NAC: problemy z VoIP
12 października 2008 12:04
Józef Muszyński, IDG News Service
VoIP wprowadza własny zestaw problemów do systemów kontroli dostępu do sieci, które mogą być przezwyciężone, ale muszą być uwzględnione przy podejmowaniu decyzji o wdrożeniu NAC.
Jednym z podstawowych problemów stwarzanych przez VoIP jest to, że telefony VoIP nie obsługują agentów NAC - na stałe lub doraźnie, jako komponent usuwany po wykorzystaniu. Fakt ten oznacza ograniczoną możliwość testowania tych urządzeń.
Często telefony VoIP są podłączone do pecetów, które są z kolei podłączone do przełączników, co utrudnia wymuszanie polityk NAC przez proste zamknięcie portu. Zamknięcie portu w celu izolowania telefonu zamyka też dostęp dla peceta, co może wzbudzić protesty użytkowników.
Nie ma zbyt wielu rozwiązań NAC, które mogą kontrolować czy telefon VoIP nie jest zainfekowany, tak wiec najlepsze co można zrobić w tym zakresie, to identyfikować telefony poprzez białe listy MAC, IP lub kombinacje obu. Jeżeli telefon nie znajdzie się na takiej liście, to nie powinien być dopuszczany do podłączenie do sieci.
Jeżeli przejdzie taką kontrolę pozytywnie, to po podłączeniu można kontrolować jak takie urządzenie działa. Jeżeli np. zaczyna wykorzystywać FTP do sprowadzania plików lub sondować losowo adresy IP, to z dużym prawdopodobieństwem można założyć, że nie jest to telefon, a urządzenia podszywające się pod niego, i zablokować dostęp. Takie działania ochronne mogą podejmować standartowe produkty NAC.
NAC ma także możliwość ograniczania zakresu dostępu urządzenia do zasobów sieci. Tak więc telefony VoIP mogą działać w ramach reguł polityki, które ograniczają ich dostęp wyłącznie do określonych serwerów realizujących funkcje VoIP. Jeżeli urządzenie udające telefon zainicjuje atak DoS, to nie będzie on dotykać pozostałej części sieci.
Decydując się na wdrożenie NAC w sieciach, które wykorzystywane są również przez VoIP, należy dokładnie odpytać dostawcę rozwiązania NAC, jak "obsługuje" ono problem telefonów VoIP.
Komentarze
Redakcja NetWorld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
- ocena:
1
- IP: 83.19.63.10
- 12-10-2008, 22:36
To jakiś bełkot. Ktoś to przetłumaczył za pomocą ON-LINE TRANSLATOR''a ?
odpowiada...
wydrukuj
wyślij do znajomego