Obsah:
Video: Тема#1 - Введение в протокол SIP (Listopad 2024)
Je pravděpodobné, že vaši uživatelé neslyšeli o protokolu SIP Initiation Protocol (SIP) mimo jakékoli schůzky, které jste s nimi mohli mít ohledně telekomunikací vaší společnosti. Ve skutečnosti je však SIP pravděpodobně zapojen téměř do každého telefonního hovoru, který uskuteční. SIP je protokol, který uskutečňuje a dokončuje telefonní hovory ve většině verzí Voice-over-IP (VoIP), ať už se tyto hovory uskutečňují ve vašem kancelářském telefonním systému, smartphonu nebo v aplikacích, jako jsou Apple Facetime, Facebook Messenger nebo Microsoft Skype.
To proto, že SIP nebyl původně navržen tak, aby byl bezpečný, což znamená, že je snadno hacknut. Většina odborníků v oboru IT nevědí, že protokol SIP je textový protokol, který se velmi podobá značkovacímu jazyku HyperText (HTML), s adresováním, které se podobá tomu, s čím se setkáte v typickém protokolu SMTP (Simple Mail Transfer Protocol). Záhlaví obsahuje informace o zařízení volajícího, o povaze hovoru, který volající požaduje, a další podrobnosti nezbytné k tomu, aby hovor fungoval. Přijímací zařízení (kterým může být mobilní telefon nebo VoIP telefon, případně soukromá pobočková ústředna nebo pobočková ústředna) žádost prozkoumá a rozhodne, zda ji může vyhovět, nebo zda může pracovat pouze s podmnožinou.
Přijímající zařízení poté pošle kód odesílateli, který označuje, že hovor je buď přijat, nebo že není. Některé kódy mohou naznačovat, že hovor nelze dokončit, podobně jako otravná chyba 404, která se zobrazí, když webová stránka není na požadované adrese. Pokud není požadováno šifrované připojení, vše se děje jako prostý text, který může cestovat po otevřeném internetu nebo v kancelářské síti. K dispozici jsou dokonce snadno dostupné nástroje, které vám umožní poslouchat nešifrované telefonní hovory využívající Wi-Fi.
Ochrana volání SIP
Když lidé uslyší, že základní protokol není bezpečný, často se ho vzdají. Tady to ale nemusíte dělat, protože je možné chránit volání SIP. Pokud se zařízení chce navázat spojení s jiným zařízením SIP, použije adresu, jako je tato: SIP:. Všimnete si, že to vypadá podobně jako e-mailová adresa, s výjimkou „SIP“ na začátku. Použitím takové adresy umožní spojení SIP telefonní hovor, ale nebude šifrováno. Chcete-li vytvořit šifrovaný hovor, musí vaše zařízení použít adresu, která se mírně liší: SIPS:. "SIPS" označuje šifrované připojení k dalšímu zařízení pomocí TLS (Transport Layer Security).
Problém s bezpečnou verzí SIP spočívá v tom, že šifrovaný tunel existuje mezi zařízeními, protože směrují hovor od začátku do konce hovoru, ale ne nutně, když hovor prochází zařízením. Ukázalo se, že to je požehnáním pro donucovací orgány a zpravodajské služby všude, protože umožňuje využívat telefonní hovory VoIP, které by jinak mohly být šifrovány.
Je třeba poznamenat, že je možné samostatně šifrovat obsah volání SIP, takže i když je hovor zachycen, nelze obsah snadno pochopit. Snadným způsobem je jednoduše spustit zabezpečené volání SIP prostřednictvím virtuální privátní sítě (VPN). Musíte to však vyzkoušet pro obchodní účely, abyste se ujistili, že poskytovatel VPN vám poskytuje dostatečnou šířku pásma v tunelu, aby nedošlo k degradaci hovoru. Bohužel samotné informace SIP nemohou být šifrovány, což znamená, že informace SIP mohou být použity k získání přístupu k VoIP serveru nebo telefonnímu systému únosem nebo podvržením hovoru SIP, ale to by vyžadovalo poměrně sofistikovaný a cílený útok.
