Безопасное подключение к lic100 |
Здравствуйте, гость ( Вход | Регистрация )
Безопасное подключение к lic100 |
23.10.2013, 8:30
Сообщение
#1
|
|
Участник Группа: Участники Сообщений: 21 Регистрация: 19.6.2013 Пользователь №: 18780 |
Добрый день!
Есть ipecs lic100, аппараты LIP8002E подключаются из удаленных офисов через vpn между офисами. Сейчас потребовалось подключить один аппарат на Андроид и один аппарат LIP8002E из мест с которыми нет возможности поднять vpn. Как можно подключить Android и LIP8002E, чтобы трафик не могли перехватывать и слушать? ЗЫ Паранойя умеренная, не в высшей стадии. |
|
|
23.10.2013, 8:52
Сообщение
#2
|
|
Ветеран форума Группа: Участники Сообщений: 353 Регистрация: 27.2.2009 Из: Москва Пользователь №: 12941 |
Добрый день! Есть ipecs lic100, аппараты LIP8002E подключаются из удаленных офисов через vpn между офисами. Сейчас потребовалось подключить один аппарат на Андроид и один аппарат LIP8002E из мест с которыми нет возможности поднять vpn. Как можно подключить Android и LIP8002E, чтобы трафик не могли перехватывать и слушать? ЗЫ Паранойя умеренная, не в высшей стадии. Перехват трафика просто сторонним человеком невозможна: коммутаторы, в отличие от хабов, не транслируют трафик на все порты, а коммутируют их парами между собой. Владелец коммутаторов по дороге, конечно, может сделать мониторинг-порт и сливать на него весь трафик, но если это провайдер, то он вряд ли будет это делать, если, конечно, на это не будет требования ФСБ (система СОРМ). Перехватывать wi-fi трафик (от android до точки доступа) можно, но если он зашифрован (WPA2-PSK), то ничего из него не извлечь. То есть "прослушать" трафик - занятие непростое. Более того, протокол ipkts - не совсем стандартный и это тоже является своего рода защитой. Хотя невозможного нет. VPN сам по себе не спасет, поскольку это всего лишь инкапсуляция пакетов в другой протокол, а шифрование не является обязательной частью и требует дополнительных ресурсов. Если паранойя умеренная и есть грамотный админ в удаленном офисе, то можно разговаривать не заморачиваясь VPN. Хотя его поднятие упрощает управление сетью (не требует проброса портов через NAT и позволяет настроить firewall) и позволяет добавить шифрование. Кстати, а почему нет возможности использовать VPN? Сейчас он даже через сотовые сети поднимается, а шлюзы его поддерживающие стоят вполне умеренных денег, например, http://zyxel.ru/keenetic-giga-2 - около 3000 рублей. |
|
|
23.10.2013, 9:08
Сообщение
#3
|
|
Участник Группа: Участники Сообщений: 21 Регистрация: 19.6.2013 Пользователь №: 18780 |
Перехватывать wi-fi трафик (от android до точки доступа) можно, но если он зашифрован, то ничего из него не извлечь. То есть "прослушать" трафик - занятие непростое. Более того, протокол ipkts - не совсем стандартный и это тоже является своего рода защитой. Вы имеете в виду шифрование с помощью самой IPECS LIC100? Насколько я понял по ipkts подключаются только аппараты (в моем случае LIP8002E), а Андроид цепляется по обычному sip. так? Что нужно чтобы трафик шифровался самой АТС? |
|
|
23.10.2013, 9:12
Сообщение
#4
|
|
Ветеран форума Группа: Участники Сообщений: 1166 Регистрация: 29.8.2007 Из: Москва Пользователь №: 4065 |
андроид девайсы умеют поднимать тунель.
