Obsah:
Video: Тема#1 - Введение в протокол SIP (Septembra 2024)
Je pravdepodobné, že vaši používatelia nepočuli o SIP Initiation Protocol (SIP) mimo akýchkoľvek stretnutí, ktoré ste s nimi mohli mať v súvislosti s telekomunikáciami vašej spoločnosti. V skutočnosti je však SIP pravdepodobne zapojený takmer do každého telefonického hovoru. SIP je protokol, ktorý uskutočňuje a dokončuje telefónne hovory vo väčšine verzií VoIP (Voice-over-IP), bez ohľadu na to, či sa tieto hovory uskutočňujú vo vašom kancelárskom telefónnom systéme, smartfóne alebo na aplikáciách, ako sú Apple Facetime, Facebook Messenger alebo Microsoft Skype.
Je to preto, že SIP nebol pôvodne navrhnutý tak, aby bol bezpečný, čo znamená, že je ľahko hacknutý. Ani väčšina odborníkov v oblasti IT nevie, že protokol SIP je textový protokol, ktorý sa veľmi podobá značkovacím jazykom HyperText (HTML), s adresovaním podobným tomu, s čím sa stretnete v protokole SMTP (Simple Mail Transfer Protocol). Hlavička obsahuje informácie o zariadení volajúceho, povahu hovoru, ktorý volajúci požaduje, a ďalšie podrobnosti potrebné na to, aby hovor fungoval. Prijímacie zariadenie (ktorým môže byť mobilný telefón alebo telefón VoIP, prípadne súkromná pobočková ústredňa alebo pobočková ústredňa), žiadosť preskúma a rozhodne, či ju vyhovie alebo či môže pracovať iba s podskupinou.
Prijímajúce zariadenie potom pošle kód odosielateľovi, ktorý naznačuje, že hovor je prijatý alebo nie. Niektoré kódy môžu naznačovať, že hovor nemožno dokončiť, podobne ako nepríjemná chyba 404, ktorá sa zobrazuje, keď webová stránka nie je na požadovanej adrese. Pokiaľ sa nepožaduje šifrované pripojenie, všetko sa to deje ako obyčajný text, ktorý sa môže pohybovať po otvorenom internete alebo v kancelárskej sieti. K dispozícii sú dokonca aj nástroje, ktoré vám umožnia počúvať nezašifrované telefónne hovory, ktoré používajú Wi-Fi.
Ochrana hovoru SIP
Keď ľudia počujú, že základný protokol nie je bezpečný, často sa ho vzdajú. Nemusíte to však robiť tu, pretože je možná ochrana hovoru SIP. Ak sa zariadenie chce nadviazať spojenie s iným zariadením SIP, použije adresu ako je táto: SIP:. Všimnite si, že to vyzerá podobne ako e-mailová adresa, s výnimkou začiatku protokolu SIP. Použitím tejto adresy umožní spojenie SIP telefonický hovor, ale nebude šifrované. Na vytvorenie šifrovaného hovoru musí vaše zariadenie použiť adresu, ktorá sa mierne líši: SIPS:. „SIPS“ označuje šifrované pripojenie k ďalšiemu zariadeniu pomocou TLS (Transport Layer Security).
Problém dokonca s bezpečnou verziou SIP spočíva v tom, že šifrovaný tunel existuje medzi zariadeniami, keď smerujú hovor od začiatku do konca hovoru, ale nie nevyhnutne, keď hovor prechádza cez zariadenie. Ukázalo sa, že to predstavuje prínos pre orgány činné v trestnom konaní a spravodajské služby všade, pretože umožňuje využívať telefónne hovory VoIP, ktoré by inak mohli byť šifrované.
Je potrebné poznamenať, že je možné osobitne šifrovať obsah volania SIP, takže aj keď je hovor zachytený, obsah sa nedá ľahko pochopiť. Ľahký spôsob, ako to urobiť, je jednoducho spustiť bezpečné volanie SIP prostredníctvom virtuálnej súkromnej siete (VPN). Musíte to však otestovať na obchodné účely, aby ste sa uistili, že poskytovateľ VPN vám poskytuje dostatočnú šírku pásma v tuneli, aby nedošlo k degradácii hovoru. Bohužiaľ samotné informácie SIP nemôžu byť šifrované, čo znamená, že informácie SIP môžu byť použité na získanie prístupu k VoIP serveru alebo telefónnemu systému únosom alebo falšovaním hovoru SIP, čo by si však vyžadovalo pomerne sofistikovaný a cielený útok,
Nastavenie virtuálnej LAN
Ak je daný hovor VoIP niečo, čo sa týka vašej spoločnosti, potom môžete nastaviť virtuálnu LAN (VLAN) iba pre VoIP a ak používate VPN do vzdialenej kancelárie, potom VLAN môže cez toto cestovať aj pripojenie. VLAN, ako je popísané v našom príbehu o bezpečnosti VoIP, má tú výhodu, že efektívne poskytuje samostatnú sieť pre hlasový prenos, čo je dôležité z viacerých dôvodov, vrátane zabezpečenia, pretože prístup k VLAN môžete riadiť rôznymi spôsobmi. spôsoby.
