Come proteggere VOIP in una grande organizzazione

9

Come parte di una grande organizzazione che cerca di implementare il VoIP, per salire sul carro del risparmio e sulla concentrazione convergente della rete, mi viene chiesto di esaminare i problemi di sicurezza per sviluppare una politica che aiuti a definire una direzione.

Dato che sono un geek per prima cosa, e una persona della sicurezza per seconda, ho iniziato immediatamente sulla strada di "Che cosa è attualmente possibile" quando si tratta di proteggere il VoIP. Ho implementato il VoIP in altre organizzazioni negli ultimi anni e ho familiarità con vanilla MGCP e SIP come meccanismi di controllo delle chiamate. Ma da quello che so (e ciò che il NIST mi ha così facilmente ricordato con i loro pubblicazione sulla sicurezza VOIP ) è che in termini di implementazione sicura ci sono pochissime opzioni.

MGCP non è costruito per la sicurezza, esegue la gestione delle chiamate e fa bene quel lavoro. Se dovessi mettere un'interfaccia MGCP aperta a un vasto pubblico, potrebbe essere utilizzata per eseguire qualsiasi cosa, dalle frodi telefoniche alle configurazioni silenziose del monitor, a seconda delle funzionalità supportate dal sistema.

I SIP, d'altra parte, consentono l'autenticazione e la gestione crittografata delle chiamate con TLS (ovvero SIPS). Ho sentito che Cisco implementa MGCP e SRTP per darti una conversazione crittografata, ma dal momento che MGCP non è sicuro sembra interrompersi il modello di fiducia e richiede un canale protetto IPSec per facilitare questo su tutta la rete in modo sicuro.

Credo che alla fine la mia domanda sia: Esiste davvero un'opzione al di là di SIPS e SRTP che fornisce l'autenticazione sicura end-to-end, mantiene l'integrità e la riservatezza o dovrei semplicemente scrivere la policy in modo tale che alla fine richieda specificamente queste tecnologie?

I requisiti di ambiente includono qualsiasi cosa, da un ambiente desktop misto in un ambiente relativamente sicuro a uno scenario di lavoro a casa per gli utenti finali. Idealmente si dovrebbe usare una specifica per definire il "minimo" richiesto per tutti.

    
posta Ori 07.06.2011 - 23:07
fonte

2 risposte

4

TLS non fornisce la sicurezza end-to-end in SIP, a causa dell'architettura di routing.

I messaggi SIP vengono trasmessi dall'agente utente tramite i router SIP e la crittografia TLS avviene solo tra l'agente utente ei router e tra i router.

Potresti usare S / MIME per crittografare e / o firmare parti dei messaggi SIP da un agente utente a un altro.

Per la protezione dei flussi multimediali, SRTP e ZRTP vanno bene.

    
risposta data 09.06.2011 - 09:09
fonte
2

SIP è una bestia interessante da affrontare, semplicemente perché ci sono molte persone che offrono soluzioni SIP che hanno molte differenze sotto il cofano.

In termini di sicurezza SIP, hai due opzioni che ho visto distribuite SRTP , ZRTP . Si suppone che ZRTP sia un miglioramento rispetto a SRTP, quindi dovrebbe essere preferito. Poiché si tratta di uno scambio di chiavi DH, in teoria si potrebbe avere una CA interna che genererebbe certificati che tutti i dipendenti utilizzerebbero.

Non so nulla di SIPS, ma sembra che tu abbia tutti i vantaggi di TLS, quindi questa potrebbe essere una buona risposta. Ciò che ho detto su un cA interno si applicherebbe anche qui.

Potresti dare un'occhiata a Jitsi , che è probabilmente il client SIP con la maggior parte delle funzionalità che stai cercando.

    
risposta data 08.06.2011 - 06:49
fonte

Leggi altre domande sui tag