Innholdsfortegnelse:
Video: Как настроить переадресацию SIP звонков на мобильный GSM телефон (Oktober 2024)
Sjansen din er at brukerne dine ikke har hørt om Session Initiation Protocol (SIP) utenom noen møter du måtte ha hatt med dem angående selskapets telekommunikasjon. Men faktisk er SIP sannsynligvis involvert i nesten alle telefonsamtaler de ringer. SIP er protokollen som ringer og fullfører telefonsamtaler i de fleste versjoner av Voice-over-IP (VoIP), enten disse samtalene blir plassert på kontortelefonsystemet, smarttelefonen din, eller på applikasjoner som Apple Facetime, Facebook Messenger eller Microsoft Skype.
Det er fordi SIP ikke opprinnelig var designet for å være sikker, noe som betyr at den lett blir hacket. Det som selv de fleste IT-fagfolk ikke vet, er at SIP er en tekstbasert protokoll som ligner mye på HyperText Markup Language (HTML), med adressering som ligner det du vil møte i en vanlig e-post Simple Mail Transfer Protocol (SMTP). Overskriften inneholder informasjon om den som ringer enheten, arten av samtalen den som ringer ber om, og andre detaljer som er nødvendige for å få samtalen til å fungere. Mottaksapparatet (som kan være en mobiltelefon eller en VoIP-telefon, eller kanskje en Private Branch Exchange eller PBX), undersøker forespørselen og bestemmer om den kan romme den eller om den bare kan fungere med en undergruppe.
Mottaksenheten sender deretter en kode til avsenderen for å indikere at samtalen enten er akseptert eller at den ikke er det. Noen koder kan indikere at samtalen ikke kan fullføres, omtrent som den irriterende 404-feilen du ser når en webside ikke er på adressen du ba om. Med mindre det kreves en kryptert tilkobling, skjer alt dette som ren tekst som kan reise over det åpne internett eller kontornettverket ditt. Det er til og med verktøy tilgjengelig som lar deg lytte på ukrypterte telefonsamtaler som bruker Wi-Fi.
Beskytte et SIP-anrop
Når folk hører at en underliggende protokoll ikke er sikker, gir de ofte opp. Men du trenger ikke gjøre det her, fordi det er mulig å beskytte en SIP-samtale. Når en enhet ønsker å opprette forbindelse til en annen SIP-enhet, bruker den en adresse som denne: SIP:. Du vil merke at dette ligner mye på en e-postadresse bortsett fra "SIP" i begynnelsen. Hvis du bruker en slik adresse, lar en SIP-forbindelse opprette en telefonsamtale, men den blir ikke kryptert. For å opprette et kryptert anrop, trenger enheten din å bruke en adresse som er litt annerledes: SIPS:. "SIPS" indikerer en kryptert forbindelse til neste enhet ved bruk av Transport Layer Security (TLS).
Problemet med til og med den sikre versjonen av SIP er at den krypterte tunnelen eksisterer mellom enheter når de dirigerer anropet fra begynnelsen til slutten av samtalen, men ikke nødvendigvis mens samtalen passerer gjennom enheten. Dette har vist seg å være en velsignelse for rettshåndhevingsbyråer og etterretningstjenester overalt fordi det gjør det mulig å trykke på VoIP-telefonsamtaler som ellers kan være kryptert.
Det er verdt å merke seg at det er mulig å kryptere innholdet i en SIP-samtale separat, slik at innholdet ikke kan forstås, selv om samtalen blir avlyttet. En enkel måte å gjøre dette på er å ganske enkelt kjøre en sikker SIP-samtale gjennom et virtuelt privat nettverk (VPN). Du må imidlertid teste dette i forretningsøyemed for å sikre at VPN-leverandøren gir deg nok båndbredde i tunnelen til å unngå forringelse av samtalen. Dessverre kan ikke selve SIP-informasjonen krypteres, noe som betyr at SIP-informasjonen kan brukes til å få tilgang til VoIP-serveren eller telefonsystemet ved å kapre eller forfalske en SIP-samtale, men dette vil kreve et ganske sofistikert og målrettet angrep.