|
|
|
23.10.2013, 9:20
Сообщение
#5
|
|
ГУРУ Группа: Модераторы Сообщений: 15009 Регистрация: 19.6.2009 Из: г. Тула Пользователь №: 13420 |
Вы имеете в виду шифрование с помощью самой IPECS LIC100? Насколько я понял по ipkts подключаются только аппараты (в моем случае LIP8002E), а Андроид цепляется по обычному sip. так? Что нужно чтобы трафик шифровался самой АТС? Да вы уже так зашифровались! Что такое iPECS LIC100?! Что за оборудование такое?? -------------------- Вот смотрю я на вас и думаю: ещё выпить, или вы мне уже нравитесь? Анекдот
|
|
|
23.10.2013, 9:20
Сообщение
#6
|
|
Ветеран форума Группа: Участники Сообщений: 353 Регистрация: 27.2.2009 Из: Москва Пользователь №: 12941 |
Вы имеете в виду шифрование с помощью самой IPECS LIC100? Насколько я понял по ipkts подключаются только аппараты (в моем случае LIP8002E), а Андроид цепляется по обычному sip. так? Так. Что нужно чтобы трафик шифровался самой АТС? Шифрованием занимается канальное оборудование (маршрутизаторы, VPN-сервера, android-телефоны). Еще раз обращаю внимание, VPN - это не шифрование. Насколько я знаю, LIK шифровать не умеет. Максимум - протокол https для управления. |
|
|
23.10.2013, 9:29
Сообщение
#7
|
|
Участник Группа: Участники Сообщений: 21 Регистрация: 19.6.2013 Пользователь №: 18780 |
Да вы уже так зашифровались! Что такое iPECS LIC100?! Что за оборудование такое?? IPECS100 MFIM/GS95M-F.0Cd MAR/13 Boot Version-2.1Aa NOV/12 Kernel Version-6.0Ap H/W issue-2 Хочу понять для себя основные проблемы по безопасности при подключении клиентов Андроид из открытых сетей (Макдональдс, Гостиницы и тд). Пока списот таков: 1) Брутфорс при подключении по sip (вариант с клиентами на Андроид) и, как следствие, несанкционированное подключение к АТС 2) Перехват и прослушивание SIP трафика От первого спасает физическое ограничение подключений к АТС (VPN, доступ с определенных IP и т.д.) Не знаю что делать со вторым. |
|
|
23.10.2013, 9:37
Сообщение
#8
|
|
Ветеран форума Группа: Участники Сообщений: 353 Регистрация: 27.2.2009 Из: Москва Пользователь №: 12941 |
IPECS100 MFIM/GS95M-F.0Cd MAR/13 Boot Version-2.1Aa NOV/12 Kernel Version-6.0Ap H/W issue-2 Хочу понять для себя основные проблемы по безопасности при подключении клиентов Андроид из открытых сетей (Макдональдс, Гостиницы и тд). Пока списот таков: 1) Брутфорс при подключении по sip (вариант с клиентами на Андроид) и, как следствие, несанкционированное подключение к АТС 2) Перехват и прослушивание SIP трафика От первого спасает физическое ограничение подключений к АТС (VPN, доступ с определенных IP и т.д.) Не знаю что делать со вторым. Естественно, не стоит выкладывать в интернет свой SIP-сервер (в Вашем случае LIK), а использовать VPN и давать доступ только для адресов из этого тоннеля. Несанкционированный перехват трафика возможен только в месте подключения телефона (Макдональдс, Гостиницы и тд), поскольку чаще всего такие подключения открыты, но злоумышленник должен находиться рядом. Не уверен, что andriod штатно умеет шифровать VPN, но, наверняка, есть дополнительные утилиты. Но надо отдавать себе отчет, что не всякий процессор телефона это потянет. P.S. Посмотрел свой телефон: шифрование есть штатно (MPPE), Android 4.2.2, Samsug Galaxy S3 с ним справляется. |
|
|
23.10.2013, 10:48
Сообщение
#9
|
|
Участник Группа: Участники Сообщений: 21 Регистрация: 19.6.2013 Пользователь №: 18780 |
P.S. Посмотрел свой телефон: шифрование есть штатно (MPPE), Android 4.2.2, Samsug Galaxy S3 с ним справляется. Для подключение к IPECS c Andriod, на Андроид ставится программа IPECS Communicator, в ней в меню SIP Account Settings есть пункт TLS Mode, значение AES-ECC (AES_CM_128_HMAC_SHA1_80). Это значит, что SIP шифруется? |
|
|
27.10.2013, 19:29
Сообщение
#10
|
|
Продвинутый пользователь Группа: Участники Сообщений: 276 Регистрация: 28.1.2007 Пользователь №: 613 |
|
|
|
Текстовая версия | Сейчас: 26.5.2024, 18:39 |