Taula de continguts:
- Protecció d'una trucada SIP
- Configuració d'una LAN virtual
- Prevenir la intrusió de programari maliciós
Vídeo: SIP session helper / ALG (Setembre 2024)
És probable que els vostres usuaris no hagin sentit a parlar del protocol d’iniciació de sessió (SIP) fora de les reunions que hagueu tingut amb ells sobre les telecomunicacions de la vostra empresa. Però, de fet, SIP està involucrat en gairebé totes les trucades que realitzen. SIP és el protocol que realitza i completa les trucades telefòniques a la majoria de versions de Voice-over-IP (VoIP), tant si s’estan posant trucades al sistema de telèfon d’oficina, el telèfon intel·ligent o en aplicacions com Apple Facetime, Facebook Messenger o Microsoft Skype
El fet que SIP no ha estat dissenyat originalment per ser segur, cosa que significa que es pot piratejar fàcilment. El que fins i tot la majoria dels professionals de les TI no saben és que SIP és un protocol basat en text que s’assembla molt a HyperText Markup Language (HTML), amb una adreça que s’assembla a allò que trobareu en un protocol de correu electrònic simple de correu electrònic (SMTP). La capçalera inclou informació sobre el dispositiu de la trucada, la naturalesa de la trucada que sol·licita la trucada i altres detalls necessaris perquè la trucada funcioni. El dispositiu receptor (que pot ser un telèfon mòbil o un telèfon VoIP, o potser un Private Branch Exchange o PBX), examina la sol·licitud i decideix si pot acomodar-la o si només pot funcionar amb un subconjunt.
A continuació, el dispositiu receptor envia un codi al remitent per indicar que la trucada és acceptada o no. Alguns codis poden indicar que no es pot completar la trucada, com ara l’enutjós error 404 que veieu quan una pàgina web no es troba a l’adreça que vau sol·licitar. Si no es demana una connexió xifrada, tot això es produeix com a text senzill que pot viatjar per Internet obert o per la xarxa d’oficines. Fins i tot hi ha eines fàcilment disponibles que us permetran escoltar les trucades de telèfon no xifrades que utilitzen wifi.
Protecció d'una trucada SIP
Quan la gent sent que un protocol subjacent no és segur, solen abandonar-lo. Però no cal fer-ho aquí, perquè és possible protegir una trucada SIP. Quan un dispositiu vol fer una connexió amb un altre dispositiu SIP, utilitza una adreça com aquesta: SIP:. Haureu notat que això s’assembla molt a una adreça de correu electrònic a excepció del "SIP" al principi. Si feu servir aquesta adreça, una connexió SIP configurarà una trucada telefònica, però no es xifrarà. Per crear una trucada xifrada, el dispositiu ha d’utilitzar una adreça lleugerament diferent: SIPS:. El "SIPS" indica una connexió xifrada al següent dispositiu mitjançant Transport Layer Security (TLS).
El problema amb la versió segura de SIP és que el túnel xifrat existeix entre els dispositius a mesura que encaminen la trucada des del principi fins al final de la trucada, però no necessàriament mentre la trucada passa pel dispositiu. Això ha demostrat ser una avantatge per a les agències policials i els serveis d'intel·ligència a tot arreu, ja que permet tocar trucades de telèfon VoIP que podrien ser xifrades.
Val la pena assenyalar que és possible xifrar per separat el contingut d’una trucada SIP de manera que, fins i tot si s’intercepta la trucada, no es pot entendre fàcilment el contingut. Una manera senzilla de fer-ho és simplement executar una trucada SIP segura a través d’una xarxa privada virtual (VPN). Tot i això, haureu de provar-ho amb finalitats comercials per assegurar-vos que el proveïdor VPN us ofereixi una amplada de banda suficient al túnel per evitar la degradació de trucades. Malauradament, la informació SIP en sí no es pot xifrar, cosa que significa que la informació SIP es pot utilitzar per accedir al servidor de VoIP o al sistema telefònic segrestant o espatllant una trucada SIP, però això requeriria un atac força sofisticat i dirigit..