Sette opp et virtuelt LAN
Hvis den aktuelle VoIP-samtalen er noe som involverer selskapet ditt, kan du selvfølgelig sette opp et virtuelt LAN (VLAN) bare for VoIP, og hvis du bruker en VPN til et eksternt kontor, kan VLAN reise over det tilkobling også. Som beskrevet i vår historie om VoIP-sikkerhet har VLAN fordelen av å effektivt tilby et eget nettverk for taletrafikk, noe som er viktig av flere årsaker, inkludert sikkerhet, siden du kan kontrollere tilgangen til VLAN i en rekke forskjellige måter.
Problemet er at du ikke kan planlegge en VoIP-samtale som kommer innenfra selskapet ditt, og du kan ikke planlegge en samtale som oppsto som VoIP som kommer inn via telefonselskapets sentralkontorbryter, hvis du til og med er koblet til en av de. Hvis du har en telefoni-gateway som aksepterer SIP-anrop utenom lokalene dine, må du ha en SIP-kompatibel brannmur som kan undersøke meldingens innhold for skadelig programvare og ulike typer forfalskning. En slik brannmur skal blokkere ikke-SIP-trafikk og bør også konfigureres som en sesjonskontroller.
Forhindrer inntrenging av skadelig programvare
I likhet med HTML, kan en SIP-melding også lede malware inn i telefonsystemet. dette kan ha mer enn én form. En dårlig fyr kan for eksempel sende deg et Internot of Things (IoT) -lignende angrep som planter skadelig programvare på telefoner, som deretter kan brukes til å sende informasjon til en kommando-og-kontrollserver eller til å formidle annen nettverksinformasjon. Eller slik malware kan spre seg til andre telefoner og deretter brukes til å slå av telefonsystemet ditt.
Alternativt kan en infisert SIP-melding brukes til å angripe en softphone på en datamaskin og deretter infisere datamaskinen. Dette har skjedd med Skype-klienten for Apple Macintosh, og det kan sannsynligvis skje med alle andre softphone-klienter. Dette er en hendelse som blir mer og mer sannsynlig når vi ser et voksende antall softphones komme fra flere leverandører av VoIP og samarbeid, inkludert slike som Dialpad, RingCentral Office og Vonage Business Cloud, blant flere.
Den eneste måten å forhindre slike angrep er å behandle organisasjonens VoIP-system med like mye sikkerhetsmoment som du gjør datanettverkene dine. Dette er noe mer en utfordring, bare fordi ikke alle sikkerhetsprodukter er SIP-bevisste, og fordi SIP brukes i mer enn bare taleapper - tekst og videokonferanser er bare to alternative eksempler. På samme måte kan ikke alle VoIP-nettverksleverandører oppdage falske SIP-anrop. Dette er alle spørsmål du trenger å adressere med hver leverandør før du engasjerer deg.
- The Best Business VoIP Providers for 2019 De beste Business VoIP Providers for 2019
- 9 trinn for å optimalisere nettverket ditt for VoIP 9 trinn for å optimalisere nettverket ditt for VoIP
- Business Choice Awards 2018: Voice Over IP (VoIP) Systems Business Choice Awards 2018: Voice Over IP (VoIP) systemer
Du kan imidlertid ta skritt for å konfigurere endepunktenheter slik at de krever SIP-godkjenning. Dette inkluderer å kreve en gyldig Uniform Resource Identifier (URI) (som er som nettadressen du er vant til), et brukernavn som kan autentiseres og et sikkert passord. Siden SIP er avhengig av passord, betyr dette at du må håndheve en sterk passordpolicy for SIP-enheter, ikke bare for datamaskiner. Til slutt, selvfølgelig, må du sørge for at inntrengingsdeteksjons- og forebyggingssystemene dine, uansett hva de måtte være på nettverket ditt, også forstår VoIP-nettverket ditt.
Alt dette høres sammensatt ut, og til en viss grad det er, men det handler egentlig bare om å legge VoIP-samtalen til enhver innkjøpssamtale med en nettverksovervåking eller leverandør av IT-sikkerhet. Etter hvert som SIP vokser til en nesten allestedsnærværende tilstand i mange forretningsorganisasjoner, vil leverandører av IT-administrasjonsprodukter legge mer og mer vekt på det, noe som betyr at situasjonen bør forbedre seg så lenge IT-kjøpere gjør det til en prioritet.
