoIP përdorin prefikset në paketat IP, për të identifikuar thirrjet e tyre. Në anën tjetër, hakeri gjeneron miliona thirrje testuese mashtruese për të zbuluar prefikset që pranohen nga ana e sistemit. Sapo hakeri mëson se cili është prefiksi, fillon biznesin e tij, duke realizuar dhe shitur minutat përmes rrjetit të VoIP të furnizuesit legjitim.

Përgjimi dhe Vishing: Janë kërcënues të natyrave të ngjashme. Përgjimi ndodh kur hakeri vëzhgon rrjedhjen e medias, kap paketat e VoIP dhe orvatet të marrë informata të ndjeshme, duke përsëritur paketat në audio. Kjo zakonisht ndodh në rastin e sulmit të njeriut-në-mes ose të monitorimit të rrjetit VoIP në regjimin e shthurur. Në përgjithësi, përgjimi është më problematik në telefoninë e internetit, se sa në atë tradicionale, sepse mënjanon prezencën fizike të domosdoshme për të vendosur një linjë. Në anën tjetër, Vishing është i ngjashëm me Phishing. Në sistemet VoIP, hakeri mund të ridrejtojë thirrjet deri në destinacionet e veta, duke marrë informata të besueshme kur përdoruesi vazhdon të mendojë se po flet me destinacion legjitim. Gjithashtu, hakeri mund të iniciojë thirrjen me pretendimin e rrejshëm dhe të shtirret se është nga një organizatë legjitime. Në këtë mënyrë, përdoruesi do të ofrojë të dhëna të besueshme duke besuar se po flet me zyrtarin e organizatës. Imagjino rastin kur hakeri kap thirrjen e përdoruesit dhe bankës, dhe ridërgon të njëjtën kërkesë te ndokush, duke u shtirur se ai është nëpunës banke.
Praktikat më të mira: Çfarë operatorët VoIP duhet të bëjnë? Ekzistojnë disa nga praktikat më të mira për të ndihmuar në zvogëlimin e këtyre kërcënuesve. Një zgjidhje mund të jetë ajo e implementimit të teknologjive anti-DoS përbrenda rrjetit ose përbrenda rrjetit të furnizuesit të shërbimeve të të dhënave. Trafiku i gjeneruar nga VoIP duhet të zhvendoset në rrjet virtuale të hapësirave lokale (VLAN) në mënyrë që të ndihmohet funksionimi i VLAN edhe në situatat e ngarkuara me trafik nga burimet tjera. Kjo nënkupton, mbajtjen e çdo trafiku ta natyrës jo VoIP jashtë këtij VLAN. Gjithashtu, praktikat e mira të sigurisë duhet të përdoren për evitimin e situatave kur nyjet e caktuar në rrjet mund të “pronësohen” ilegalisht dhe të njëjtat të përdoren veçanërisht për gjenerim te sulmeve DoS. Kjo nuk nënkupton vetëm faktin se gjithçka duhet të jetë e përditësuar dhe evituar konfigurimet e paradefinuar, por se duhet fikur çdo shërbim të panevojshëm në pajisjet e skajshme. Përderisa enkriptimi ndihmon në parandalimin e përgjimit, edukimi i përdoruesve ndihmon në parandalimin e Vishing dhe SPIT. Në qoftë se enkriptimi aplikohet në formë të duhur, ndihmon në parandalimin e mashtrimit dhe aktiviteteve tjera piraterie në sistemet VoIP. Në përgjithësi, nuk duhet të merret obligim vetëm sigurimi i sistemeve VoIP por e tërë infrastruktura e rrjetit që merr përsipër transportin e shërbimeve të zërit. Kujtoj, zinxhiri është i fuqishëm për aq sa është e fuqishme hallka më e dobët e tij.alt

Konkluzioni:
Monitorimi dhe shqyrtimi i rrjeteve VoIP nuk konsiderohen të jenë më aktivitete luksi, por aktivitete të domosdoshme të cilat ndërmarrjet duhet ti aplikojnë për të siguruar siguri të plotë në rrjetet e tyre. Kërcënuesit e sigurisë, përfshirë këtu mohuesit e shërbimeve, phishing, pirateria, dhe të tjerë që për një kohë të gjatë janë karakterizuar me rrjetet e hapësirave lokale, tash janë konvergjuar për të kërcënuar sigurinë e sistemeve VoIP dhe kualitetin e shërbimeve VoIP. Këta kërcënues janë të vërtetë dhe mund të kenë ndikim shumë të madh në produktivitetin e ndërmarrjeve në raport me konsumatorët. Duke marrë në konsideratë madhësitë e rrjeteve në nivelet e ndërmarrjeve të sotshme, VoIP do të jetë shumë i vështirë për tu ofruar duke pas në konsideratë faktin e ndjeshëm të tij në vonesa, ndryshimit në mes të kohës së arritjes së paketave (jitter) dhe humbjeve të paketave veçanërisht kur krahasohet me aplikacionet tjera për rrjeta siç janë shërbimet e uebit dhe të postës elektronike, të cilat nuk janë aplikacione të kohës-reale. Fatmirësisht, sot ka numër të konsiderueshëm të veglave për menaxhim të rrjeteve të cilat së bashku me praktikat më të mira ndihmojnë në zvogëlimin e këtyre problemeve. Që nga planifikimi e deri tek implementimi dhe mirëmbajtja, rrjetet VoIP duhet të projektohen dhe zhvillohen me kujdesin e menaxhimit të rrjetit dhe të trajtohen si entitete të veçanta. Këto masa proaktive mëtojnë të ofrojnë mbrojtje dhe siguri nga kërcënuesit tradicional të VoIP.

Shënim:
Figurat për ilustrimin e artikullit janë huazuar nga Moduli i Cisco CCNA Exploration: Accessing the WAN.

 

Lajmet e fundit>