Tudi številni IT-strokovnjaki še niso slišali za protokol SIP (Session Initiation Protocol), zato je skoraj zagotovo, da vaši uporabniki niso.
?e pa ne uporabljate popolnoma lastniškega sistema Voice-over-IP (VoIP), je SIP del vašega življenja.
To je zato, ker je SIP protokol, ki telefonira in zaklju?uje telefonske klice v ve?ini razli?ic VoIP, ne glede na to, ali so ti klici v vašem pisarniškem telefonu, pametnem telefonu ali v aplikaciji, kot sta Apple Facetime ali Facebook Messenger.
Ko pokli?ete, je SIP tisti, ki vzpostavi stik s sprejemno napravo, se dogovori o naravi klica in vzpostavi povezavo.
Po tem drugi protokol (obstaja ve?) vsebuje vsebino klica.
Ko je klic kon?an in se stranke prekinejo, je SIP spet protokol, ki kon?a klic.
To se morda ne sliši kot veliko varnostno vprašanje, v resnici pa je.
To je zato, ker SIP prvotno ni bil zasnovan tako, da je varen, kar pomeni, da ga zlahka vdrete.
Tudi ve?ina IT-strokovnjakov ne ve, da je SIP protokol, ki temelji na besedilu in je zelo podoben ozna?evalnemu jeziku HyperText (HTML), naslov pa je podoben tistemu, na katerega boste naleteli v obi?ajnem e-poštnem protokolu Simple Mail Transfer Protocol (SMTP).
Glava vklju?uje informacije o napravi kli?o?ega, naravi klica, ki ga kli?o?i, in druge podrobnosti, potrebne za klic.
Prejemna naprava (to je lahko mobilni telefon ali VoIP telefon ali morda zasebna podružni?na borza ali PBX) preu?i zahtevo in se odlo?i, ali jo lahko sprejme ali lahko deluje samo s podmnožico.
Nato sprejemna naprava pošiljatelju pošlje kodo, ki ozna?uje, da je klic sprejet ali da ni.
Nekatere kode lahko kažejo, da klica ni mogo?e kon?ati, podobno kot nadležna napaka 404, ki jo vidite, ko spletne strani ni na naslovu, ki ste ga zahtevali.
?e se ne zahteva šifrirana povezava, vse to poteka v obliki navadnega besedila, ki lahko potuje po odprtem internetu ali v pisarniškem omrežju.
Na voljo so celo orodja, s katerimi lahko poslušate nešifrirane telefonske klice, ki uporabljajo Wi-Fi.
Zaš?ita klica SIP
Ko ljudje slišijo, da osnovni protokol ni varen, pogosto odnehajo.
Vendar vam tega ni treba storiti tukaj, ker je zaš?ita klica SIP možna.
Ko se naprava želi povezati z drugo napravo SIP, uporabi naslov, ki je podoben e-poštnemu naslovu, za?enši s SIP in kon?a s pripono @vašedomene.
?e uporabite tak naslov, bo povezava SIP omogo?ila vzpostavitev telefonskega klica, vendar ne bo šifrirana.
?e želite ustvariti šifrirani klic, mora naprava na za?etku naslova namesto SIP dodati SIPS.
"SIPS" ozna?uje šifrirano povezavo z naslednjo napravo s pomo?jo TLS (Transport Layer Security).
Težava celo varne razli?ice SIP je, da šifrirani predor obstaja med napravami, ko usmerjajo klic od za?etka do konca klica, vendar ne nujno, ko klic poteka skozi napravo.
To se je izkazalo za blagodejno za organe kazenskega pregona in obveš?evalne službe povsod, ker omogo?a prisluškovanje VoIP telefonskim klicem, ki bi bili sicer šifrirani.
Omeniti velja, da je mogo?e lo?eno šifrirati vsebino klica SIP, tako da tudi ?e je klic prestrežen, vsebine ni mogo?e enostavno razumeti.
Enostaven na?in za to je preprost zagon varnega klica SIP prek navideznega zasebnega omrežja (VPN).
Vendar boste morali to preizkusiti v poslovne namene, da vam ponudnik VPN zagotavlja dovolj pasovne širine v predoru, da se izognete poslabšanju klicev.
Na žalost informacij SIP samih ni mogo?e šifrirati, kar pomeni, da je mogo?e informacije SIP uporabiti za dostop do strežnika VoIP ali telefonskega sistema z ugrabitvijo ali ponarejanjem klica SIP, vendar bi to zahtevalo precej izpopolnjen in ciljno usmerjen napad.
.
Nastavitev navideznega LAN-a
?e je zadevni VoIP klic nekaj, kar vklju?uje vaše podjetje, lahko nastavite navidezni LAN (VLAN) samo za VoIP in ?e uporabljate VPN v oddaljeni pisarni, lahko VLAN potuje po njem.
povezavo tudi.
VLAN, kot je opisano v naši zgodbi o varnosti VoIP, ima prednost, da u?inkovito zagotavlja lo?eno omrežje za glasovni promet, kar je pomembno iz ve? razlogov, vklju?no z varnostjo, saj lahko nadzorujete dostop do VLAN v razli?nih na?ine.
Težava je v tem, da ne morete na?rtovati klica VoIP, ki prihaja iz vašega podjetja, in ne morete na?rtovati klica, ki je nastal kot VoIP, ki prihaja prek stikala v pisarni vašega telefonskega podjetja, ?e ste celo povezani z tiste.
?e imate telefonski prehod, ki sprejema klice SIP zunaj vašega prostora, boste morali imeti požarni zid, ki podpira SIP in lahko preu?i vsebino sporo?il glede zlonamerne programske opreme in razli?nih vrst prevara.
Tak požarni zid mora blokirati promet, ki ni SIP, in mora biti konfiguriran tudi kot krmilnik meje seje.
Prepre?evanje vdora zlonamerne programske opreme
Tako kot HTML lahko tudi sporo?ilo SIP zlonamerno programsko opremo usmeri v vaš telefonski sistem; to ima lahko ve? oblik.
Na primer, slab ?lovek vam lahko pošlje napad, podoben Internotu stvari (IoT), ki na telefone zasadi zlonamerno programsko opremo, ki jo nato lahko uporabite za pošiljanje informacij na strežnik za nadzor in upravljanje ali za posredovanje drugih omrežnih informacij.
Ali pa se takšna zlonamerna programska oprema lahko razširi na druge telefone in se nato uporabi za izklop vašega telefonskega sistema.
Priporo?ajo ga naši uredniki
Okuženo sporo?ilo SIP lahko uporabite tudi za napad na softphone v ra?unalniku in nato okužbo ra?unalnika.
To se je zgodilo odjemalcu Skype za Apple Macintosh in verjetno bi se lahko zgodilo tudi kateremu koli drugemu odjemalcu softphone.
To je priložnost, ki postaja vse bolj verjetna, saj opazimo, da naraš?a število softphoneov, ki se pojavljajo pri številnih ponudnikih VoIP in sodelovanja, med katerimi so Dialpad, RingCentral Office (19,99 USD pri RingCentral) in Vonage Business Cloud.
Edini na?in za prepre?itev takšnih napadov je, da VoIP sistem vaše organizacije obravnavate z enako skrbjo kot varnost podatkovnih omrežij.
To je nekoliko ve?ji izziv, ?eprav le zato, ker se vsi varnostni izdelki ne zavedajo SIP in ker se SIP uporablja v ve? kot le glasovnih aplikacijah - besedilna in video konferenca sta le dva alternativna primera.
Prav tako vsi ponudniki omrežij VoIP ne morejo zaznati lažnih klicev SIP.
To so vsa vprašanja, ki jih boste morali obravnavati pri vsakem prodajalcu pred sodelovanjem.
Lahko pa naredite nekaj korakov za konfiguriranje naprav kon?ne to?ke, tako da zahtevajo preverjanje pristnosti SIP.
Sem spada zahteva po veljavnem enotnem identifikatorju vira (URI) (kar je kot URL, ki ste ga vajeni), uporabniško ime, ki ga je mogo?e preveriti, in varno geslo.
Ker je SIP odvisen od gesel, to pomeni, da boste morali uveljaviti mo?an pravilnik o geslih za naprave SIP, ne samo za ra?unalnike.
Na koncu morate seveda poskrbeti, da bodo vaši sistemi za odkrivanje in prepre?evanje vdorov, kakršni koli že so v vašem omrežju, razumeli tudi vaše VoIP omrežje.
Vse to se sliši zapleteno in je do neke mere tudi res, vendar gre v resnici le za dodajanje pogovora VoIP v kateri koli nakupni pogovor s ponudnikom omrežnega nadzora ali IT-varnosti.
Ko bo SIP v številnih poslovnih organizacijah prerasel v skorajda vseprisotno stanje, mu bodo prodajalci izdelkov za upravljanje IT dajali vedno ve?ji poudarek, kar pomeni, da bi se moralo stanje izboljševati, dokler mu kupci informacijske tehnologije dajejo prednost.
