目录:
视频: Wireshark SIP Capture (十一月 2024)
很有可能,您的用户在您与他们进行的有关公司电信的任何会议之外都没有听说过会话发起协议(SIP)。 但是,实际上,SIP可能涉及他们拨打的几乎每个电话。 SIP是在大多数版本的IP语音(VoIP)中拨打和完成电话呼叫的协议,无论这些呼叫是放在办公室电话系统,智能手机上,还是在Apple Facetime,Facebook Messenger或Microsoft Skype。
这是因为SIP最初并不是为了安全而设计的,这意味着它很容易被黑客入侵。 甚至大多数IT专业人员都不知道的是,SIP是一种基于文本的协议,与超文本标记语言(HTML)非常相似,其地址与您在典型电子邮件的简单邮件传输协议(SMTP)中所遇到的相似。 标题包括有关呼叫者设备,呼叫者正在请求的呼叫性质以及使呼叫正常工作所需的其他详细信息。 接收设备(可以是手机或VoIP电话,或者可能是专用小交换机或PBX)检查请求,并确定它是否可以容纳该请求或仅可以处理一个子集。
然后,接收设备将代码发送给发送方,以指示该呼叫已被接受或未被接受。 某些代码可能表明呼叫无法完成,就像网页不在您请求的地址时出现的404错误一样。 除非请求加密连接,否则所有这些操作都将以纯文本形式进行,并且可能会通过开放式Internet或您的办公网络传播。 甚至有现成的工具可以让您收听使用Wi-Fi的未加密电话。
保护SIP呼叫
当人们听到底层协议不安全时,他们通常会放弃它。 但是您不必在这里这样做,因为可以保护SIP呼叫。 当设备要与另一个SIP设备建立连接时,它使用如下地址:SIP:。 您会发现它看起来很像一个电子邮件地址,除了开头的“ SIP”。 使用这样的地址可以让SIP连接建立电话,但不会被加密。 要创建加密呼叫,您的设备需要使用略有不同的地址:SIPS :。 “ SIPS”表示使用传输层安全性(TLS)与下一个设备的加密连接。
甚至安全版本的SIP的问题在于,设备之间存在加密的隧道,因为它们将呼叫从呼叫的开始到结束进行路由,但不一定在呼叫通过设备时进行。 事实证明,这对各地的执法机构和情报部门都是福音,因为它可以窃听本来可以加密的VoIP电话。
值得注意的是,可以单独加密SIP呼叫的内容,这样,即使呼叫被拦截,也很难理解其内容。 一种简单的方法是简单地通过虚拟专用网络(VPN)运行安全的SIP呼叫。 但是,您需要出于商业目的对此进行测试,以确保您的VPN提供商在隧道中为您提供了足够的带宽以避免呼叫降级。 不幸的是,SIP信息本身不能被加密,这意味着SIP信息可以通过劫持或欺骗SIP呼叫来用于访问VoIP服务器或电话系统,但这将需要相当复杂且有针对性的攻击。
设置虚拟局域网
当然,如果所涉及的VoIP呼叫涉及您的公司,那么您可以设置仅用于VoIP的虚拟LAN(VLAN),并且,如果您使用VPN到远程办公室,则VLAN可以通过连接也是如此。 正如我们在VoIP安全性中所述,VLAN具有以下优点:有效地为语音流量提供了一个单独的网络,由于包括安全性在内的多种原因,这很重要,因为您可以通过多种方式控制对VLAN的访问。方法。
问题是,您无法规划来自公司内部的VoIP呼叫,也无法规划源自VoIP通过电话公司的中心局交换机传入的呼叫,即使您已连接至以下任何一个那些。 如果您的电话网关可以接收来自您房屋外部的SIP呼叫,那么您将需要具有支持SIP的防火墙,该防火墙可以检查邮件内容中是否存在恶意软件和各种类型的欺骗。 这种防火墙应阻止非SIP流量,并且还应配置为会话边界控制器。
防止恶意软件入侵
像HTML一样,SIP消息也可以将恶意软件引导到您的电话系统中。 这可以采用多种形式。 例如,一个坏人可以向您发送类似物联网(IoT)的攻击,该攻击将恶意软件植入电话中,然后可以将其用于将信息发送到命令和控制服务器或传递其他网络信息。 或者,此类恶意软件可以将自身传播到其他电话,然后用于关闭电话系统。
或者,可以使用受感染的SIP消息来攻击计算机上的软件电话,然后再感染计算机。 Apple Macintosh的Skype客户端发生了这种情况,任何其他软件电话客户端也可能发生这种情况。 随着越来越多的VoIP和协作供应商(包括Dialpad,RingCentral Office和Vonage Business Cloud等)涌现出越来越多的软件电话,这种可能性越来越大。
防止此类攻击的唯一方法是,与处理数据网络一样,要对组织的VoIP系统进行同样的安全考虑。 这仅是因为并非所有安全产品都支持SIP,而且因为SIP不仅用于语音应用程序,而且还用于文本和视频会议,这是两个替代示例,这更具挑战性。 同样,并非所有VoIP网络提供商都可以检测到伪造的SIP呼叫。 这些都是您参与之前需要与每个供应商联系的所有问题。
- 2019年最佳企业VoIP提供商2019年最佳企业VoIP提供商
- 优化VoIP网络的9个步骤优化VoIP网络的9个步骤
- 2018年商业选择奖:IP语音(VoIP)系统2018年商业选择奖:IP语音(VoIP)系统
但是,您可以采取步骤配置端点设备,以便它们需要SIP身份验证。 这包括要求一个有效的统一资源标识符(URI)(类似于您惯用的URL),可以进行身份验证的用户名和一个安全密码。 由于SIP取决于密码,因此这意味着您必须对SIP设备(不仅是计算机)实施严格的密码策略。 最后,当然,您需要确保您的入侵检测和防御系统(无论碰巧发生在您的网络中)也了解您的VoIP网络。
所有这些听起来很复杂,在某种程度上来说确实如此,但这实际上只是将VoIP对话添加到与网络监控或IT安全供应商的任何购买对话中的问题。 随着SIP在许多商业组织中发展到几乎无处不在的状态,IT管理产品的供应商将越来越重视它,这意味着只要IT购买者将其作为优先事项,情况就应该会有所改善。
