Isegi paljud IT-spetsialistid pole Session Initiation Protocolist (SIP) kuulnud, seega on peaaegu kindel, et teie kasutajad pole seda kuulnud.
Kui aga te ei kasuta täielikult omandatud VoIP (Voice-over-IP) süsteemi, on SIP osa teie elust.
Seda seetõttu, et SIP on protokoll, mis helistab ja lõpetab telefonikõnesid enamikus VoIP-i versioonides, olenemata sellest, kas need kõned tehakse teie kontoritelefonisüsteemis, nutitelefonis või rakenduses, näiteks Apple Facetime või Facebook Messenger.
Kui helistate, võtab SIP ühendust vastuvõtva seadmega, lepib kokku kõne olemuse ja loob ühenduse.
Pärast seda kannab kõne sisu teine ??protokoll (neid on mitu).
Kui kõne on läbi ja osapooled katkestavad ühenduse, on SIP taas protokoll, mis kõne lõpetab.
See ei pruugi kõlada eriti turvaküsimusena, kuid tegelikult on see nii.
Seda seetõttu, et SIP ei olnud algselt loodud turvaliseks, mis tähendab, et see on hõlpsasti häkkitav.
Mida isegi enamik IT-spetsialiste ei tea, on see, et SIP on tekstipõhine protokoll, mis sarnaneb suuresti HyperText Markup Language (HTML) -ga, aadressiga, mis sarnaneb tavalise e-posti lihtsa postiedastuse protokolli (SMTP) aadressiga.
Päis sisaldab teavet helistaja seadme kohta, helistaja taotletava kõne olemust ja muid helistamiseks vajalikke üksikasju.
Vastuvõttev seade (mis võib olla mobiiltelefon või VoIP-telefon või võib-olla privaatne harukeskjaam või PBX) uurib päringut ja otsustab, kas see suudab seda mahutada või kas see võib töötada ainult alamhulgaga.
Seejärel saadab vastuvõttev seade saatjale koodi, mis näitab, kas kõne on kas vastu võetud või mitte.
Mõni kood võib viidata sellele, et kõnet ei saa lõpule viia, umbes nagu tüütu viga 404, mida näete, kui veebileht ei ole teie soovitud aadressil.
Kui krüpteeritud ühendust ei küsita, toimub see kõik tavalise tekstina, mis võib liikuda üle avatud Interneti või teie kontorivõrgu.
On isegi hõlpsasti saadaval olevaid tööriistu, mis võimaldavad teil kuulata krüptimata telefonikõnesid, mis kasutavad WiFi-d.
SIP-kõne kaitsmine
Kui inimesed kuulevad, et aluseks olev protokoll ei ole turvaline, loobuvad nad sellest sageli.
Kuid te ei pea seda siin tegema, sest SIP-kõne kaitsmine on võimalik.
Kui seade soovib luua ühenduse teise SIP-seadmega, kasutab see aadressi, mis näeb välja nagu e-posti aadress, algusega SIP ja lõpeb @yourdomainname laiendiga.
Sellise aadressi kasutamine võimaldab SIP-ühendusel telefonikõne seadistada, kuid seda ei krüpteerita.
Krüptitud kõne loomiseks peab teie seade aadressi alguses lisama SIP-i asemel SIPS-i.
"SIPS" tähistab krüpteeritud ühendust järgmise seadmega, kasutades transpordikihi turvalisust (TLS).
Isegi SIP-i turvalise versiooni probleem on see, et krüpteeritud tunnel eksisteerib seadmete vahel, kui need suunavad kõne kõne algusest lõpuni, kuid mitte tingimata, kui kõne läbib seadet.
See on osutunud õiguskaitseorganite ja luureteenistuste jaoks õnnistuseks kõikjal, sest see võimaldab koputada VoIP-telefonikõnesid, mis muidu võivad olla krüptitud.
Väärib märkimist, et SIP-kõne sisu on võimalik eraldi krüptida, nii et isegi kõne pealtkuulamisel ei oleks sisust hõlpsasti aru saada.
Lihtne viis seda teha on lihtsalt turvalise SIP-kõne käivitamine virtuaalse privaatvõrgu (VPN) kaudu.
Kuid peate seda ärieesmärkidel katsetama, et teie VPN-teenuse pakkuja annaks teile tunnelis piisavalt ribalaiust, et vältida kõne halvenemist.
Kahjuks ei saa SIP-teavet ennast krüpteerida, mis tähendab, et SIP-teavet saab kasutada VoIP-serverile või telefonisüsteemile juurdepääsu saamiseks SIP-kõne kaaperdamise või võltsimise teel, kuid see eeldaks üsna keerukat ja sihipärast rünnakut .
Virtuaalse kohtvõrgu seadistamine
Muidugi, kui kõne all olev VoIP-kõne on seotud teie ettevõttega, saate seadistada virtuaalse kohtvõrgu (VLAN) ainult VoIP-i jaoks ja kui kasutate VPN-i kaugkontorisse, saab VLAN-i üle selle reisida ühendus ka.
Nagu meie VoIP-turvalisuse loos on kirjeldatud, on VLAN-i eeliseks see, et pakub tõhusalt eraldi võrku kõneliikluseks, mis on oluline mitmel põhjusel, sealhulgas turvalisus, kuna VLAN-ile juurdepääsu saate kontrollida mitmel erineval viisil.
viise.
Probleem on selles, et te ei saa plaanida VoIP-kõnet, mis tuleb teie ettevõttest, ja te ei saa planeerida kõnet, mis pärineb VoIP-st, mis tuleb sisse teie telefonifirma keskkontakti lüliti kaudu, kui olete isegi ühega need.
Kui teil on telefonivärav, mis võtab vastu SIP-kõnesid väljaspool teie territooriumi, peab teil olema SIP-võimeline tulemüür, mis saab uurida sõnumi sisu pahavara ja mitmesuguste võltsimisvormide osas.
Selline tulemüür peaks blokeerima mitte-SIP-liikluse ja olema konfigureeritud ka seansi piirikontrollerina.
Pahavara sissetungi ärahoidmine
Nagu HTML, saab ka SIP-sõnum pahavara teie telefoni süsteemi suunata; see võib olla mitu vormi.
Näiteks võib pahalane saata teile asjade internetti (IoT) sarnase rünnaku, mis istutab telefonidesse pahavara, mida saab seejärel kasutada teabe edastamiseks käsu-ja juhtimisserverisse või muu võrguteabe edastamiseks.
Või võib selline pahavara levida teistesse telefonidesse ja seejärel kasutada seda telefoni süsteemi sulgemiseks.
Soovitasid meie toimetajad
Teise võimalusena saab nakatunud SIP-sõnumit kasutada arvutis oleva pehme telefoni ründamiseks ja seejärel arvuti nakatamiseks.
Seda on juhtunud Apple Macintoshi Skype'i kliendiga ja see võib juhtuda ka kõigi muude pehmete telefonide klientidega.
See on juhtum, mis muutub üha tõenäolisemaks, kuna näeme, et mitmetest VoIP- ja koostööpartneritest on kerkimas kasvav arv nutitelefone, sealhulgas näiteks Dialpad, RingCentral Office (RingCentralis 19, 99 dollarit) ja Vonage Business Cloud.
Ainus viis selliste rünnakute ärahoidmiseks on teie organisatsiooni VoIP-süsteemi kohtlemine sama palju julgeolekuprobleeme kui teie andmesidevõrke.
See on mõnevõrra suurem väljakutse juba sellepärast, et mitte kõik turvatooted pole SIP-teadlikud ja kuna SIP-d kasutatakse rohkem kui lihtsalt häälrakendustes - teksti- ja videokonverentsid on vaid kaks alternatiivset näidet.
Samuti ei suuda kõik VoIP-võrgu pakkujad tuvastada valesid SIP-kõnesid.
Need on kõik küsimused, mida peate enne kaasamist iga hankijaga lahendama.
Siiski võite teha samme oma lõpp-seadmete konfigureerimiseks nii, et need nõuaksid SIP-autentimist.
See hõlmab kehtiva ühtse ressursitunnuse (URI) (mis on nagu harjunud URL), kasutajanime, mida saab autentida, ja turvalise parooli nõudmist.
Kuna SIP sõltub paroolidest, tähendab see, et peate rakendama tugevat paroolipoliitikat SIP-seadmete jaoks, mitte ainult arvutite jaoks.
Lõpuks peate muidugi veenduma, et teie sissetungimise tuvastamise ja ennetamise süsteemid, olenemata sellest, millised need teie võrgus juhtuvad olema, mõistavad ka teie VoIP-võrku.
Kõik see kõlab keerukalt ja teatud määral ka on, kuid tegelikult on küsimus ainult VoIP-vestluse lisamises mis tahes ostuvestlusesse võrgu jälgimise või IT-turvalisuse müüjaga.
Kuna SIP kasvab paljudes äriorganisatsioonides peaaegu kõikjal olevaks, panevad IT-haldustoodete müüjad sellele üha rohkem rõhku, mis tähendab, et olukord peaks paranema seni, kuni IT-ostjad seavad selle prioriteediks.
