3

У нас будет какая-то безопасная реализация VoIP. Мы решили принять решение между методами на основе VPN, такими как методы PPTP или L2TP/IPsec и TLS . Вопрос в том, какой из них лучше; более безопасный и эффективный для приложений VoIP? Если бы мы оба работали, могли бы мы получить больше безопасности (конфиденциальность, подлинность и целостность)? Заранее большое спасибо.

2 ответа2

3

Что касается архитектуры, рассмотрим варианты в каждом из двух измерений отдельно:

  • Защищенный туннель против безопасного соединения:

    • В сценарии VoIP обычно используется много соединений. Клиенты VoIP регистрируются на сервере VoIP, но для фактического вызова клиенты подключаются напрямую.
    • Установление защищенного соединения влечет за собой огромные издержки по сравнению с установлением незащищенных соединений, которых избегает защищенный туннель.
    • Концептуально некоторые атаки возможны только во время фазы соединения, поэтому туннель сокращает количество точек во времени, где такие атаки могут иметь место.
    • Что касается настройки и обслуживания, я предпочитаю VPN-соединение. Например, нет ненужного воздействия на сервер и более простые правила фильтрации для принятия соединений (только локальные IP-адреса). Кроме того, вам в первую очередь придется отслеживать рекомендации по безопасности только для туннеля, а не отслеживать их для всех открытых служб.
    • Что касается безопасности, защищенный туннель не даст наблюдателю увидеть, как взаимодействуют ваши две локальные сети, поэтому он получит гораздо меньше информации и будет иметь меньше точек для атаки.
  • Двухслойный туннель с защищенным верхним уровнем по сравнению с защищенным нижним уровнем:

    • Хотя существуют концептуальные различия в отношении возможных атак, степень безопасности сопоставима.
    • На практике обеспечение туннеля обеспечивает большую гибкость (см. Ниже).

Что касается конкретных решений, которые вы упоминаете:

  • PPTP имеет недостатки и небезопасен и не обеспечивает разумного уровня безопасности.
  • L2TP/IPsec - это подход с (сам по себе) небезопасным туннелем через защищенное соединение.
    • Безопасность очень высока и утечек не известно, хотя было указано, что спецслужбы пытались внедрить уязвимости.
    • Требуется фиксированный порт и протокол, и любое использование IPv6 не может быть скрыто в туннеле, но очевидно для внешнего использования. Это означает, что вся инфраструктура между конечными точками VPN должна поддерживать эту конкретную настройку.
  • OpenVPN - это подход с защищенным туннелем через (само по себе) небезопасное соединение.
    • С TLS безопасность очень высока, и никаких утечек безопасности не известно.
    • Туннель может использовать любую IP-инфраструктуру, включая порт по вашему выбору и скрывать внутренние детали туннеля, так что вы можете маршрутизировать пакеты IPv6 через туннель, даже если инфраструктура между конечными точками VPN поддерживает только IPv4.
  • IPsec предлагает туннельный режим, в котором зашифрованные пакеты данных упаковываются в новые пакеты данных. Этот режим отличается от L2TP/IPsec методами аутентификации, которые он обеспечивает. Всякий раз, когда вам нужен вход в систему, этот режим не может быть легко использован.

Заключение:

  • Используйте туннельный подход из-за более высокой общей безопасности (вероятности) и меньшего количества головных болей.
  • Учитывая, что безопасность сопоставима, я бы предпочел OpenVPN из-за его более высокой гибкости. Но изучите детали аспектов безопасности обоих подходов; если пользователи могут устанавливать соединения OpenVPN, это может стать намного менее безопасным.
  • Если производительность важнее гибкости, некоторые утверждают, что OpenVPN работает быстрее, но, честно говоря, я бы провел свой собственный тест в данных обстоятельствах, потому что, если есть различия в производительности, о которых стоит упомянуть, я бы не ожидал, что они основаны только на программном обеспечении. (просто интуиция).
1

Какой из них более безопасен и эффективен для VoIP: PPTP, L2TP или TLS ...

Вот некоторая общая информация, связанная с вопросом ... VoIP может использовать динамические коды сжатия и кодеки, поэтому они могут быть небезопасными независимо от базовой технологии шифрования. См., Например, « Найди меня, если сможешь»: обнаружение устных фраз в зашифрованных разговорах VoIP.

Кроме того, АНБ производит телефон для правительства США с использованием аппаратного обеспечения. Телефоны используют два уровня шифрования. Первый - это традиционный IPSec VPN. Вторым является зашифрованный VoIP с использованием потока SRTP, туннелируемого через VPN. Таким образом, у вас есть как сетевой уровень, так и уровень безопасности приложений. См. Например, Fishbowl (защищенный телефон).

Кроме того, вопрос довольно расплывчатый (но неочевидным образом) ... Мы не знаем, какова ваша модель безопасности, и мы не знаем, какова ваша модель угрозы, поэтому трудно сказать, которая будет (или не будет) соответствовать вашим целям и задачам. Очевидно, модель угроз АНБ включает криптоанализ, который не может содержать только VPN :)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .