Tabla de contenido:
Video: Webinar - Seguridad VoIP: Recomendaciones de Grandstream (Noviembre 2024)
Es probable que sus usuarios no hayan oído hablar del Protocolo de inicio de sesión (SIP) fuera de las reuniones que haya tenido con ellos sobre las telecomunicaciones de su empresa. Pero, de hecho, SIP probablemente está involucrado en casi todas las llamadas telefónicas que hacen. SIP es el protocolo que realiza y completa llamadas telefónicas en la mayoría de las versiones de Voz sobre IP (VoIP), ya sea que esas llamadas se realicen en el sistema telefónico de su oficina, su teléfono inteligente o en aplicaciones como Apple Facetime, Facebook Messenger o Microsoft Skype.
Esto se debe a que SIP no se diseñó originalmente para ser seguro, lo que significa que se piratea fácilmente. Lo que incluso la mayoría de los profesionales de TI no saben es que SIP es un protocolo basado en texto que se parece mucho al Lenguaje de marcado de hipertexto (HTML), con un direccionamiento similar al que encontrará en el Protocolo simple de transferencia de correo (SMTP) de un correo electrónico típico. El encabezado incluye información sobre el dispositivo de la persona que llama, la naturaleza de la llamada que solicita y otros detalles necesarios para que la llamada funcione. El dispositivo receptor (que puede ser un teléfono celular o un teléfono VoIP, o tal vez una sucursal privada o PBX), examina la solicitud y decide si puede acomodarla o si solo puede funcionar con un subconjunto.
El dispositivo receptor luego envía un código al remitente para indicar que la llamada es aceptada o no. Algunos códigos pueden indicar que la llamada no se puede completar, al igual que el molesto error 404 que aparece cuando una página web no se encuentra en la dirección solicitada. A menos que se solicite una conexión encriptada, todo esto se realiza como texto sin formato que puede viajar a través de Internet o la red de su oficina. Incluso hay herramientas disponibles que le permitirán escuchar las llamadas telefónicas no encriptadas que usan Wi-Fi.
Proteger una llamada SIP
Cuando la gente escucha que un protocolo subyacente no es seguro, a menudo renuncian a él. Pero no tiene que hacer eso aquí, porque es posible proteger una llamada SIP. Cuando un dispositivo desea establecer una conexión con otro dispositivo SIP, utiliza una dirección como esta: SIP:. Notarás que esto se parece mucho a una dirección de correo electrónico, excepto por el "SIP" al principio. El uso de dicha dirección permitirá que una conexión SIP configure una llamada telefónica, pero no se cifrará. Para crear una llamada encriptada, su dispositivo necesita usar una dirección que sea ligeramente diferente: SIPS:. El "SIPS" indica una conexión encriptada al siguiente dispositivo usando Transport Layer Security (TLS).
El problema incluso con la versión segura de SIP es que el túnel encriptado existe entre dispositivos a medida que enrutan la llamada desde el principio hasta el final de la llamada, pero no necesariamente mientras la llamada pasa a través del dispositivo. Esto ha demostrado ser una bendición para las agencias de aplicación de la ley y los servicios de inteligencia en todas partes, ya que permite aprovechar las llamadas telefónicas VoIP que de otro modo podrían estar cifradas.
Vale la pena señalar que es posible cifrar por separado el contenido de una llamada SIP para que, incluso si la llamada se intercepta, el contenido no se pueda entender fácilmente. Una manera fácil de hacer esto es simplemente ejecutar una llamada SIP segura a través de una red privada virtual (VPN). Sin embargo, deberá probar esto con fines comerciales para asegurarse de que su proveedor de VPN le brinde suficiente ancho de banda en el túnel para evitar la degradación de las llamadas. Desafortunadamente, la información SIP en sí no se puede cifrar, lo que significa que la información SIP se puede utilizar para obtener acceso al servidor VoIP o al sistema telefónico secuestrando o falsificando una llamada SIP, pero esto requeriría un ataque bastante sofisticado y dirigido.
