Зміст:
- Захист SIP-дзвінка
- Налаштування віртуальної локальної мережі
- Запобігання проникненню зловмисних програм
Відео: VoIP SIP SDK Video Guide (Вересень 2024)
Швидше за все, ваші користувачі не чули про протокол ініціювання сесії (SIP) поза будь-якими зустрічами, які ви могли провести з ними щодо телекомунікацій вашої компанії. Але насправді SIP, ймовірно, бере участь майже в кожному телефонному дзвінку, який вони здійснюють. SIP - це протокол, який здійснює та завершує телефонні дзвінки в більшості версій Voice-over-IP (VoIP), незалежно від того, чи проводяться ці дзвінки в системі офісного телефону, вашому смартфоні або в таких додатках, як Apple Facetime, Facebook Messenger або Microsoft Skype.
Це тому, що SIP спочатку не був розроблений для забезпечення безпеки, а значить, його легко зламати. Навіть більшість фахівців з інформаційних технологій не знають, що SIP - це текстовий протокол, який дуже нагадує мову розмітки HyperText (HTML), з адресацією, що нагадує те, що ви зіткнетеся у типовому протоколі простого перенесення електронної пошти (SMTP). Заголовок включає інформацію про пристрій абонента, характер дзвінка, який викликає абонент, та інші деталі, необхідні для роботи дзвінка. Пристрій прийому (який може бути стільниковим телефоном або телефоном VoIP, або, можливо, приватною біржею відділення або АТС), вивчає запит і вирішує, чи може він вмістити його, чи може він працювати лише з підмножиною.
Потім пристрій, що приймає, надсилає код відправнику, щоб вказати, що дзвінок прийнятий або що його немає. Деякі коди можуть вказувати на те, що виклик не може бути завершений, як і набридлива помилка 404, яку ви бачите, коли веб-сторінка знаходиться не за вказаною вами адресою. Якщо не запитується зашифроване з'єднання, все це відбувається як звичайний текст, який може подорожувати через відкритий Інтернет або мережу вашого офісу. Є навіть доступні інструменти, які дозволять вам слухати не шифровані телефонні дзвінки, які використовують Wi-Fi.
Захист SIP-дзвінка
Коли люди чують, що базовий протокол не захищений, вони часто відмовляються від нього. Але вам цього не потрібно робити, оскільки захист SIP-дзвінка можливий. Коли пристрій хоче встановити з'єднання з іншим пристроєм SIP, він використовує таку адресу, як ця: SIP :. Ви помітите, що це схоже на адресу електронної пошти, за винятком "SIP" на початку. Використання такої адреси дозволить SIP-з'єднанню встановити телефонний дзвінок, але він не буде зашифрований. Щоб створити зашифрований дзвінок, ваш пристрій повинен використовувати трохи іншу адресу: SIPS :. "SIPS" вказує на зашифроване з'єднання з наступним пристроєм за допомогою безпеки транспортного шару (TLS).
Проблема навіть із захищеною версією SIP полягає в тому, що зашифрований тунель існує між пристроями, коли вони направляють виклик від початку до кінця виклику, але не обов'язково, коли виклик проходить через пристрій. Це виявилося користю для правоохоронних органів та розвідувальних служб скрізь, оскільки це дозволяє прослуховувати телефонні дзвінки через VoIP, які в іншому випадку можуть бути зашифровані.
Варто зазначити, що можна окремо зашифрувати вміст SIP-дзвінка так, що навіть якщо виклик перехоплений, вміст неможливо легко зрозуміти. Простий спосіб зробити це - просто запустити захищений SIP-дзвінок через віртуальну приватну мережу (VPN). Однак вам потрібно перевірити це для ділових цілей, щоб переконатися, що постачальник VPN надає вам достатню пропускну здатність в тунелі, щоб уникнути деградації викликів. На жаль, сама інформація про SIP не може бути зашифрована, а це означає, що інформацію про SIP можна використовувати для отримання доступу до VoIP-сервера або телефонної системи шляхом викрадення або підробки SIP-дзвінка, але це вимагатиме досить складної та цілеспрямованої атаки .