Problém je, že nemôžete naplánovať hovor VoIP prichádzajúci z vašej spoločnosti a nemôžete plánovať hovor, ktorý vznikol ako VoIP prichádzajúci cez ústredňu vašej telefónnej spoločnosti, ak ste dokonca pripojení k jednému z ty. Ak máte telefónnu bránu, ktorá prijíma hovory SIP zvonku, musíte mať bránu firewall s podporou protokolu SIP, ktorá dokáže skontrolovať obsah správy na prítomnosť škodlivého softvéru a rôznych typov spoofingu. Takýto firewall by mal blokovať prenos mimo SIP a mal by byť tiež nakonfigurovaný ako radič hraníc relácie.
Prevencia narušenia škodlivého softvéru
Rovnako ako HTML, aj SIP správa môže smerovať malware do vášho telefónneho systému; môže to mať viac ako jednu formu. Zlý človek vám napríklad môže poslať útok podobný internotu vecí (IoT), ktorý zasadzuje škodlivý softvér do telefónov, ktorý potom možno použiť na odosielanie informácií na server príkazov a ovládacích prvkov alebo na odovzdávanie iných sieťových informácií. Alebo sa takýto malware môže šíriť do iných telefónov a potom ho použiť na vypnutie telefónneho systému.
Napadnutú správu SIP možno alternatívne použiť na napadnutie softfónu v počítači a potom na infikovanie počítača. Stalo sa to klientovi Skype pre Apple Macintosh a pravdepodobne by sa to mohlo stať každému inému klientovi softphone. Je to udalosť, ktorá sa stáva čoraz pravdepodobnejšou, keď vidíme rastúci počet softvérových telefónov vynárajúcich sa od viacerých dodávateľov VoIP a spolupráce, medzi inými napríklad Páči sa mi Dialpad, Kancelária RingCentral a Vonage Business Cloud.
Jediným spôsobom, ako zabrániť takýmto útokom, je zaobchádzať so systémom VoIP vašej organizácie s rovnakými bezpečnostnými problémami ako s dátovými sieťami. Je to trochu výzva, aj keď iba preto, že nie všetky bezpečnostné produkty sú si vedomé protokolu SIP, a pretože protokol SIP sa používa vo viac ako len hlasových aplikáciách - textové a videokonferencie sú iba dvoma alternatívnymi príkladmi. Podobne nie všetci poskytovatelia VoIP môžu detekovať falošné SIP hovory. Toto sú všetky otázky, ktoré musíte pred zapojením osloviť u každého dodávateľa.
- Najlepší poskytovatelia podnikového VoIP pre rok 2019 Najlepší poskytovatelia podnikového VoIP pre rok 2019
- 9 krokov k optimalizácii vašej siete pre VoIP 9 krokov k optimalizácii vašej siete pre VoIP
- Ocenenia Business Choice Awards 2018: systémy Voice over IP (VoIP) Business Choice Awards 2018: systémy Voice over IP (VoIP)
Môžete však podniknúť kroky na konfiguráciu vašich koncových zariadení tak, aby vyžadovali autentifikáciu SIP. To zahŕňa požiadavku na platný identifikátor URI (Uniform Resource Identifier) (ktorý je ako adresa URL, na ktorú ste zvyknutí), používateľské meno, ktoré sa dá overiť, a bezpečné heslo. Pretože SIP závisí od hesiel, znamená to, že budete musieť vynútiť prísnu politiku hesiel pre zariadenia SIP, nielen pre počítače. Nakoniec, samozrejme, musíte sa ubezpečiť, že systémy na detekciu a prevenciu neoprávneného vniknutia, nech sa už nachádzajú vo vašej sieti, rozumejú aj vašej sieti VoIP.
To všetko znie komplexne a do určitej miery to je, ale je to naozaj len záležitosť pridať konverzáciu VoIP do akejkoľvek nákupnej konverzácie so sieťovým monitorovaním alebo dodávateľom zabezpečenia IT. Keď sa SIP v mnohých obchodných organizáciách rozrastá na takmer všadeprítomný štát, predajcovia produktov na správu IT naň budú klásť čoraz väčší dôraz, čo znamená, že situácia by sa mala zlepšovať, pokiaľ ho kupujúci IT stanú prioritou.
