Voip je velik varnostni problem? je požirek

Verjetno vaši uporabniki niso slišali za protokol Session Initiation Protocol (SIP) zunaj sestankov, ki ste jih imeli z njimi v zvezi s telekomunikacijami vašega podjetja. V resnici pa je SIP verjetno vključen v skoraj vsak telefonski klic. SIP je protokol, ki omogoča in dokonča telefonske klice v večini različic Voice-over-IP (VoIP), ne glede na to, ali so ti klici v vašem pisarniškem telefonskem sistemu, na vašem pametnem telefonu ali v aplikacijah, kot so Apple Facetime, Facebook Messenger ali Microsoft Skype.

Ko kličete, SIP vzpostavi stik s sprejemno napravo, se strinja z vrsto klica in vzpostavi povezavo. Po tem drug protokol (obstaja več) vsebuje vsebino klica. Ko je klic končan in stranke prekinejo povezavo, je SIP spet protokol, ki prekine klic. To se morda ne zdi veliko varnostnega vprašanja, ampak v resnici je.

To je zato, ker prvotno SIP ni bil zasnovan kot varen, kar pomeni, da ga je enostavno vdreti. Celo večina strokovnjakov za IT ne ve, da je SIP besedilni protokol, ki zelo spominja na HyperText Markup Language (HTML), z naslavljanjem, ki je podoben tistemu, ki ga boste našli v tipičnem e-poštnem protokolu Simple Mail Transfer Protocol (SMTP). V glavi so informacije o napravi kličočega, vrsta klica, ki ga klicatelj zahteva, in druge podrobnosti, potrebne za klic. Sprejemna naprava (ki je lahko mobilni telefon ali VoIP telefon ali morda zasebna menjalnica ali PBX) preuči zahtevo in se odloči, ali jo lahko sprejme ali lahko deluje samo s podmnožjo.

Prejemna naprava nato pošlje pošiljateljsko kodo, da označi, da je klic sprejet ali da ni. Nekatere kode lahko kažejo, da klica ni mogoče zaključiti, podobno kot moteča napaka 404, ki jo vidite, ko spletna stran ni na naslovu, ki ste ga zahtevali. Če ni zahtevana šifrirana povezava, vse to poteka kot navadno besedilo, ki lahko potuje po odprtem internetu ali v pisarniškem omrežju. Na voljo so celo orodja, s katerimi boste lahko poslušali nešifrirane telefonske klice, ki uporabljajo Wi-Fi.

Zaščita klica SIP

Ko ljudje slišijo, da osnovni protokol ni varen, se pogosto odpovedo njemu. Vendar vam tega ni treba storiti tukaj, ker je zaščita SIP klica mogoča. Ko želi naprava vzpostaviti povezavo z drugo napravo SIP, uporabi naslov, kot je ta: SIP:. Opazili boste, da je na začetku podoben e-poštnemu naslovu, razen "SIP". S takim naslovom bo SIP povezava vzpostavila telefonski klic, vendar ne bo šifrirana. Za ustvarjanje šifriranega klica mora vaša naprava uporabiti nekoliko drugačen naslov: SIPS:. "SIPS" označuje šifrirano povezavo do naslednje naprave z uporabo TLS (Transport Layer Security).

Težava celo z varno različico SIP je, da šifrirani predor obstaja med napravami, ko preusmerijo klic od začetka do konca klica, ne pa nujno, ko klic poteka skozi napravo. Vsepovsod se je to izkazalo kot blagodejno za organe pregona in obveščevalne službe, saj omogočajo prisluškovanje telefonskim klicem VoIP, ki bi sicer lahko bili šifrirani.

Omeniti velja, da je mogoče vsebino klica SIP ločeno šifrirati, tako da vsebine ni mogoče razumeti, tudi če je klic prestrežen. Preprost način za to je preprosto izvajanje varnega klica SIP prek virtualnega zasebnega omrežja (VPN). Vendar boste morali to preizkusiti v poslovne namene, da vam ponudnik VPN daje dovolj pasovne širine v predoru, da se izognete poslabšanju klicev. Žal podatkov SIP sam po sebi ni mogoče šifrirati, kar pomeni, da se lahko SIP informacije uporabijo za dostop do VoIP strežnika ali telefonskega sistema s krajo ali ponarejanjem klica SIP, vendar bi to zahtevalo precej prefinjen in ciljno usmerjen napad.

