Inhoudsopgave:
Video: Анонимные звонки без SiM карт ▲ Что такое VoIP ▲ Как звонить с любого номера (November 2024)
De kans is groot dat uw gebruikers nog nooit van Session Initiation Protocol (SIP) gehoord hebben buiten uw vergaderingen met de telecommunicatie van uw bedrijf. Maar in feite is SIP waarschijnlijk betrokken bij bijna elk telefoongesprek dat ze voeren. SIP is het protocol dat telefoongesprekken voert en voltooit in de meeste versies van Voice-over-IP (VoIP), of deze gesprekken nu worden geplaatst op uw telefoonsysteem op kantoor, uw smartphone of op applicaties zoals Apple FaceTime, Facebook Messenger of Microsoft Skype.
Dat komt omdat SIP oorspronkelijk niet is ontworpen om veilig te zijn, wat betekent dat het gemakkelijk kan worden gehackt. Wat zelfs de meeste IT-professionals niet weten, is dat SIP een op tekst gebaseerd protocol is dat sterk lijkt op HyperText Markup Language (HTML), met adressering die lijkt op wat u zult tegenkomen in het standaard SMTP (Simple Mail Transfer Protocol) van een e-mail. De koptekst bevat informatie over het apparaat van de beller, de aard van de oproep die de beller vraagt en andere details die nodig zijn om de oproep te laten werken. Het ontvangende apparaat (dit kan een mobiele telefoon of een VoIP-telefoon zijn, of misschien een Private Branch Exchange of PBX), onderzoekt het verzoek en beslist of het geschikt is of alleen met een subset kan werken.
Het ontvangende apparaat verzendt vervolgens een code naar de afzender om aan te geven dat het gesprek is geaccepteerd of niet. Sommige codes kunnen aangeven dat de oproep niet kan worden voltooid, net als de vervelende 404-fout die u ziet wanneer een webpagina niet op het door u gevraagde adres staat. Tenzij een gecodeerde verbinding wordt gevraagd, vindt dit alles plaats als platte tekst die via het open internet of uw kantoornetwerk kan reizen. Er zijn zelfs tools beschikbaar die je laten luisteren naar niet-gecodeerde telefoontjes die wifi gebruiken.
Een SIP-oproep beveiligen
Als mensen horen dat een onderliggend protocol niet veilig is, geven ze dit vaak op. Maar dat hoeft u hier niet te doen, want een SIP-oproep beveiligen is mogelijk. Wanneer een apparaat verbinding wil maken met een ander SIP-apparaat, gebruikt het een adres zoals dit: SIP:. U zult merken dat dit veel op een e-mailadres lijkt, behalve de "SIP" in het begin. Als u een dergelijk adres gebruikt, kan een SIP-verbinding een telefoongesprek tot stand brengen, maar deze wordt niet gecodeerd. Om een gecodeerde oproep te maken, moet uw apparaat een adres gebruiken dat enigszins afwijkt: SIPS:. De "SIPS" geeft een gecodeerde verbinding aan naar het volgende apparaat met behulp van Transport Layer Security (TLS).
Het probleem met zelfs de veilige versie van SIP is dat de gecodeerde tunnel tussen apparaten bestaat als ze het gesprek van het begin tot het einde van het gesprek routeren, maar niet noodzakelijkerwijs terwijl het gesprek door het apparaat loopt. Dit is een zegen gebleken voor wetshandhavingsinstanties en inlichtingendiensten overal, omdat het het mogelijk maakt om op VoIP-telefoongesprekken te tikken die anders zouden kunnen worden gecodeerd.
Het is vermeldenswaard dat het mogelijk is om de inhoud van een SIP-oproep afzonderlijk te coderen, zodat de inhoud niet gemakkelijk kan worden begrepen, zelfs als de oproep wordt onderschept. Een eenvoudige manier om dit te doen, is om eenvoudig een beveiligde SIP-oproep uit te voeren via een virtueel particulier netwerk (VPN). U moet dit echter voor zakelijke doeleinden testen om ervoor te zorgen dat uw VPN-provider u voldoende bandbreedte in de tunnel geeft om degradatie van oproepen te voorkomen. Helaas kan de SIP-informatie zelf niet worden gecodeerd, wat betekent dat de SIP-informatie kan worden gebruikt om toegang te krijgen tot de VoIP-server of het telefoonsysteem door een SIP-oproep te kapen of te vervalsen, maar dit zou een vrij geavanceerde en gerichte aanval vereisen.
