תוכן עניינים:
וִידֵאוֹ: ip-телефония(voip, sip), ролик (נוֹבֶמבֶּר 2024)
רוב הסיכויים שהמשתמשים שלך לא שמעו על פרוטוקול ההתחלה של Session (SIP) מחוץ לפגישות שהיו לך איתם בנוגע לטלקומוניקציה של החברה שלך. אך למעשה, SIP ככל הנראה מעורבת כמעט בכל שיחת טלפון שהם מבצעים. SIP הוא הפרוטוקול שמבצע ומשלים שיחות טלפון ברוב הגרסאות של Voice-over-IP (VoIP), בין אם השיחות הללו מוצבות במערכת הטלפון המשרדית שלך, בסמארטפון שלך, או ביישומים כמו Apple Facetime, Facebook Messenger או מיקרוסופט סקייפ.
הסיבה לכך היא ש- SIP לא תוכנן במקור להיות מאובטח, מה שאומר שהוא נפרץ בקלות. מה שאפילו רוב אנשי ה- IT לא יודעים הוא ש- SIP הוא פרוטוקול מבוסס טקסט הדומה באופן הדוק לשפת סימון HyperText (HTML), עם כתובת שמדמה את מה שתתקלו בפרוטוקול Simple Mail Transfer Mail של דואר אלקטרוני. הכותרת כוללת מידע על מכשיר המתקשר, אופי השיחה שהמתקשר מבקש ופרטים נוספים הנחוצים בכדי לגרום לשיחה לעבוד. מכשיר הקבלה (שיכול להיות טלפון סלולרי או טלפון VoIP, או אולי Exchange סניף פרטי או PBX), בוחן את הבקשה ומחליט אם הוא יכול להכיל אותו או האם הוא יכול לעבוד רק עם תת-קבוצה.
לאחר מכן מכשיר הקבלה שולח קוד לשולח כדי לציין שהשיחה מתקבלת או שהיא לא. קודים מסוימים עשויים להצביע על כך שלא ניתן להשלים את השיחה, בדומה לשגיאת 404 המעצבנת שאתה רואה כאשר דף אינטרנט אינו נמצא בכתובת שביקשת. אלא אם כן מתבקש חיבור מוצפן, כל זה מתרחש כטקסט רגיל שעשוי לנוע באינטרנט הפתוח או ברשת המשרדית שלך. ישנם אפילו כלים זמינים המאפשרים לך להאזין בשיחות טלפון לא מוצפנות המשתמשות ב- Wi-Fi.
הגנה על שיחת SIP
כאשר אנשים שומעים כי פרוטוקול בסיסי אינו מאובטח, הם מוותרים לעיתים קרובות על כך. אך אינך צריך לעשות זאת כאן, מכיוון שאפשר להגן על שיחת SIP. כאשר מכשיר רוצה ליצור חיבור למכשיר SIP אחר, הוא משתמש בכתובת כזו: SIP:. תבחין שזה נראה כמו כתובת דוא"ל למעט ה- "SIP" בהתחלה. שימוש בכתובת כזו יאפשר לחיבור SIP להגדיר שיחת טלפון אך היא לא תוצפן. כדי ליצור שיחה מוצפנת, המכשיר שלך צריך להשתמש בכתובת שהיא מעט שונה: SIPS:. "SIPS" מציין חיבור מוצפן למכשיר הבא באמצעות Transport Layer Security (TLS).
הבעיה אפילו עם הגירסה המאובטחת של SIP היא שהמנהרה המוצפנת קיימת בין מכשירים שכן הם מנתבים את השיחה מההתחלה לסוף השיחה אך לאו דווקא בזמן שהשיחה עוברת במכשיר. עובדה זו הוכיחה זאת כגורם של רשויות אכיפת החוק ושירותי הביון בכל מקום מכיוון שהיא מאפשרת להקיש על שיחות טלפון של VoIP שאולי מוצפנות אחרת.
ראוי לציין כי ניתן להצפין בנפרד את תוכן שיחת SIP כך שגם אם יירטו את השיחה, אי אפשר להבין את התוכן בקלות. דרך קלה לעשות זאת היא פשוט להפעיל שיחת SIP מאובטחת דרך רשת פרטית וירטואלית (VPN). עם זאת, עליך לבדוק זאת למטרות עסקיות כדי להבטיח שספק ה- VPN שלך יעניק לך רוחב פס מספיק במנהרה כדי להימנע מהשפלת שיחות. למרבה הצער, לא ניתן להצפין את מידע ה- SIP עצמו, מה שאומר שניתן להשתמש במידע ה- SIP כדי לקבל גישה לשרת ה- VoIP או למערכת הטלפון על ידי חטיפה או זיוף שיחת SIP, אך הדבר ידרוש התקפה מתוחכמת למדי וממוקדת..
