У нас будет какая-то безопасная реализация VoIP. Мы решили принять решение между методами на основе VPN, такими как методы PPTP или L2TP/IPsec и TLS . Вопрос в том, какой из них лучше; более безопасный и эффективный для приложений VoIP? Если бы мы оба работали, могли бы мы получить больше безопасности (конфиденциальность, подлинность и целостность)? Заранее большое спасибо.
2 ответа
3
Что касается архитектуры, рассмотрим варианты в каждом из двух измерений отдельно:
Защищенный туннель против безопасного соединения:
- В сценарии VoIP обычно используется много соединений. Клиенты VoIP регистрируются на сервере VoIP, но для фактического вызова клиенты подключаются напрямую.
- Установление защищенного соединения влечет за собой огромные издержки по сравнению с установлением незащищенных соединений, которых избегает защищенный туннель.
- Концептуально некоторые атаки возможны только во время фазы соединения, поэтому туннель сокращает количество точек во времени, где такие атаки могут иметь место.
- Что касается настройки и обслуживания, я предпочитаю VPN-соединение. Например, нет ненужного воздействия на сервер и более простые правила фильтрации для принятия соединений (только локальные IP-адреса). Кроме того, вам в первую очередь придется отслеживать рекомендации по безопасности только для туннеля, а не отслеживать их для всех открытых служб.
- Что касается безопасности, защищенный туннель не даст наблюдателю увидеть, как взаимодействуют ваши две локальные сети, поэтому он получит гораздо меньше информации и будет иметь меньше точек для атаки.
Двухслойный туннель с защищенным верхним уровнем по сравнению с защищенным нижним уровнем:
- Хотя существуют концептуальные различия в отношении возможных атак, степень безопасности сопоставима.
- На практике обеспечение туннеля обеспечивает большую гибкость (см. Ниже).
Что касается конкретных решений, которые вы упоминаете:
- PPTP имеет недостатки и небезопасен и не обеспечивает разумного уровня безопасности.
- L2TP/IPsec - это подход с (сам по себе) небезопасным туннелем через защищенное соединение.
- Безопасность очень высока и утечек не известно, хотя было указано, что спецслужбы пытались внедрить уязвимости.
- Требуется фиксированный порт и протокол, и любое использование IPv6 не может быть скрыто в туннеле, но очевидно для внешнего использования. Это означает, что вся инфраструктура между конечными точками VPN должна поддерживать эту конкретную настройку.
- OpenVPN - это подход с защищенным туннелем через (само по себе) небезопасное соединение.
- С TLS безопасность очень высока, и никаких утечек безопасности не известно.
- Туннель может использовать любую IP-инфраструктуру, включая порт по вашему выбору и скрывать внутренние детали туннеля, так что вы можете маршрутизировать пакеты IPv6 через туннель, даже если инфраструктура между конечными точками VPN поддерживает только IPv4.
- IPsec предлагает туннельный режим, в котором зашифрованные пакеты данных упаковываются в новые пакеты данных. Этот режим отличается от L2TP/IPsec методами аутентификации, которые он обеспечивает. Всякий раз, когда вам нужен вход в систему, этот режим не может быть легко использован.
Заключение:
- Используйте туннельный подход из-за более высокой общей безопасности (вероятности) и меньшего количества головных болей.
- Учитывая, что безопасность сопоставима, я бы предпочел OpenVPN из-за его более высокой гибкости. Но изучите детали аспектов безопасности обоих подходов; если пользователи могут устанавливать соединения OpenVPN, это может стать намного менее безопасным.
- Если производительность важнее гибкости, некоторые утверждают, что OpenVPN работает быстрее, но, честно говоря, я бы провел свой собственный тест в данных обстоятельствах, потому что, если есть различия в производительности, о которых стоит упомянуть, я бы не ожидал, что они основаны только на программном обеспечении. (просто интуиция).
1
Какой из них более безопасен и эффективен для VoIP: PPTP, L2TP или TLS ...
Вот некоторая общая информация, связанная с вопросом ... VoIP может использовать динамические коды сжатия и кодеки, поэтому они могут быть небезопасными независимо от базовой технологии шифрования. См., Например, « Найди меня, если сможешь»: обнаружение устных фраз в зашифрованных разговорах VoIP.
Кроме того, АНБ производит телефон для правительства США с использованием аппаратного обеспечения. Телефоны используют два уровня шифрования. Первый - это традиционный IPSec VPN. Вторым является зашифрованный VoIP с использованием потока SRTP, туннелируемого через VPN. Таким образом, у вас есть как сетевой уровень, так и уровень безопасности приложений. См. Например, Fishbowl (защищенный телефон).
Кроме того, вопрос довольно расплывчатый (но неочевидным образом) ... Мы не знаем, какова ваша модель безопасности, и мы не знаем, какова ваша модель угрозы, поэтому трудно сказать, которая будет (или не будет) соответствовать вашим целям и задачам. Очевидно, модель угроз АНБ включает криптоанализ, который не может содержать только VPN :)