Nastavení virtuální LAN
Pokud je dotyčný hovor VoIP něčím, co se týká vaší společnosti, pak můžete nastavit virtuální LAN (VLAN) jen pro VoIP a pokud používáte VPN do vzdálené kanceláře, pak může VLAN cestovat přes to spojení také. VLAN, jak je popsáno v našem příběhu o bezpečnosti VoIP, má výhodu v tom, že účinně poskytuje samostatnou síť pro hlasový provoz, což je důležité z mnoha důvodů, včetně zabezpečení, protože můžete řídit přístup k VLAN v celé řadě způsoby.
Problém je, že nemůžete plánovat hovor VoIP přicházející z vaší společnosti a nemůžete plánovat hovor, který vznikl jako VoIP přicházející prostřednictvím ústředny vaší telefonní společnosti, pokud jste dokonce připojeni k jednomu z ty. Pokud máte telefonní bránu, která přijímá hovory SIP zvnějšku, musíte mít bránu firewall s podporou protokolu SIP, která dokáže zkoumat obsah zprávy na malware a různé typy spoofingu. Takový firewall by měl blokovat provoz mimo SIP a měl by být také nakonfigurován jako řadič hranic relace.
Prevence narušení malwaru
Stejně jako HTML může zpráva SIP také směřovat malware do vašeho telefonního systému; to může mít více než jednu formu. Špatný člověk vám například může poslat útok podobný Inot (Internot of Things, IoT), který zasazuje malware do telefonů, který pak lze použít k odesílání informací na server příkazů a řízení nebo k předávání dalších síťových informací. Nebo se takový malware může rozšířit do jiných telefonů a poté jej použít k vypnutí vašeho telefonního systému.
Alternativně lze infikovanou zprávu SIP použít k útoku na softphone v počítači a poté k infikování počítače. To se stalo klientovi Skype pro Apple Macintosh a pravděpodobně by se to mohlo stát každému jinému klientovi softphone. Je to událost, která se stává stále více pravděpodobnou, protože vidíme rostoucí počet softwarových telefonů vycházejících z více dodavatelů VoIP a spolupráce, mezi něž patří například Dialpad, RingCentral Office a Vonage Business Cloud.
Jediným způsobem, jak těmto útokům zabránit, je zacházet se systémem VoIP vaší organizace se stejným bezpečnostním problémem jako s datovými sítěmi. To je poněkud náročnější, i když pouze proto, že ne všechny bezpečnostní produkty jsou si vědomy SIP, a protože SIP se používá ve více než jen hlasových aplikacích - textové a videokonference jsou jen dvěma alternativními příklady. Podobně ne všichni poskytovatelé VoIP mohou detekovat falešné SIP hovory. To jsou všechny otázky, které musíte před zapojením vyřešit u každého dodavatele.
- Nejlepší poskytovatelé služeb VoIP pro rok 2019 Nejlepší poskytovatelé služeb VoIP pro rok 2019
- 9 kroků k optimalizaci vaší sítě pro VoIP 9 kroků k optimalizaci vaší sítě pro VoIP
- Ocenění Business Choice 2018: systémy Voice over IP (VoIP) Business Choice Awards 2018: systémy Voice over IP (VoIP)
Můžete však podniknout kroky ke konfiguraci vašich koncových zařízení tak, aby vyžadovaly ověření SIP. To zahrnuje požadavek na platný identifikátor URI (Uniform Resource Identifier) (který je jako adresa URL, na kterou jste zvyklí), uživatelské jméno, které lze ověřit, a bezpečné heslo. Protože SIP závisí na heslech, znamená to, že budete muset vynucovat přísnou politiku hesel pro zařízení SIP, nejen pro počítače. Nakonec se samozřejmě musíte ujistit, že vaše systémy detekce a prevence narušení, ať už jsou ve vaší síti, ať už jsou součástí vaší sítě, také rozumějí vaší síti VoIP.
To vše je složité a do jisté míry to je, ale je to opravdu jen otázka přidání VoIP konverzace k jakékoli nákupní konverzaci s monitorováním sítě nebo prodejcem zabezpečení IT. Jak se SIP v mnoha obchodních organizacích rozrůstá do téměř všudypřítomného stavu, budou na něj dodavatelé produktů pro správu IT klást stále větší důraz, což znamená, že situace by se měla zlepšovat, pokud to kupující IT stanou prioritou.
