目次:
おそらく、あなたのユーザーは、会社の電気通信に関してユーザーと行ったミーティング以外では、セッション開始プロトコル(SIP)について聞いたことがないでしょう。 しかし、実際には、SIPはおそらく彼らがかけるほとんどすべての電話に関与しているでしょう。 SIPは、ほとんどのバージョンのVoice-over-IP(VoIP)で電話を発信および完了させるプロトコルです。これらの通話は、オフィスの電話システム、スマートフォン、またはApple Facetime、Facebook Messenger、またはMicrosoft Skype。
これは、SIPが元々安全であるように設計されていなかったため、簡単にハッキングされるためです。 ほとんどのIT専門家さえ知らないのは、SIPがHyperText Markup Language(HTML)によく似たテキストベースのプロトコルであり、アドレス指定が一般的な電子メールのSimple Mail Transfer Protocol(SMTP)に似ていることです。 ヘッダーには、発信者のデバイスに関する情報、発信者が要求している通話の性質、および通話を機能させるために必要なその他の詳細が含まれます。 受信デバイス(携帯電話またはVoIP電話、あるいは構内交換機またはPBX)が要求を調べ、要求に対応できるかどうか、またはサブセットのみで機能するかどうかを決定します。
次に、受信デバイスはコードを送信者に送信して、コールが受け入れられるか、受け入れられないかを示します。 ウェブページがリクエストしたアドレスにないときに表示される迷惑な404エラーのように、一部のコードは呼び出しを完了できないことを示す場合があります。 暗号化された接続が要求されない限り、これらはすべて、オープンインターネットまたはオフィスネットワーク上を移動できるプレーンテキストとして行われます。 Wi-Fiを使用する暗号化されていない通話を聞くことができるツールも用意されています。
SIPコールの保護
基礎となるプロトコルが安全でないと人々が耳にするとき、彼らはしばしばそれをあきらめます。 ただし、SIPコールを保護することができるため、ここで行う必要はありません。 デバイスが別のSIPデバイスに接続する場合、次のようなアドレスを使用します:SIP:。 これは、最初の「SIP」を除いて、電子メールアドレスによく似ています。 このようなアドレスを使用すると、SIP接続で電話を設定できますが、暗号化されません。 暗号化された通話を作成するには、デバイスで少し異なるアドレスSIPS:を使用する必要があります。 「SIPS」は、トランスポート層セキュリティ(TLS)を使用する次のデバイスへの暗号化された接続を示します。
SIPのセキュアバージョンの問題点は、デバイスがコールを最初から最後までルーティングするときにデバイス間に暗号化トンネルが存在することですが、必ずしもデバイスを通過している間ではありません。 これは、それ以外の場合は暗号化される可能性のあるVoIP電話を盗むことができるため、あらゆる場所の法執行機関と情報サービスにとって恩恵であることが証明されています。
SIPコールのコンテンツを個別に暗号化して、コールが傍受された場合でもコンテンツを簡単に理解できないようにすることは可能です。 これを行う簡単な方法は、仮想プライベートネットワーク(VPN)を介して安全なSIPコールを実行することです。 ただし、ビジネス上の目的でこれをテストして、VPNプロバイダーがトンネル内に十分な帯域幅を提供していることを確認して、通話の低下を回避する必要があります。 残念ながら、SIP情報自体は暗号化できません。つまり、SIP情報を使用して、SIPコールをハイジャックまたはスプーフィングすることでVoIPサーバーまたは電話システムにアクセスできますが、これにはかなり洗練された標的型攻撃が必要です。
仮想LANのセットアップ
もちろん、問題のVoIPコールが企業に関係するものである場合、VoIP専用の仮想LAN(VLAN)をセットアップできます。リモートオフィスへのVPNを使用している場合、VLANはその上を移動できます。接続も。 VoIPセキュリティの話で説明したように、VLANには音声トラフィック用に個別のネットワークを効果的に提供するという利点があります。これは、セキュリティを含むさまざまな理由で重要です。方法。
問題は、社内からのVoIPコールを計画することはできず、電話会社のセントラルオフィススイッチを介して着信するVoIPとして発信されたコールを計画することもできないことです。それら。 構外からのSIPコールを受け入れるテレフォニーゲートウェイがある場合は、マルウェアやさまざまな種類のスプーフィングのメッセージコンテンツを調べることができるSIP対応ファイアウォールが必要です。 このようなファイアウォールは、非SIPトラフィックをブロックする必要があり、セッション境界コントローラーとしても構成する必要があります。
マルウェアの侵入を防ぐ
HTMLと同様に、SIPメッセージもマルウェアを電話システムに誘導します。 これは複数の形式を取ることができます。 たとえば、悪意のある人は、電話にマルウェアを植え付ける物事のインターノット(IoT)のような攻撃を送信できます。攻撃は、コマンドアンドコントロールサーバーに情報を送信したり、他のネットワーク情報を渡すために使用できます。 または、このようなマルウェアは他の電話に拡散し、電話システムのシャットダウンに使用される可能性があります。
または、感染したSIPメッセージを使用して、コンピューター上のソフトフォンを攻撃し、コンピューターに感染させることもできます。 これは、Apple Macintosh用のSkypeクライアントで発生しており、他のソフトフォンクライアントでも発生する可能性があります。 これは、Dialpad、RingCentral Office、Vonage Business Cloudなどをはじめとする複数のVoIPおよびコラボレーションベンダーから急増するソフトフォンが出現するにつれて、ますます可能性が高まっています。
このような攻撃を防ぐ唯一の方法は、データネットワークと同様にセキュリティ上の懸念を抱えて組織のVoIPシステムを処理することです。 すべてのセキュリティ製品がSIPに対応しているわけではなく、SIPが単なる音声アプリではなく、テキストおよびビデオ会議が2つの代替例にすぎないために、これはやや難題です。 同様に、すべてのVoIPネットワークプロバイダーが偽のSIPコールを検出できるわけではありません。 これらはすべて、関与する前に各ベンダーに対処する必要がある質問です。
- 2019年のベストビジネスVoIPプロバイダー2019年のベストビジネスVoIPプロバイダー
- VoIP用にネットワークを最適化する9つのステップVoIP用にネットワークを最適化する9つのステップ
- ビジネスチョイスアワード2018:ボイスオーバーIP(VoIP)システムビジネスチョイスアワード2018:ボイスオーバーIP(VoIP)システム
ただし、エンドポイントデバイスがSIP認証を必要とするように構成する手順を実行できます。 これには、有効なUniform Resource Identifier(URI)(使用しているURLに似ています)、認証可能なユーザー名、および安全なパスワードの要求が含まれます。 SIPはパスワードに依存するため、コンピューターだけでなくSIPデバイスにも強力なパスワードポリシーを適用する必要があります。 最後に、もちろん、侵入検知および防止システムは、たとえネットワーク上にあったとしても、VoIPネットワークも同様に理解する必要があります。
これらはすべて複雑に聞こえますが、ある程度は複雑に聞こえますが、実際には、VoIP会話をネットワーク監視またはITセキュリティベンダーとの購入会話に追加するだけです。 多くのビジネス組織でSIPがほぼ遍在する状態に成長するにつれて、IT管理製品のベンダーはそれをますます重視するようになります。つまり、ITバイヤーが優先する限り、状況は改善されるはずです。
