Големият проблем със сигурността на Voip? това е глътка

Вероятно е вашите потребители да не са чували за протокол за иницииране на сесия (SIP) извън срещи, които може да сте имали с тях, свързани с телекомуникациите на вашата компания. Но всъщност SIP вероятно участва в почти всяко телефонно обаждане, което правят. SIP е протоколът, който осъществява и завършва телефонни обаждания в повечето версии на Voice-over-IP (VoIP), независимо дали тези разговори се извършват в системата на вашия офис телефон, вашия смартфон или в приложения като Apple Facetime, Facebook Messenger или Microsoft Skype.

Когато правите повикване, SIP се свързва с приемащото устройство, съгласува се с естеството на повикването и осъществява връзката. След това друг протокол (има няколко) носи съдържанието на разговора. Когато разговорът приключи и страните се прекъснат, SIP отново е протоколът, който прекратява повикването. Това може да не звучи като голяма част от проблема със сигурността, но всъщност е така.

Това е така, защото първоначално SIP не е проектиран да бъде защитен, което означава, че е лесно хакнат. Това, което дори повечето ИТ специалисти не знаят, е, че SIP е текстово базиран протокол, който много наподобява HyperText Markup Language (HTML), с адресиране, наподобяващо това, което ще срещнете в типичния имейл на Simple Mail Protocol Protocol (SMTP). Заглавката включва информация за устройството на обаждащия се, естеството на повикването, което обаждащият се изисква, и други подробности, необходими, за да може повикването да работи. Приемащото устройство (което може да бъде мобилен телефон или VoIP телефон или може би частна разклонена борса или централа) проучва заявката и решава дали може да я приспособи или може да работи само с подмножество.

След това получаващото устройство изпраща код на подателя, за да покаже, че разговорът е или приет, или че не е. Някои кодове могат да показват, че обаждането не може да бъде завършено, подобно на досадната грешка 404, която виждате, когато уеб страница не е на заявения от вас адрес. Освен ако не се изисква криптирана връзка, всичко това се извършва като обикновен текст, който може да пътува през отворения интернет или вашата офисна мрежа. Има дори лесно достъпни инструменти, които ще ви позволят да слушате при незашифровани телефонни обаждания, които използват Wi-Fi.

Защита на SIP разговор

Когато хората чуят, че основният протокол не е защитен, те често се отказват от него. Но не е нужно да правите това тук, защото защитата на SIP повикване е възможна. Когато дадено устройство иска да осъществи връзка с друго SIP устройство, то използва адрес като този: SIP:. Ще забележите, че това прилича много на имейл адрес, с изключение на „SIP“ в началото. Използването на такъв адрес ще позволи на SIP връзка да настрои телефонно обаждане, но няма да бъде криптирана. За да създадете криптирано обаждане, вашето устройство трябва да използва малко по-различен адрес: SIPS:. "SIPS" показва криптирана връзка към следващото устройство, използващо TLS (Transport Layer Security).

Проблемът дори със защитената версия на SIP е, че криптиран тунел съществува между устройства, тъй като те маршрутизират разговора от началото до края на разговора, но не е задължително, докато разговорът преминава през устройството. Това се оказа полза за правоприлагащите агенции и разузнавателните служби навсякъде, защото дава възможност за докосване на телефонни разговори с VoIP, които иначе биха могли да бъдат криптирани.

Струва си да се отбележи, че е възможно отделно криптиране на съдържанието на SIP разговор, така че дори и прихващането на разговора, съдържанието не може да бъде лесно разбрано. Лесен начин да направите това е просто да стартирате защитено SIP повикване чрез виртуална частна мрежа (VPN). Въпреки това, ще трябва да тествате това за бизнес цели, за да сте сигурни, че доставчикът ви на VPN ви дава достатъчна честотна лента в тунела, за да избегнете влошаване на повикванията. За съжаление, самата информация за SIP не може да бъде криптирана, което означава, че SIP информацията може да се използва за получаване на достъп до VoIP сървъра или телефонната система чрез отвличане или подправяне на SIP повикване, но това ще изисква доста сложна и целенасочена атака,

Настройка на виртуална локална мрежа

Разбира се, ако въпросният VoIP разговор е свързан с вашата компания, тогава можете да настроите виртуална LAN (VLAN) само за VoIP и, ако използвате VPN към отдалечен офис, тогава VLAN може да пътува през това връзка също. VLAN, както е описано в нашата история за защитата на VoIP, има предимството, че ефективно предоставя отделна мрежа за гласов трафик, което е важно поради редица причини, включително сигурност, тъй като можете да контролирате достъпа до VLAN в различни начини.

Проблемът е, че не можете да планирате обаждане от VoIP, идващо от вашата компания, и не можете да планирате обаждане, възникнало като VoIP, което влиза през превключвателя на централния офис на вашата телефонна компания, ако дори сте свързани с някой от тези. Ако имате шлюз за телефония, който приема SIP обаждания извън помещенията ви, тогава ще трябва да имате защитна стена с възможност за SIP, която може да проверява съдържанието на съобщението за злонамерен софтуер и различни видове подправяне. Такава защитна стена трябва да блокира не-SIP трафик и също така трябва да бъде конфигурирана като контролер за сесийна граница.

Предотвратяване на проникване на зловреден софтуер

Подобно на HTML, SIP съобщението може също да насочи злонамерен софтуер във вашата телефонна система; това може да приеме повече от една форма. Например, лош човек може да ви изпрати подобна на Internot of Things (IoT) атака, която насажда злонамерен софтуер на телефони, който след това може да се използва за изпращане на информация до командно-контролен сървър или за предаване на друга информация в мрежата. Или такъв злонамерен софтуер може да се разпространи към други телефони и след това да се използва за изключване на вашата телефонна система.

Алтернативно, заразено SIP съобщение може да се използва за нападение на софтфон на компютър и след това заразяване на компютъра. Това се е случило с клиента на Skype за Apple Macintosh и вероятно това може да се случи и с всеки друг клиент на софтфон. Това е събитие, което става все по-вероятно, тъй като виждаме нарастващ брой софтуерни телефони, появяващи се от множество доставчици на VoIP и сътрудничество, включително харесванията на Dialpad, RingCentral Office и Vonage Business Cloud, наред с други.

Единственият начин за предотвратяване на подобни атаки е да се отнасяте към VoIP системата на вашата организация с също толкова грижа за сигурността, колкото и вашите мрежи за данни. Това е малко по-голямо предизвикателство, дори защото не всички продукти за сигурност са запознати със SIP и защото SIP се използва в повече от гласови приложения - текстовите и видеоконференциите са само два алтернативни примера. По същия начин, не всички доставчици на VoIP мрежи могат да открият фалшиви SIP разговори. Това са всички въпроси, на които трябва да се обърнете към всеки доставчик, преди да се ангажирате.

• Най-добрите бизнес VoIP доставчици за 2019 г. Най-добрите бизнес VoIP доставчици за 2019 г.
• 9 стъпки за оптимизиране на вашата мрежа за VoIP 9 стъпки за оптимизиране на вашата мрежа за VoIP
• Награди за бизнес избор 2018: Системи за глас през IP (VoIP) Награди за бизнес избор 2018: Системи за глас през IP (VoIP)

Можете обаче да предприемете стъпки за конфигуриране на вашите устройства за крайни точки, така че да изискват SIP удостоверяване. Това включва изискване на валиден Унифициран идентификатор на ресурс (URI) (който е като URL адреса, с който сте свикнали), потребителско име, което може да бъде удостоверено, и сигурна парола. Тъй като SIP зависи от паролите, това означава, че ще трябва да наложите силна политика за пароли за SIP устройства, а не само за компютри. И накрая, разбира се, ще трябва да сте сигурни, че вашите системи за откриване и предотвратяване на проникване, независимо от това, каква е те в мрежата ви, разбират и вашата VoIP мрежа.

Всичко това звучи сложно и до известна степен е така, но всъщност е просто въпрос на добавяне на VoIP разговор към всеки разговор за покупка с мрежов мониторинг или доставчик на ИТ сигурност. Тъй като SIP нараства до почти повсеместно състояние в много бизнес организации, доставчиците на продукти за управление на ИТ ще поставят все повече и повече акцент върху нея, което означава, че ситуацията трябва да се подобри, стига купувачите на ИТ да я направят приоритет.