Come parte di una grande organizzazione che cerca di implementare il VoIP, per salire sul carro del risparmio e sulla concentrazione convergente della rete, mi viene chiesto di esaminare i problemi di sicurezza per sviluppare una politica che aiuti a definire una direzione.
Dato che sono un geek per prima cosa, e una persona della sicurezza per seconda, ho iniziato immediatamente sulla strada di "Che cosa è attualmente possibile" quando si tratta di proteggere il VoIP. Ho implementato il VoIP in altre organizzazioni negli ultimi anni e ho familiarità con vanilla MGCP e SIP come meccanismi di controllo delle chiamate. Ma da quello che so (e ciò che il NIST mi ha così facilmente ricordato con i loro pubblicazione sulla sicurezza VOIP ) è che in termini di implementazione sicura ci sono pochissime opzioni.
MGCP non è costruito per la sicurezza, esegue la gestione delle chiamate e fa bene quel lavoro. Se dovessi mettere un'interfaccia MGCP aperta a un vasto pubblico, potrebbe essere utilizzata per eseguire qualsiasi cosa, dalle frodi telefoniche alle configurazioni silenziose del monitor, a seconda delle funzionalità supportate dal sistema.
I SIP, d'altra parte, consentono l'autenticazione e la gestione crittografata delle chiamate con TLS (ovvero SIPS). Ho sentito che Cisco implementa MGCP e SRTP per darti una conversazione crittografata, ma dal momento che MGCP non è sicuro sembra interrompersi il modello di fiducia e richiede un canale protetto IPSec per facilitare questo su tutta la rete in modo sicuro.
Credo che alla fine la mia domanda sia: Esiste davvero un'opzione al di là di SIPS e SRTP che fornisce l'autenticazione sicura end-to-end, mantiene l'integrità e la riservatezza o dovrei semplicemente scrivere la policy in modo tale che alla fine richieda specificamente queste tecnologie?
I requisiti di ambiente includono qualsiasi cosa, da un ambiente desktop misto in un ambiente relativamente sicuro a uno scenario di lavoro a casa per gli utenti finali. Idealmente si dovrebbe usare una specifica per definire il "minimo" richiesto per tutti.