Quali sono i problemi principali e i controlli di sicurezza delle best practice quando esponi SIP e H.323 a Internet?

8

Quali sono i problemi principali e i controlli consigliati durante l'esposizione di SIP e H.323 a Internet (potrebbe essere per il traffico voce, video e di messaggistica istantanea o tutti e tre)?

In particolare, sto cercando le migliori pratiche nell'architettura firewall / DMZ e qualsiasi altro controllo di sicurezza raccomandato durante la distribuzione dei gateway SIP e H.323.

    
posta frankodwyer 09.05.2011 - 23:05
fonte

1 risposta

7

L'elenco di controllo rapido di due pagine di Avaya è sostanzialmente neutrale rispetto al fornitore. I primi passi chiave includono:

  • H.235.5 per la crittografia di segnalazione H.323
  • SRTP * per la crittografia multimediale H.323 / SIP (10 byte di overhead per pacchetto)
    • La crittografia AES standalone può essere utilizzata anche per i supporti H.323 crittografia
  • TLS per la crittografia dei segnali SIP
  • SRTP per l'interazione Voicemail
  • TLS per le comunicazioni ausiliarie
  • Crittografia AES per il backup della configurazione
  • Nota, è possibile creare aree di rete per segmentare i telefoni che non supportano crittografia da telefoni che sono in grado di crittografare

Per configurarlo in modo che la sicurezza e il QoS siano mantenuti, avrai bisogno di un set di firewall che sia H.323 / SIP-aware. Da questo documento SANS :

Many of the protocols used with the H.323 suite use random ports causing problems securing through firewalls but may be able to be mitigated by using direct routed calls. Since the ports required for H.323 are not set, a filtering firewall would have to have all possibly needed ports left open. Therefore, the firewall would need to be H.323 aware allowing communication without opening up the firewall to other traffic. A stateful firewall and/or application firewall is required to ensure consistency of the characteristics of connections.

Non c'è un numero enorme di firewall che supportano bene SIP / H.323, ma le solite aziende di stato come Juniper, Cisco e Palo Alto sembrano funzionare.

    
risposta data 10.05.2011 - 19:10
fonte

Leggi altre domande sui tag