Sommario:
- Protezione di una chiamata SIP
- Configurazione di una LAN virtuale
- Prevenzione delle intrusioni di malware
Video: Sicurezza in ambito VoIP: Come Watchguard può aiutarti a proteggere gli asset VoIP del tuo IT (Novembre 2024)
È probabile che i tuoi utenti non abbiano sentito parlare del SIP (Session Initiation Protocol) al di fuori di eventuali riunioni che potresti aver avuto con loro in merito alle telecomunicazioni della tua azienda. Ma, in effetti, SIP è probabilmente coinvolto in quasi tutte le telefonate che fanno. SIP è il protocollo che effettua e completa le chiamate telefoniche nella maggior parte delle versioni di Voice-over-IP (VoIP), indipendentemente dal fatto che tali chiamate vengano effettuate sul sistema telefonico dell'ufficio, sullo smartphone o su applicazioni come Apple Facetime, Facebook Messenger o Microsoft Skype.
Questo perché SIP non è stato originariamente progettato per essere sicuro, il che significa che è facilmente hackerato. Ciò che la maggior parte dei professionisti IT non sa è che SIP è un protocollo testuale che ricorda da vicino HyperText Markup Language (HTML), con un indirizzo che ricorda quello che incontrerai in un tipico SMTP (Simple Mail Transfer Protocol) di una e-mail. L'intestazione include informazioni sul dispositivo del chiamante, sulla natura della chiamata richiesta dal chiamante e altri dettagli necessari per far funzionare la chiamata. Il dispositivo ricevente (che può essere un telefono cellulare o un telefono VoIP, o forse uno scambio di filiali privato o un PBX), esamina la richiesta e decide se può soddisfarla o se può funzionare solo con un sottoinsieme.
Il dispositivo ricevente invia quindi un codice al mittente per indicare che la chiamata è stata accettata o no. Alcuni codici potrebbero indicare che la chiamata non può essere completata, proprio come il fastidioso errore 404 che vedi quando una pagina web non è all'indirizzo richiesto. A meno che non sia richiesta una connessione crittografata, tutto ciò avviene come testo semplice che può viaggiare attraverso Internet aperto o la rete dell'ufficio. Ci sono anche strumenti prontamente disponibili che ti permetteranno di ascoltare telefonate non crittografate che usano il Wi-Fi.
Protezione di una chiamata SIP
Quando la gente sente che un protocollo sottostante non è sicuro, spesso rinuncia a farlo. Ma non è necessario farlo qui, perché è possibile proteggere una chiamata SIP. Quando un dispositivo desidera stabilire una connessione con un altro dispositivo SIP, utilizza un indirizzo come questo: SIP:. Noterai che assomiglia molto a un indirizzo e-mail ad eccezione del "SIP" all'inizio. L'uso di un tale indirizzo consentirà a una connessione SIP di impostare una chiamata ma non sarà crittografata. Per creare una chiamata crittografata, il dispositivo deve utilizzare un indirizzo leggermente diverso: SIPS:. "SIPS" indica una connessione crittografata al dispositivo successivo mediante Transport Layer Security (TLS).
Il problema anche con la versione sicura di SIP è che il tunnel crittografato esiste tra i dispositivi mentre instradano la chiamata dall'inizio alla fine della chiamata, ma non necessariamente mentre la chiamata passa attraverso il dispositivo. Ciò ha dimostrato di essere un vantaggio per le forze dell'ordine e i servizi di intelligence di tutto il mondo perché rende possibile toccare le chiamate telefoniche VoIP che potrebbero altrimenti essere crittografate.
Vale la pena notare che è possibile crittografare separatamente il contenuto di una chiamata SIP in modo che, anche se la chiamata viene intercettata, il contenuto non può essere facilmente compreso. Un modo semplice per farlo è semplicemente eseguire una chiamata SIP sicura attraverso una rete privata virtuale (VPN). Tuttavia, dovrai verificarlo a fini commerciali per assicurarti che il tuo provider VPN ti fornisca una larghezza di banda sufficiente nel tunnel per evitare il degrado delle chiamate. Sfortunatamente, le informazioni SIP non possono essere crittografate, il che significa che le informazioni SIP possono essere utilizzate per ottenere l'accesso al server VoIP o al sistema telefonico dirottando o falsificando una chiamata SIP, ma ciò richiederebbe un attacco piuttosto sofisticato e mirato.