Налаштування віртуальної локальної мережі
Звичайно, якщо розглянутий VoIP-дзвінок пов’язаний з вашою компанією, ви можете встановити віртуальну локальну мережу (VLAN) тільки для VoIP, а якщо ви використовуєте VPN у віддаленому офісі, то VLAN може подорожувати над цим підключення. Як описано в нашій розповіді про безпеку VoIP, VLAN має перевагу в ефективному забезпеченні окремої мережі для голосового трафіку, що важливо з ряду причин, включаючи безпеку, оскільки ви можете контролювати доступ до VLAN у різних способи.
Проблема полягає в тому, що ви не можете планувати дзвінки через VoIP, що надходять у вашу компанію, і ви не можете планувати дзвінок, який відбувся як VoIP, який надходить через комутатор центрального офісу компанії, якщо ви навіть підключені до одного з ті. Якщо у вас є шлюз телефонії, який приймає SIP-дзвінки за межами ваших приміщень, знадобиться мати брандмауер, що підтримує SIP, який може вивчити вміст повідомлення на наявність зловмисного програмного забезпечення та різних типів підробки. Такий брандмауер повинен блокувати не-SIP-трафік, а також повинен бути налаштований як контролер кордону сеансу.
Запобігання проникненню зловмисних програм
Як і HTML, SIP-повідомлення також може спрямовувати зловмисне програмне забезпечення у вашу телефонну систему; це може мати декілька форм. Наприклад, поганий хлопець може надіслати вам напад Internot of Things (IoT), який наносить зловмисне програмне забезпечення на телефони, яке потім може бути використане для надсилання інформації на сервер команд і управління або для передачі іншої мережевої інформації. Або таке зловмисне програмне забезпечення може поширюватися на інші телефони, а потім використовуватись для вимкнення телефонної системи.
Крім того, заражене SIP-повідомлення може бути використане для нападу на софтфон на комп'ютер, а потім інфікування комп'ютера. Це сталося з клієнтом Skype для Apple Macintosh, і це, можливо, може трапитися і з будь-яким іншим клієнтом програмного забезпечення. Ця подія стає все більш імовірнішою, коли ми бачимо, що зростаюча кількість програмних телефонів з'являється від багатьох постачальників VoIP і співпраці, включаючи подібні програми Dialpad, RingCentral Office та Vonage Business Cloud, серед інших.
Єдиний спосіб запобігти таким нападкам - це поводження з системою VoIP вашої організації з такою ж стурбованістю безпекою, як і з вашими мережами передачі даних. Це дещо більше завдання, хоча б тому, що не всі продукти безпеки відомі SIP, і тому, що SIP використовується в більш ніж просто голосових додатках - текстові та відеоконференції є лише двома альтернативними прикладами. Так само не всі провайдери мережі VoIP можуть виявити помилкові SIP-дзвінки. Це всі питання, які вам потрібно буде вирішити перед кожним постачальником перед тим, як брати участь у взаємодії.
- Кращі провайдери бізнес-VoIP на 2019 рік Найкращі постачальники бізнес-VoIP на 2019 рік
- 9 кроків до оптимізації вашої мережі для VoIP 9 кроків до оптимізації вашої мережі для VoIP
- Awards Business Choice Awards 2018: Voice Over IP (VoIP) Awards Business Choice Awards 2018: Voice over IP (VoIP)
Однак ви можете вжити заходів для налаштування пристроїв кінцевих точок таким чином, щоб вони вимагали аутентифікації SIP. Сюди входить вимога дійсного Уніфікованого ідентифікатора ресурсу (URI) (що схоже на URL-адресу, до якої ви звикли), ім’я користувача, яке може бути встановлено автентифікацію, та захищений пароль. Оскільки SIP залежить від паролів, це означає, що вам доведеться застосовувати чітку політику паролів для пристроїв SIP, а не лише для комп'ютерів. Нарешті, звичайно, вам потрібно буде переконатися, що ваші системи виявлення та запобігання вторгнень, незалежно від того, що вони трапляються у вашій мережі, також розуміють вашу мережу VoIP.
Все це звучить складно, і певною мірою це є, але насправді лише питання додати розмову VoIP до будь-якої розмови про придбання з мережевим моніторингом чи постачальником безпеки ІТ. Коли SIP зростає до майже всюдисущого стану у багатьох бізнес-організаціях, виробники продуктів управління ІТ надаватимуть йому все більше уваги, а це означає, що ситуація повинна покращуватися до тих пір, поки покупці ІТ роблять її пріоритетною.