הקמת רשת LAN וירטואלית
כמובן שאם שיחת ה- VoIP המדוברת היא משהו שקשור לחברה שלך, אתה יכול להקים רשת LAN וירטואלית (VLAN) רק עבור VoIP, ואם אתה משתמש ב- VPN למשרד מרוחק, ה- VLAN יכול לנסוע מעבר לזה חיבור גם כן. ל- VLAN, כפי שמתואר בסיפורנו בנושא אבטחת VoIP, יש את היתרון בכך שהוא מספק למעשה רשת נפרדת לתעבורה קולית, וזה חשוב מכמה סיבות, כולל אבטחה, מכיוון שאתה יכול לשלוט על הגישה ל- VLAN במגוון של דרכים.
הבעיה היא, אינך יכול לתכנן שיחת VoIP שמגיעה מתוך החברה שלך, ואינך יכול לתכנן שיחה שמקורה כ- VoIP נכנס דרך המתג המשרדי המרכזי של חברת הטלפון שלך, אם אתה אפילו מחובר לאחת אלה. אם יש לך טלפון לטלפוניה שמקבל שיחות SIP מחוץ למתחם שלך, יהיה עליך חומת אש מסוגלת SIP שתוכל לבחון את תוכן ההודעות לגבי תוכנות זדוניות וסוגים שונים של זיוף. חומת אש כזו צריכה לחסום תנועה שאינה SIP ויש להגדיר אותה גם כבקר גבול הפעלה.
מניעת חדירת תוכנות זדוניות
בדומה ל- HTML, הודעת SIP יכולה גם לכוון תוכנות זדוניות למערכת הטלפון שלך; זה יכול ללבוש יותר מצורה אחת. לדוגמא, בחור רע יכול לשלוח לך התקפה דמוית Internot of Things (IoT) הדורשת תוכנות זדוניות בטלפונים, ואז ניתן להשתמש בהן כדי לשלוח מידע לשרת פקודה ובקרה או להעברת מידע רשת אחר. או שתוכנה זדונית כזו יכולה להפיץ את עצמה לטלפונים אחרים ואז להשתמש בה כדי לכבות את מערכת הטלפון שלך.
לחלופין, ניתן להשתמש בהודעת SIP נגועה כדי לתקוף סמארטפון במחשב ואז להדביק את המחשב. זה קרה ללקוח סקייפ עבור אפל מקינטוש, וזה יכול לקרות גם לכל לקוח רך אחר. זה אירוע שהולך ונעשה סביר יותר ויותר ככל שאנו רואים מספר הולך וגדל של סמארטפונים המגיעים ממספר ספקי VoIP ושיתופי פעולה, כולל כאלה כמו Dialpad, RingCentral Office ו- Vonage Business Cloud, בין כמה אחרים.
הדרך היחידה למנוע התקפות כאלה היא להתייחס למערכת ה- VoIP של הארגון שלך בדאגה ביטחונית בדיוק כמו שאתה עושה ברשתות הנתונים שלך. זה קצת יותר אתגר, ולו רק בגלל שלא כל מוצרי האבטחה מודעים ל- SIP, ומשום ש- SIP משמש ביותר מסתם אפליקציות קוליות - ועידת טקסט ווידאו הן רק שתי דוגמאות חלופיות. באופן דומה, לא כל ספקי רשת ה- VoIP יכולים לאתר שיחות SIP מזויפות. אלה כל השאלות שתצטרכו להתייחס אליהם עם כל ספק לפני ההתקשרות.
- ספקי ה- VoIP העסקים הטובים ביותר לשנת 2019. ספקי ה- VoIP העסקיים הטובים ביותר לשנת 2019
- 9 שלבים למיטוב הרשת שלך ל- VoIP 9 שלבים למיטוב הרשת שלך ל- VoIP
- פרסי בחירה עסקית 2018: מערכות Voice Over IP (VoIP) פרסי בחירה עסקית 2018: מערכות Voice Over IP (VoIP)
עם זאת, אתה יכול לנקוט בצעדים כדי לקבוע את התצורה של התקני נקודות הקצה שלך כך שהם ידרשו אימות SIP. זה כולל דרישה למזהה אחיד תקין (URI) (שהוא כמו כתובת האתר שאליה אתה רגיל), שם משתמש שניתן לאמת וסיסמה מאובטחת. מכיוון ש- SIP תלוי בסיסמאות, פירוש הדבר שתצטרך לאכוף מדיניות סיסמה חזקה למכשירי SIP, ולא רק למחשבים. לבסוף, כמובן, תצטרכו לוודא שמערכות איתור ומניעת הפריצות שלכם, אשר יהיו במקרה שלכם ברשת, גם יבינו את רשת ה- VoIP שלכם.
כל זה נשמע מורכב, ובמידה מסוימת, אבל זה רק עניין של הוספת שיחת ה- VoIP לכל שיחת רכישה עם ניטור רשת או ספק אבטחת IT. ככל ש- SIP צומחת למדינה כמעט בכל מקום בארגונים עסקיים רבים, ספקי מוצרי ניהול ה- IT ישימו דגש רב יותר ויותר, מה שאומר שהמצב צריך להשתפר כל עוד רוכשי ה- IT יעניקו לו עדיפות.