Configurazione di una LAN virtuale
Ovviamente, se la chiamata VoIP in questione è qualcosa che coinvolge la tua azienda, puoi configurare una LAN virtuale (VLAN) solo per VoIP e, se stai utilizzando una VPN per un ufficio remoto, la VLAN può viaggiare su quella anche la connessione. La VLAN, come è descritto nella nostra storia sulla sicurezza VoIP, ha il vantaggio di fornire efficacemente una rete separata per il traffico vocale, che è importante per una serie di motivi, inclusa la sicurezza, poiché puoi controllare l'accesso alla VLAN in una varietà di modi.
Il problema è che non puoi pianificare una chiamata VoIP proveniente dalla tua azienda e non puoi pianificare una chiamata che ha avuto origine dal VoIP che arriva attraverso il centralino della tua compagnia telefonica, se sei addirittura connesso a una delle quelli. Se si dispone di un gateway di telefonia che accetta chiamate SIP dall'esterno della propria sede, è necessario disporre di un firewall compatibile con SIP in grado di esaminare il contenuto del messaggio alla ricerca di malware e vari tipi di spoofing. Tale firewall dovrebbe bloccare il traffico non SIP e dovrebbe anche essere configurato come controller del confine di sessione.
Prevenzione delle intrusioni di malware
Come HTML, un messaggio SIP può anche indirizzare malware nel tuo sistema telefonico; questo può assumere più di una forma. Ad esempio, un cattivo può inviarti un attacco simile a Internot of Things (IoT) che pianta malware sui telefoni, che può quindi essere utilizzato per inviare informazioni a un server di comando e controllo o per trasmettere altre informazioni di rete. O tale malware può diffondersi su altri telefoni e quindi essere utilizzato per spegnere il sistema telefonico.
In alternativa, un messaggio SIP infetto può essere utilizzato per attaccare un softphone su un computer e quindi infettare il computer. Questo è successo al client Skype per Apple Macintosh e probabilmente potrebbe succedere anche a qualsiasi altro client softphone. Questa è un'eventualità che sta diventando sempre più probabile quando vediamo un numero crescente di softphone emergenti da più fornitori VoIP e di collaborazione, tra cui artisti del calibro di Dialpad, RingCentral Office e Vonage Business Cloud, tra molti altri.
L'unico modo per prevenire tali attacchi è trattare il sistema VoIP della tua organizzazione con altrettanti problemi di sicurezza delle reti di dati. Questo è un po 'più una sfida, se non altro perché non tutti i prodotti di sicurezza sono compatibili con SIP e perché SIP è utilizzato in più di semplici app vocali: le conferenze di testo e video sono solo due esempi alternativi. Allo stesso modo, non tutti i provider di rete VoIP possono rilevare chiamate SIP false. Queste sono tutte le domande che dovrai affrontare con ogni fornitore prima di impegnarti.
- I migliori provider VoIP aziendali per il 2019 I migliori provider VoIP aziendali per il 2019
- 9 passaggi per ottimizzare la rete per VoIP 9 passaggi per ottimizzare la rete per VoIP
- Business Choice Awards 2018: sistemi Voice Over IP (VoIP) Business Choice Awards 2018: sistemi Voice Over IP (VoIP)
Tuttavia, è possibile adottare misure per configurare i dispositivi endpoint in modo che richiedano l'autenticazione SIP. Ciò include la richiesta di un URI (Uniform Resource Identifier) valido (che è come l'URL a cui sei abituato), un nome utente che può essere autenticato e una password sicura. Poiché SIP dipende dalle password, ciò significa che è necessario applicare una politica di password complessa per i dispositivi SIP, non solo per i computer. Infine, ovviamente, dovrai assicurarti che i tuoi sistemi di rilevamento e prevenzione delle intrusioni, qualunque cosa accada nella tua rete, comprendano anche la tua rete VoIP.
Tutto ciò sembra complesso, e in una certa misura lo è, ma in realtà si tratta solo di aggiungere la conversazione VoIP a qualsiasi conversazione di acquisto con un monitoraggio della rete o un fornitore di sicurezza IT. Man mano che SIP cresce in uno stato quasi onnipresente in molte organizzazioni aziendali, i fornitori di prodotti di gestione IT porranno sempre maggiore enfasi su di esso, il che significa che la situazione dovrebbe migliorare fintanto che gli acquirenti IT ne fanno una priorità.