Configuració d'una LAN virtual
Per descomptat, si la trucada de VoIP en qüestió és alguna cosa que involucri a la vostra empresa, llavors podeu configurar una LAN virtual (VLAN) només per a VoIP i, si utilitzeu una VPN a una oficina remota, la VLAN pot viatjar per sobre. connexió també. La VLAN, tal com es descriu a la nostra història sobre la seguretat de VoIP, té l’avantatge de proporcionar una xarxa de trànsit de veu de manera efectiva, cosa que és important per diverses raons, incloent la seguretat, ja que es pot controlar l’accés a la VLAN en una varietat de formes.
El problema és que no podeu planificar una trucada VoIP provinent de la vostra empresa i no podeu planificar una trucada originada com a VoIP que entra a través de l’interruptor de l’oficina central de la vostra empresa de telefonia, fins i tot si esteu connectats a algun dels aquells. Si teniu una passarel·la de telefonia que accepta trucades SIP des de fora de les instal·lacions, haureu de tenir un tallafoc amb capacitat de SIP que pugui examinar el contingut del missatge per a programari maliciós i diversos tipus d’espansió. Un tal firewall hauria de bloquejar el trànsit que no sigui SIP i també s'ha de configurar com a controlador de vora de sessió.
Prevenir la intrusió de programari maliciós
Com l'HTML, un missatge SIP també pot dirigir programari maliciós al vostre sistema de telefonia; aquest procés pot adoptar més d'una forma. Per exemple, un home dolent pot enviar-vos un atac de tipus internot of Things (IoT) que planta programari maliciós als telèfons, que es pot utilitzar per enviar informació a un servidor de comandaments i control o transmetre-hi una altra informació de xarxa. O tal programari maliciós es pot estendre a altres telèfons i, a continuació, utilitzar-se per tancar el sistema telefònic.
Alternativament, es pot utilitzar un missatge SIP infectat per atacar un telèfon mòbil a un ordinador i després infectar-lo. Això ha passat al client de Skype per a Apple Macintosh i és probable que també li passi a qualsevol altre client de telèfon mòbil. Es tracta d'una eventualitat que cada cop és més probable, ja que veiem un nombre important de telèfons mòbils sorgits de diversos proveïdors de VoIP i col·laboració, inclosos els de Dialpad, RingCentral Office i Vonage Business Cloud, entre d'altres.
L’única manera de prevenir aquests atacs és tractar el sistema de VoIP de la vostra organització amb la mateixa preocupació de seguretat que les vostres xarxes de dades. Això suposa una mica més un repte, només perquè no tots els productes de seguretat tenen coneixement de SIP i perquè SIP s’utilitza en més que aplicacions de veu: text i videoconferència són només dos exemples alternatius. Així mateix, no tots els proveïdors de xarxa de VoIP poden detectar falses trucades SIP. Aquestes són les preguntes que haureu d’adreçar amb cada proveïdor abans de realitzar la seva participació.
- Els millors proveïdors de VoIP per a empreses per al 2019 Els millors proveïdors de VoIP per a negocis per al 2019
- 9 passos per optimitzar la vostra xarxa per a VoIP 9 passos per optimitzar la vostra xarxa per a VoIP
- Business Choice Awards 2018: Sistemes Voice Over IP (VoIP) Business Choice Awards 2018: Sistemes Voice Over IP (VoIP)
Tanmateix, podeu fer passos per configurar els dispositius d’endpoint perquè necessitin autenticació SIP. Això inclou exigir un Identificador de recursos uniforme (URI) vàlid (que és com l'URL amb què heu utilitzat), un nom d'usuari que es pot autenticar i una contrasenya segura. Com que SIP depèn de les contrasenyes, això vol dir que haureu d’aplicar una política forta de contrasenya per a dispositius SIP, no només per a ordinadors. Finalment, per descomptat, haureu d’assegurar-vos que els vostres sistemes de detecció i prevenció d’intrusions, siguin els que siguin a la vostra xarxa, entenguin també la vostra xarxa de VoIP.
Tot això sembla complex, i fins a cert punt, però és simplement una qüestió d’afegir la conversa VoIP a qualsevol conversa de compra amb un proveïdor de seguretat de TI o de supervisió de xarxa. A mesura que el SIP creixi fins a un estat gairebé omnipresent en moltes organitzacions empresarials, els venedors de productes de gestió de TI hi posaran cada cop més èmfasi, cosa que significa que la situació hauria de millorar sempre que els compradors d’informàtica la facin prioritària.