Configurar una LAN virtual
Por supuesto, si la llamada VoIP en cuestión es algo que involucra a su empresa, puede configurar una LAN virtual (VLAN) solo para VoIP y, si está utilizando una VPN para una oficina remota, entonces la VLAN puede viajar a través de ella. conexión también. La VLAN, como se describe en nuestra historia sobre seguridad de VoIP, tiene la ventaja de proporcionar efectivamente una red separada para el tráfico de voz, lo cual es importante por varias razones, incluida la seguridad, ya que puede controlar el acceso a la VLAN en una variedad de formas.
El problema es que no puede planificar una llamada VoIP proveniente de su empresa, y no puede planificar una llamada que se originó como VoIP entrante a través del conmutador de la oficina central de su compañía telefónica, incluso si está conectado a uno de aquellos. Si tiene una puerta de enlace de telefonía que acepta llamadas SIP desde fuera de sus instalaciones, necesitará un firewall compatible con SIP que pueda examinar el contenido del mensaje en busca de malware y varios tipos de suplantación de identidad. Dicho firewall debería bloquear el tráfico que no sea SIP y también debería configurarse como un controlador de borde de sesión.
Prevención de intrusiones de malware
Al igual que HTML, un mensaje SIP también puede dirigir malware a su sistema telefónico; Esto puede tomar más de una forma. Por ejemplo, un tipo malo puede enviarle un ataque similar al Internot of Things (IoT) que planta malware en los teléfonos, que luego puede usarse para enviar información a un servidor de comando y control o para transmitir otra información de red. O dicho malware puede propagarse a otros teléfonos y luego usarse para apagar su sistema telefónico.
Alternativamente, un mensaje SIP infectado puede usarse para atacar un softphone en una computadora y luego infectar la computadora. Esto le ha sucedido al cliente de Skype para Apple Macintosh y probablemente también le pueda pasar a cualquier otro cliente de softphone. Esta es una eventualidad que se está volviendo cada vez más probable a medida que vemos un número creciente de softphones que emergen de múltiples proveedores de VoIP y colaboración, incluidos los de Dialpad, RingCentral Office y Vonage Business Cloud, entre muchos otros.
La única forma de prevenir tales ataques es tratar el sistema VoIP de su organización con la misma preocupación de seguridad que sus redes de datos. Esto es algo más difícil, aunque solo sea porque no todos los productos de seguridad son compatibles con SIP, y porque SIP se usa en algo más que solo aplicaciones de voz: las conferencias de texto y video son solo dos ejemplos alternativos. Del mismo modo, no todos los proveedores de redes VoIP pueden detectar llamadas SIP falsas. Estas son todas las preguntas que deberá abordar con cada proveedor antes de comprometerse.
- Los mejores proveedores de VoIP de negocios para 2019 Los mejores proveedores de VoIP de negocios para 2019
- 9 pasos para optimizar su red para VoIP 9 pasos para optimizar su red para VoIP
- Business Choice Awards 2018: sistemas de voz sobre IP (VoIP) Business Choice Awards 2018: sistemas de voz sobre IP (VoIP)
Sin embargo, puede tomar medidas para configurar sus dispositivos de punto final para que requieran autenticación SIP. Esto incluye exigir un URI (Uniform Resource Identifier) válido (que es como la URL a la que estás acostumbrado), un nombre de usuario que se pueda autenticar y una contraseña segura. Debido a que SIP depende de las contraseñas, esto significa que tendrá que aplicar una política de contraseña segura para los dispositivos SIP, no solo para las computadoras. Finalmente, por supuesto, deberá asegurarse de que sus sistemas de detección y prevención de intrusiones, independientemente de lo que ocurran en su red, también comprendan su red VoIP.
Todo esto suena complejo, y hasta cierto punto lo es, pero en realidad solo se trata de agregar la conversación de VoIP a cualquier conversación de compra con un proveedor de monitoreo de red o seguridad de TI. A medida que SIP crece a un estado casi omnipresente en muchas organizaciones comerciales, los proveedores de productos de administración de TI pondrán cada vez más énfasis en ello, lo que significa que la situación debería mejorar siempre que los compradores de TI lo conviertan en una prioridad.
