Till och med många IT-proffs har inte hört talas om SIP (Session Initiation Protocol), så det är nästan säkert att dina användare inte har gjort det.
Men om du inte använder ett helt proprietärt Voice-over-IP-system (VoIP) är SIP en del av ditt liv.
Det beror på att SIP är det protokoll som gör och slutför telefonsamtal i de flesta versioner av VoIP, oavsett om dessa samtal placeras på ditt kontors telefonsystem, din smartphone eller på en app som Apple Facetime eller Facebook Messenger.
När du ringer är det SIP som kontaktar den mottagande enheten, håller med om samtalets karaktär och gör anslutningen.
Därefter innehåller ett annat protokoll (det finns flera) innehållet i samtalet.
När samtalet är över och parterna kopplas bort är SIP återigen det protokoll som avslutar samtalet.
Det här låter kanske inte så mycket av ett säkerhetsproblem, men faktiskt är det.
Det beror på att SIP ursprungligen inte var utformat för att vara säkert, vilket betyder att det är enkelt att hacka.
Vad även de flesta IT-proffs inte vet är att SIP är ett textbaserat protokoll som liknar HyperText Markup Language (HTML), med adressering som liknar vad du kommer att stöta på i ett typiskt e-postmeddelande Simple Mail Transfer Protocol (SMTP).
Rubriken innehåller information om den som ringer upp, samtalens karaktär som den som ringer och andra detaljer som är nödvändiga för att samtalet ska fungera.
Den mottagande enheten (som kan vara en mobiltelefon eller en VoIP-telefon, eller kanske en privat filialbörs eller PBX), undersöker begäran och bestämmer om den kan rymma den eller om den bara kan fungera med en delmängd.
Den mottagande enheten skickar sedan en kod till avsändaren för att ange att samtalet antingen accepteras eller att det inte är det.
Vissa koder kan indikera att samtalet inte kan slutföras, ungefär som det irriterande 404-felet du ser när en webbsida inte finns på den begärda adressen.
Om inte en krypterad anslutning begärs, sker allt detta som klartext som kan färdas över det öppna internet eller ditt kontorsnätverk.
Det finns även tillgängliga verktyg som låter dig lyssna på okrypterade telefonsamtal som använder Wi-Fi.
Skydda ett SIP-samtal
När folk hör att ett underliggande protokoll inte är säkert, ger de ofta upp det.
Men du behöver inte göra det här, för att skydda ett SIP-samtal är möjligt.
När en enhet vill skapa en anslutning till en annan SIP-enhet använder den en adress som ser ut som en e-postadress, som börjar med SIP och slutar med ett @yourdomainname-tillägg.
Genom att använda en sådan adress kan en SIP-anslutning skapa ett telefonsamtal men det krypteras inte.
För att skapa ett krypterat samtal måste din enhet lägga till SIPS istället för SIP i början av adressen.
"SIPS" indikerar en krypterad anslutning till nästa enhet med TLS (Transport Layer Security).
Problemet med till och med den säkra versionen av SIP är att den krypterade tunneln finns mellan enheter när de dirigerar samtalet från början till slutet av samtalet men inte nödvändigtvis medan samtalet passerar genom enheten.
Detta har visat sig vara en välsignelse för brottsbekämpande myndigheter och underrättelsetjänster överallt eftersom det gör det möjligt att knacka på VoIP-telefonsamtal som annars skulle kunna krypteras.
Det är värt att notera att det är möjligt att kryptera innehållet i ett SIP-samtal separat så att, även om samtalet avlyssnas, kan innehållet inte lätt förstås.
Ett enkelt sätt att göra detta är att helt enkelt köra ett säkert SIP-samtal via ett virtuellt privat nätverk (VPN).
Du måste dock testa detta i affärssyfte för att säkerställa att din VPN-leverantör ger dig tillräckligt med bandbredd i tunneln för att undvika försämring av samtal.
Tyvärr kan själva SIP-informationen inte krypteras, vilket innebär att SIP-informationen kan användas för att få tillgång till VoIP-servern eller telefonsystemet genom att kapa eller förfalska ett SIP-samtal, men detta skulle kräva en ganska sofistikerad och målinriktad attack .
Konfigurera ett virtuellt LAN
Naturligtvis, om VoIP-samtalet i fråga är något som berör ditt företag, kan du skapa ett virtuellt LAN (VLAN) bara för VoIP och om du använder en VPN till ett fjärrkontor kan VLAN resa över det anslutning också.
VLAN, som beskrivs i vår berättelse om VoIP-säkerhet, har fördelen att det effektivt tillhandahåller ett separat nätverk för rösttrafik, vilket är viktigt av ett antal skäl, inklusive säkerhet, eftersom du kan styra åtkomst till VLAN i en mängd olika sätt.
Problemet är att du inte kan planera att ett VoIP-samtal kommer inifrån ditt företag, och du kan inte planera att ett samtal som har sitt ursprung som VoIP kommer in via telefonföretagets centralkontakt, om du ens är ansluten till en av de där.
Om du har en telefonigateway som accepterar SIP-samtal utanför dina lokaler måste du ha en SIP-kompatibel brandvägg som kan undersöka meddelandets innehåll för skadlig kod och olika typer av falska förfalskningar.
En sådan brandvägg bör blockera icke-SIP-trafik och bör också konfigureras som en session-gränskontroll.
Förhindra skadlig programvara
Liksom HTML kan ett SIP-meddelande också leda skadlig programvara till ditt telefonsystem; detta kan ta mer än en form.
Till exempel kan en dålig kille skicka dig en Internot of Things (IoT) -liknande attack som planterar skadlig kod på telefoner, som sedan kan användas för att skicka information till en kommandokontrollserver eller för att vidarebefordra annan nätverksinformation.
Eller sådan skadlig kod kan sprida sig till andra telefoner och sedan användas för att stänga av ditt telefonsystem.
Rekommenderas av våra redaktörer
Alternativt kan ett infekterat SIP-meddelande användas för att attackera en softphone på en dator och sedan infektera datorn.
Detta har hänt Skype-klienten för Apple Macintosh och det kan sannolikt hända alla andra softphone-klienter också.
Detta är en händelse som blir mer och mer sannolikt eftersom vi ser ett växande antal mjuktelefoner som kommer från flera VoIP- och samarbetsleverantörer, inklusive sådana som Dialpad, RingCentral Office (19,99 USD på RingCentral) och Vonage Business Cloud, bland flera andra.
Det enda sättet att förhindra sådana attacker är att behandla din organisations VoIP-system med lika mycket oro för säkerhet som du gör dina datanätverk.
Detta är något mer av en utmaning, inte bara för att inte alla säkerhetsprodukter är SIP-medvetna, och för att SIP används i mer än bara röstappar - text- och videokonferenser är bara två alternativa exempel.
På samma sätt kan inte alla VoIP-nätleverantörer upptäcka falska SIP-samtal.
Det här är alla frågor du måste ta itu med varje leverantör innan du deltar.
Du kan dock vidta åtgärder för att konfigurera dina slutpunktsenheter så att de kräver SIP-autentisering.
Detta inkluderar att kräva en giltig Uniform Resource Identifier (URI) (som är som den URL du är van vid), ett användarnamn som kan autentiseras och ett säkert lösenord.
Eftersom SIP beror på lösenord betyder det att du måste genomdriva en stark lösenordspolicy för SIP-enheter, inte bara för datorer.
Slutligen måste du naturligtvis se till att ditt system för upptäckt och förebyggande av intrång, oavsett vad de råkar finnas i ditt nätverk, också förstår ditt VoIP-nätverk.
Allt detta låter komplext, och till viss del är det, men det handlar egentligen bara om att lägga till VoIP-konversationen till alla inköpskonversationer med en nätverksövervakning eller IT-säkerhetsleverantör.
När SIP växer till nästan allestädes närvarande i många affärsorganisationer kommer leverantörer av IT-hanteringsprodukter att lägga mer och mer tonvikt på det, vilket innebär att situationen bör förbättras så länge IT-köpare prioriterar det.
