Selv mange it-fagfolk har ikke hørt om Session Initiation Protocol (SIP), så det er næsten sikkert, at dine brugere ikke har gjort det.
Men medmindre du bruger et helt proprietært Voice-over-IP (VoIP) -system, er SIP en del af dit liv.
Det skyldes, at SIP er den protokol, der foretager og fuldfører telefonopkald i de fleste versioner af VoIP, uanset om disse opkald placeres på dit kontortelefonsystem, din smartphone eller på en app som Apple Facetime eller Facebook Messenger.
Når du foretager et opkald, er det SIP, der kontakter den modtagende enhed, er enig i karakteren af ??opkaldet og opretter forbindelsen.
Derefter bærer en anden protokol (der er flere) indholdet af opkaldet.
Når opkaldet er slut, og parterne afbryder forbindelsen, er SIP igen protokollen, der afslutter opkaldet.
Dette lyder måske ikke som meget af et sikkerhedsproblem, men det er det faktisk.
Det skyldes, at SIP oprindeligt ikke var designet til at være sikker, hvilket betyder, at det er let hacket.
Hvad selv de fleste it-fagfolk ikke ved, er, at SIP er en tekstbaseret protokol, der ligner HyperText Markup Language (HTML), med adressering, der ligner det, du vil støde på i en typisk mails Simple Mail Transfer Protocol (SMTP).
Overskriften indeholder information om den, der ringer op, karakteren af ??det opkald, som den, der ringer, beder om og andre detaljer, der er nødvendige for at få opkaldet til at fungere.
Den modtagende enhed (som kan være en mobiltelefon eller en VoIP-telefon eller måske en privat filialbørs eller PBX) undersøger anmodningen og beslutter, om den kan rumme den, eller om den kun kan fungere med et undersæt.
Den modtagende enhed sender derefter en kode til afsenderen for at indikere, at opkaldet enten accepteres, eller at det ikke er det.
Nogle koder kan indikere, at opkaldet ikke kan gennemføres, ligesom den irriterende 404-fejl, du ser, når en webside ikke er på den ønskede adresse.
Medmindre der kræves en krypteret forbindelse, finder alt dette sted som almindelig tekst, der muligvis bevæger sig over det åbne internet eller dit kontornetværk.
Der er endda værktøjer, der er let tilgængelige, så du kan lytte til ukrypterede telefonopkald, der bruger Wi-Fi.
Beskyttelse af et SIP-opkald
Når folk hører, at en underliggende protokol ikke er sikker, giver de ofte op på den.
Men du behøver ikke gøre det her, for det er muligt at beskytte et SIP-opkald.
Når en enhed ønsker at oprette forbindelse til en anden SIP-enhed, bruger den en adresse, der ligner en e-mail-adresse, der begynder med SIP og slutter i en @ditdomænenavnudvidelse.
Brug af en sådan adresse lader en SIP-forbindelse oprette et telefonopkald, men det bliver ikke krypteret.
For at oprette et krypteret opkald skal din enhed tilføje SIPS i stedet for SIP i starten af ??adressen.
"SIPS" angiver en krypteret forbindelse til den næste enhed ved hjælp af Transport Layer Security (TLS).
Problemet med selv den sikre version af SIP er, at den krypterede tunnel findes mellem enheder, da de dirigerer opkaldet fra begyndelsen til slutningen af ??opkaldet, men ikke nødvendigvis, mens opkaldet passerer gennem enheden.
Dette har vist sig at være en velsignelse for retshåndhævende myndigheder og efterretningstjenester overalt, fordi det gør det muligt at trykke på VoIP-telefonopkald, der ellers kan være krypteret.
Det er værd at bemærke, at det er muligt at kryptere indholdet af et SIP-opkald separat, så indholdet ikke let kan forstås, selvom opkaldet opfanges.
En nem måde at gøre dette på er simpelthen at køre et sikkert SIP-opkald gennem et virtuelt privat netværk (VPN).
Du skal dog teste dette til forretningsformål for at sikre, at din VPN-udbyder giver dig nok båndbredde i tunnelen for at undgå nedbrydning af opkald.
Desværre kan selve SIP-oplysningerne ikke krypteres, hvilket betyder, at SIP-oplysningerne kan bruges til at få adgang til VoIP-serveren eller telefonsystemet ved at kapre eller spoofe et SIP-opkald, men dette ville kræve et ret sofistikeret og målrettet angreb .
Opsætning af et virtuelt LAN
Selvfølgelig, hvis det pågældende VoIP-opkald er noget, der involverer din virksomhed, kan du oprette et virtuelt LAN (VLAN) kun til VoIP, og hvis du bruger en VPN til et fjernkontor, kan VLAN rejse over det forbindelse også.
VLAN, som beskrevet i vores historie om VoIP-sikkerhed, har fordelen ved effektivt at levere et separat netværk til stemmetrafik, hvilket er vigtigt af en række årsager, herunder sikkerhed, da du kan kontrollere adgangen til VLAN i en række forskellige måder.
Problemet er, at du ikke kan planlægge et VoIP-opkald fra din virksomhed, og du kan ikke planlægge et opkald, der stammer fra VoIP, der kommer ind gennem dit telefonselskabs hovedkontakt, hvis du endda har forbindelse til en af de der.
Hvis du har en telefoni-gateway, der accepterer SIP-opkald uden for dit område, skal du have en SIP-kompatibel firewall, der kan undersøge meddelelsesindholdet for malware og forskellige former for spoofing.
En sådan firewall skal blokere for ikke-SIP-trafik og skal også konfigureres som en session border controller.
Forebyggelse af malwareindtrængning
Ligesom HTML kan en SIP-besked også dirigere malware til dit telefonsystem; dette kan tage mere end én form.
For eksempel kan en dårlig fyr sende dig et Internot of Things (IoT) -lignende angreb, der planter malware på telefoner, som derefter kan bruges til at sende information til en kommando-og-kontrol-server eller til at videregive anden netværksinformation.
Eller sådan malware kan sprede sig til andre telefoner og derefter bruges til at lukke dit telefonsystem.
Anbefalet af vores redaktører
Alternativt kan en inficeret SIP-meddelelse bruges til at angribe en softphone på en computer og derefter inficere computeren.
Dette er sket med Skype-klienten til Apple Macintosh, og det kan sandsynligvis også ske for enhver anden softphone-klient.
Dette er en begivenhed, der bliver mere og mere sandsynlig, da vi ser et voksende antal softphones, der kommer fra flere VoIP- og samarbejdsleverandører, herunder f.eks.
Dialpad, RingCentral Office ($ 19,99 hos RingCentral) og Vonage Business Cloud blandt flere andre.
Den eneste måde at forhindre sådanne angreb på er at behandle din organisations VoIP-system med lige så meget sikkerhedsproblemer som du gør dine datanetværk.
Dette er noget mere af en udfordring, ikke kun fordi ikke alle sikkerhedsprodukter er SIP-opmærksomme, og fordi SIP bruges i mere end bare stemme-apps - tekst- og videokonferencer er blot to alternative eksempler.
Ligeledes kan ikke alle VoIP-netudbydere opdage falske SIP-opkald.
Dette er alle spørgsmål, du skal tage fat på med hver leverandør, inden du går ind.
Du kan dog tage skridt til at konfigurere dine slutpunktsenheder, så de kræver SIP-godkendelse.
Dette inkluderer at kræve en gyldig Uniform Resource Identifier (URI) (som er som den URL, du er vant til), et brugernavn, der kan godkendes, og en sikker adgangskode.
Da SIP afhænger af adgangskoder, betyder det, at du bliver nødt til at håndhæve en stærk adgangskodepolitik for SIP-enheder, ikke kun for computere.
Endelig skal du selvfølgelig sørge for, at dine indbrudsdetekterings- og forebyggelsessystemer, uanset hvad de tilfældigvis er på dit netværk, også forstår dit VoIP-netværk.
Alt dette lyder komplekst, og til en vis grad er det, men det er egentlig bare et spørgsmål om at føje VoIP-samtalen til enhver indkøbssamtale med en netværksovervågning eller it-sikkerhedsleverandør.
Da SIP vokser til en næsten allestedsnærværende tilstand i mange forretningsorganisationer, vil leverandører af it-styringsprodukter lægge mere og mere vægt på det, hvilket betyder, at situationen skal forbedres, så længe it-købere prioriterer det.