Een virtueel LAN instellen
Natuurlijk, als de VoIP-oproep in kwestie iets van uw bedrijf is, kunt u een virtueel LAN (VLAN) instellen alleen voor VoIP en, als u een VPN gebruikt naar een extern kantoor, kan de VLAN daarover reizen verbinding ook. Het VLAN, zoals beschreven in ons verhaal over VoIP-beveiliging, heeft het voordeel dat het effectief een afzonderlijk netwerk biedt voor spraakverkeer, wat belangrijk is om een aantal redenen, waaronder beveiliging, omdat u de toegang tot het VLAN op verschillende manieren kunt beheren. manieren.
Probleem is dat u geen VoIP-gesprek kunt plannen vanuit uw bedrijf en dat u geen gesprek kunt plannen dat is ontstaan als VoIP via de centrale kantoorcentrale van uw telefoonbedrijf, als u zelfs bent verbonden met een van die. Als u een telefonie-gateway hebt die SIP-oproepen van buiten uw locatie accepteert, moet u een SIP-compatibele firewall hebben die de inhoud van het bericht op malware en verschillende soorten spoofing kan onderzoeken. Een dergelijke firewall moet niet-SIP-verkeer blokkeren en moet ook worden geconfigureerd als een sessiegrenscontroller.
Inbraak van malware voorkomen
Net als HTML kan een SIP-bericht ook malware naar uw telefoonsysteem sturen; dit kan meer dan één vorm aannemen. Een slechterik kan u bijvoorbeeld een Internot of Things (IoT) -achtige aanval sturen die malware op telefoons plant, die vervolgens kan worden gebruikt om informatie naar een command-and-control-server te sturen of om andere netwerkinformatie door te geven. Of dergelijke malware kan zich verspreiden naar andere telefoons en vervolgens worden gebruikt om uw telefoonsysteem af te sluiten.
Als alternatief kan een geïnfecteerd SIP-bericht worden gebruikt om een softphone op een computer aan te vallen en vervolgens de computer te infecteren. Dit is gebeurd met de Skype-client voor de Apple Macintosh en het kan waarschijnlijk ook met elke andere softphone-client gebeuren. Dit is een gebeurtenis die steeds waarschijnlijker wordt naarmate we een groeiend aantal softphones zien opkomen uit meerdere VoIP- en samenwerkingsleveranciers, waaronder Dialpad, RingCentral Office en Vonage Business Cloud, naast verschillende anderen.
De enige manier om dergelijke aanvallen te voorkomen, is het VoIP-systeem van uw organisatie met evenveel beveiligingsproblemen te behandelen als uw datanetwerken. Dit is iets meer een uitdaging, al was het maar omdat niet alle beveiligingsproducten SIP-bewust zijn en omdat SIP in meer dan alleen spraak-apps wordt gebruikt - tekst- en videoconferenties zijn slechts twee alternatieve voorbeelden. Evenzo kunnen niet alle VoIP-netwerkproviders valse SIP-oproepen detecteren. Dit zijn allemaal vragen die u met elke leverancier moet beantwoorden voordat u contact opneemt.
- De beste zakelijke VoIP-providers voor 2019 De beste zakelijke VoIP-providers voor 2019
- 9 stappen om uw netwerk te optimaliseren voor VoIP 9 stappen om uw netwerk te optimaliseren voor VoIP
- Business Choice Awards 2018: Voice Over IP (VoIP) -systemen Business Choice Awards 2018: Voice Over IP (VoIP) -systemen
U kunt echter stappen ondernemen om uw eindpuntapparaten zo te configureren dat ze SIP-authenticatie vereisen. Dit omvat het eisen van een geldige Uniform Resource Identifier (URI) (die lijkt op de URL die u gewend bent), een gebruikersnaam die kan worden geverifieerd en een veilig wachtwoord. Omdat SIP afhankelijk is van wachtwoorden, betekent dit dat u een sterk wachtwoordbeleid moet handhaven voor SIP-apparaten, niet alleen voor computers. Ten slotte moet u er natuurlijk voor zorgen dat uw inbraakdetectie- en preventiesystemen, wat ze ook op uw netwerk zijn, ook uw VoIP-netwerk begrijpen.
Dit klinkt allemaal ingewikkeld, en tot op zekere hoogte, maar het is eigenlijk gewoon een kwestie van het VoIP-gesprek toevoegen aan elk inkoopgesprek met een netwerkmonitoring of IT-beveiligingsleverancier. Naarmate SIP in veel bedrijfsorganisaties groeit tot een bijna alomtegenwoordige staat, zullen leveranciers van IT-beheerproducten er steeds meer nadruk op leggen, wat betekent dat de situatie moet verbeteren zolang IT-kopers er een prioriteit van maken.
