Mục lục:
Video: VoIP.ms Setup using pjsip on FreePBX (Tháng Chín 2024)
Rất có thể, người dùng của bạn chưa từng nghe về Giao thức khởi tạo phiên (SIP) bên ngoài bất kỳ cuộc họp nào bạn có thể có với họ liên quan đến viễn thông của công ty bạn. Nhưng, trên thực tế, SIP có thể liên quan đến gần như mọi cuộc gọi điện thoại mà họ thực hiện. SIP là giao thức thực hiện và hoàn thành các cuộc gọi điện thoại trong hầu hết các phiên bản Thoại qua IP (VoIP), cho dù các cuộc gọi đó đang được đặt trên hệ thống điện thoại văn phòng, điện thoại thông minh của bạn hoặc trên các ứng dụng như Apple Facetime, Facebook Messenger hoặc Microsoft Skype.
Đó là bởi vì SIP ban đầu không được thiết kế để bảo mật, điều đó có nghĩa là nó dễ dàng bị hack. Điều mà hầu hết các chuyên gia CNTT không biết là SIP là một giao thức dựa trên văn bản gần giống với Ngôn ngữ đánh dấu siêu văn bản (HTML), với địa chỉ giống với những gì bạn sẽ gặp trong Giao thức chuyển thư đơn giản (SMTP) của email thông thường. Tiêu đề bao gồm thông tin về thiết bị của người gọi, bản chất của cuộc gọi mà người gọi đang yêu cầu và các chi tiết khác cần thiết để thực hiện cuộc gọi. Thiết bị nhận (có thể là điện thoại di động hoặc điện thoại VoIP, hoặc có thể là Tổng đài nhánh hoặc tổng đài riêng), kiểm tra yêu cầu và quyết định xem nó có thể chứa nó hay không hoặc chỉ có thể hoạt động với một tập hợp con.
Sau đó, thiết bị nhận sẽ gửi mã cho người gửi để cho biết rằng cuộc gọi được chấp nhận hoặc không. Một số mã có thể chỉ ra rằng cuộc gọi không thể hoàn thành, giống như lỗi 404 gây phiền nhiễu mà bạn thấy khi một trang web không ở địa chỉ bạn yêu cầu. Trừ khi một kết nối được mã hóa được yêu cầu, tất cả những điều này diễn ra dưới dạng văn bản thuần túy có thể truyền qua internet mở hoặc mạng văn phòng của bạn. Thậm chí có những công cụ có sẵn sẽ cho phép bạn nghe trong các cuộc gọi điện thoại không được mã hóa sử dụng Wi-Fi.
Bảo vệ cuộc gọi SIP
Khi mọi người nghe rằng một giao thức cơ bản không an toàn, họ thường từ bỏ nó. Nhưng bạn không phải làm điều đó ở đây, bởi vì bảo vệ cuộc gọi SIP là có thể. Khi một thiết bị muốn thực hiện kết nối với một thiết bị SIP khác, nó sẽ sử dụng một địa chỉ như sau: SIP :. Bạn sẽ nhận thấy điều này trông rất giống một địa chỉ email ngoại trừ "SIP" ở đầu. Sử dụng một địa chỉ như vậy sẽ cho phép kết nối SIP thiết lập một cuộc gọi điện thoại nhưng nó sẽ không được mã hóa. Để tạo một cuộc gọi được mã hóa, thiết bị của bạn cần sử dụng một địa chỉ hơi khác: SIPS :. "SIPS" cho biết kết nối được mã hóa đến thiết bị tiếp theo bằng Bảo mật lớp vận chuyển (TLS).
Vấn đề với ngay cả phiên bản bảo mật của SIP là đường hầm được mã hóa tồn tại giữa các thiết bị khi chúng định tuyến cuộc gọi từ đầu đến cuối cuộc gọi nhưng không nhất thiết phải trong khi cuộc gọi đi qua thiết bị. Điều này đã được chứng minh là một lợi ích cho các cơ quan thực thi pháp luật và các dịch vụ tình báo ở khắp mọi nơi vì nó có thể nhấn vào các cuộc gọi điện thoại VoIP có thể được mã hóa.
Điều đáng chú ý là có thể mã hóa riêng nội dung của một cuộc gọi SIP để ngay cả khi cuộc gọi bị chặn, nội dung không thể dễ dàng hiểu được. Một cách dễ dàng để làm điều này là chỉ cần chạy một cuộc gọi SIP an toàn thông qua mạng riêng ảo (VPN). Tuy nhiên, bạn sẽ cần kiểm tra điều này cho mục đích kinh doanh để đảm bảo nhà cung cấp VPN của bạn cung cấp cho bạn đủ băng thông trong đường hầm để tránh xuống cấp cuộc gọi. Thật không may, thông tin SIP không thể được mã hóa, điều đó có nghĩa là thông tin SIP có thể được sử dụng để có quyền truy cập vào máy chủ VoIP hoặc hệ thống điện thoại bằng cách chiếm quyền điều khiển hoặc giả mạo cuộc gọi SIP, nhưng điều này đòi hỏi một cuộc tấn công nhắm mục tiêu khá tinh vi và nhắm mục tiêu .
Thiết lập mạng LAN ảo
Tất nhiên, nếu cuộc gọi VoIP được đề cập là một cái gì đó liên quan đến công ty của bạn, thì bạn có thể thiết lập một mạng LAN ảo (Vlan) chỉ dành cho VoIP và, nếu bạn đang sử dụng VPN đến một văn phòng từ xa, thì Vlan có thể đi qua đó kết nối là tốt. Vlan, như đã được giải mã trong câu chuyện của chúng tôi về bảo mật VoIP, có lợi thế là cung cấp hiệu quả một mạng riêng cho lưu lượng thoại, điều này rất quan trọng vì nhiều lý do, bao gồm cả bảo mật, vì bạn có thể kiểm soát quyền truy cập vào Vlan theo nhiều cách khác nhau cách.
Vấn đề là, bạn không thể lên kế hoạch cho một cuộc gọi VoIP đến từ công ty của mình và bạn không thể lên kế hoạch cho một cuộc gọi bắt nguồn từ VoIP thông qua chuyển đổi văn phòng trung tâm của công ty điện thoại của bạn, nếu bạn thậm chí đã kết nối với một trong những những, cái đó. Nếu bạn có một cổng điện thoại chấp nhận các cuộc gọi SIP từ bên ngoài cơ sở của bạn, thì bạn sẽ cần phải có một tường lửa có khả năng SIP có thể kiểm tra nội dung tin nhắn để tìm phần mềm độc hại và các loại giả mạo khác nhau. Tường lửa như vậy sẽ chặn lưu lượng không phải SIP và cũng nên được cấu hình làm bộ điều khiển viền phiên.
Ngăn chặn sự xâm nhập của phần mềm độc hại
Giống như HTML, tin nhắn SIP cũng có thể hướng phần mềm độc hại vào hệ thống điện thoại của bạn; điều này có thể có nhiều hơn một hình thức. Ví dụ, một kