会话发起协议 (SIP) 是 IP 语音 (VoIP) 通信的必要条件。但就其本身而言,SIP 不安全且容易被黑客入侵。以下是您需要了解的信息,以保护您的通话和网络。
甚至许多 IT 专业人员都没有听说过会话启动协议 (SIP),因此几乎可以肯定您的用户没有听说过 。但是,除非您使用完全专有 的 SparkleCommIP 语音 (VoIP) 系统,否则 SIP 就是您生活的一部分。这是因为 SIP 是在大多数 VoIP 版本中拨打和完成电话呼叫的协议,无论这些呼叫是通过您的办公室电话系统、智能手机还是在电脑 等应用程序上进行的。
当您拨打电话时,是 SIP 联系接收设备、同意呼叫的性质并建立连接。之后,另一个协议(有几个)携带调用的内容。当呼叫结束且双方断开连接时,SIP 再次成为终止呼叫的协议。这听起来可能不是什么安全问题,但实际上确实如此。
那是因为 SIP 最初的设计并不是为了安全,这意味着它很容易被黑客入侵。甚至大多数 IT 专业人员都不知道 SIP 是一种基于文本的协议,它非常类似于 超文本标记语言 (HTML),其寻址方式类似于您在典型电子邮件的简单邮件传输协议 (SMTP) 中遇到的内容 。标头包括有关呼叫者设备的信息、呼叫者请求的呼叫的性质以及使呼叫正常工作所需的其他详细信息。接收设备(可以是手机或 VoIP 电话,也可以是 专用小交换机 或 PBX),检查请求,并决定它是否可以容纳它或它是否只能使用一个子集。
然后,接收设备向发送方发送一个代码,以指示该呼叫被接受或未被接受。一些代码可能表示无法完成呼叫,就像当网页不在您请求的地址时看到的恼人的 404 错误。除非请求加密连接,否则所有这些都以纯文本形式发生,可能会在开放的互联网或您的办公网络中传播。甚至还有现成的工具可让您收听使用 Wi-Fi 的未加密电话。
保护 SIP 呼叫
当人们听说底层协议不安全时,他们通常会放弃它。但是您不必在这里这样做,因为保护SparkleComm SIP呼叫 是可能的。当一个设备想要连接到另一个 SIP 设备时,它使用一个看起来很像电子邮件地址的地址,以 SIP 开头并以@yourdomainname 扩展名结尾。使用这样的地址将使 SIP 连接建立电话呼叫,但不会被加密。要创建加密呼叫,您的设备需要在地址开头添加 SIPS 而不是 SIP。“SIPS”表示使用传输层安全性 (TLS)与下一个设备的加密连接 。
即使是安全版本的 SIP 也存在问题,即在设备之间存在加密隧道,因为它们将呼叫从呼叫开始路由到呼叫结束,但不一定是在呼叫通过设备时。事实证明,这对各地的执法机构和情报部门来说都是一个福音,因为它可以窃听原本可能被加密的 VoIP 电话。
值得注意的是,可以对SIP通话的内容进行单独加密,即使通话被拦截,内容也不容易被人理解。一种简单的方法是通过虚拟专用网络 (VPN)运行安全的 SparkleCommSIP 呼叫 。但是,您需要出于商业目的对此进行测试,以确保您的 VPN 提供商在隧道中为您提供足够的带宽以避免通话质量下降。不幸的是,SIP 信息本身无法加密,这意味着 SIP 信息可用于通过劫持或欺骗 SIP 呼叫来访问 VoIP 服务器或电话系统,但这需要相当复杂且有针对性的攻击.
设置虚拟局域网
当然,如果有问题的 VoIP 呼叫与您的公司有关,那么您可以 为 VoIP设置一个 虚拟 LAN (VLAN),如果您使用 VPN 到远程办公室,则 VLAN 可以通过它连接也是如此。VLAN 的优点是可以有效地为语音流量提供一个单独的网络,这对于包括安全在内的多种原因很重要,因为您可以通过多种方式控制对 VLAN 的访问方法。
问题是,您无法规划来自公司内部的 VoIP 呼叫,也无法规划通过电话公司的中央办公室交换机传入的 VoIP 呼叫,如果您甚至连接到其中一个那些。如果您有一个电话网关可以接受来自外部的 SIP 呼叫,那么您需要有一个支持 SIP 的防火墙,它可以检查消息内容是否存在 恶意软件 和各种类型的欺骗。此类防火墙应阻止非 SIP 流量,还应配置为会话边界控制器。
防止恶意软件入侵
与 HTML 一样,SIP 消息也可以将恶意软件定向到您的电话系统;这可以采取不止一种形式。例如,坏人可以向您发送类似物联网 (IoT) 的攻击,在手机上植入恶意软件,然后可用于将信息发送到命令和控制服务器或传递其他网络信息。或者此类恶意软件可以将自身传播到其他手机,然后用于关闭您的手机系统。
防止此类攻击的唯一方法是对待您组织的 VoIP 系统与您的数据网络一样多的安全问题。这是一个更大的挑战,因为并非所有安全产品都支持 SIP,而且 SIP 不仅仅用于语音应用程序——文本和 视频会议 只是两个替代示例。同样, SparkleCommVoIP 网络提供商都能检测到虚假的 SIP 呼叫。这些都是您需要在参与之前与每个供应商解决的问题。
但是,您可以采取措施来配置您的端点设备,以便它们需要 SIP 身份验证。这包括要求有效的 统一资源标识符 (URI)(类似于您习惯使用的 URL)、可验证的用户名和 安全密码。由于 SIP 依赖于密码,这意味着您必须对 SIP 设备实施强密码策略,而不仅仅是对计算机。最后,当然,您需要确保您的入侵检测和预防系统,无论它们在您的网络上发生什么,也了解您的 VoIP 网络。
所有这些听起来很复杂,在某种程度上确实如此,但实际上只是将 VoIP 对话添加到与网络监控或 IT 安全供应商的任何购买对话中。随着SIP在许多商业组织中发展到几乎无处不在的状态,IT管理产品的供应商将越来越重视它,这意味着只要IT买家将其作为优先事项,情况就会有所改善。