Nastavitev virtualnega omrežja LAN

Seveda, če zadevni klic VoIP vključuje vaše podjetje, potem lahko nastavite virtualni LAN (VLAN) samo za VoIP in če uporabljate VPN v oddaljeni pisarni, lahko VLAN potuje preko tega povezava tudi. VLAN, kot je opisano v naši zgodbi o varnosti VoIP, ima prednost, ker učinkovito zagotavlja ločeno omrežje za govorni promet, kar je pomembno iz več razlogov, vključno z varnostjo, saj lahko nadzorujete dostop do VLAN-a v različnih načine.

Težava je v tem, da ne morete načrtovati klicev VoIP, ki prihajajo v vašem podjetju, in ne morete načrtovati klica, ki je nastal kot VoIP, ki prihaja prek stikala centralne pisarne vašega telefona, če ste celo povezani z enim od tistih. Če imate prehod za telefonijo, ki sprejema SIP klice zunaj vaših prostorov, boste morali imeti požarni zid, ki podpira SIP, ki lahko pregleduje vsebino sporočila zaradi zlonamerne programske opreme in različnih vrst ponarejanja. Takšen požarni zid bi moral blokirati ne-SIP promet in biti tudi konfiguriran kot nadzornik meje seje.

Preprečevanje vdora zlonamerne programske opreme

Tako kot HTML lahko tudi SIP sporočilo zlonamerno programsko opremo usmeri v vaš telefonski sistem; to lahko ima več oblik. Na primer, slabi tip vam lahko pošlje napad Internot of Things (IoT), ki na telefone namesti zlonamerno programsko opremo, ki se lahko nato uporabi za pošiljanje informacij na strežnik za nadzor in nadzor ali za posredovanje drugih informacij o omrežju. Ali se taka zlonamerna programska oprema lahko razširi na druge telefone in se nato uporabi za izklop vašega telefonskega sistema.

Lahko pa okuženo SIP sporočilo uporabimo za napad na softphone na računalniku in nato okužbo z računalnikom. To se je zgodilo z odjemalcem Skype za Apple Macintosh in verjetno bi se lahko zgodilo tudi s katerim koli drugim odjemalcem programske opreme. Ta dogodek postaja vse bolj verjeten, ko vidimo vse večje število softverskih telefonov, ki izhajajo iz številnih prodajalcev VoIP-a in sodelovanja, vključno z všečki Dialpad, RingCentral Office in Vonage Business Cloud.

Edini način preprečevanja takšnih napadov je, da se z VoIP sistemom vaše organizacije ravna enako enako kot glede varnostnih omrežij kot pri vaših podatkovnih omrežjih. To je nekoliko večji izziv, čeprav samo zato, ker niso vsi varnostni izdelki seznanjeni s SIP-om in ker se SIP uporablja v več kot samo govornih aplikacijah - besedilni in videokonference sta le dva alternativna primera. Prav tako ne morejo vsi ponudniki VoIP omrežij zaznati lažne SIP klice. Vse to so vprašanja, ki jih morate obravnavati pri vsakem prodajalcu, preden začnete sodelovati.

• Najboljši ponudniki poslovnih VoIP za leto 2019 Najboljši ponudniki poslovnih VoIP za leto 2019
• 9 korakov za optimizacijo omrežja za VoIP 9 korakov za optimizacijo omrežja za VoIP
• Nagrade Business Choice 2018: Sistemi za prenos govora prek IP (VoIP) Business Choice Awards 2018: Voice over IP (VoIP) Systems

Vendar lahko sprejmete korake za konfiguriranje naprav končnih točk tako, da zahtevajo preverjanje pristnosti SIP. To vključuje zahtevanje veljavnega enotnega identifikatorja virov (URI) (ki je kot URL, ki ste ga navajeni), uporabniško ime, ki ga je mogoče preveriti, in varno geslo. Ker je SIP odvisen od gesel, to pomeni, da boste morali uveljaviti strogo politiko gesel za naprave SIP, ne le za računalnike. Nazadnje, seveda, boste morali poskrbeti, da tudi vaši sistemi za zaznavanje in preprečevanje vdorov, ne glede na to, kaj se dogajajo v vašem omrežju, razumejo tudi vaše VoIP omrežje.

Vse to se sliši zapleteno in do neke mere tudi je, toda v resnici gre samo za dodajanje pogovora VoIP vsakemu pogovoru o nakupu z nadzorom omrežja ali ponudnikom varnosti IT. Ko se SIP v številnih podjetniških organizacijah skorajda širi, bodo prodajalci izdelkov za upravljanje IT dajali vse večji poudarek na njem, kar pomeni, da naj bi se položaj izboljšal, dokler bodo kupci IT postali prednostna naloga.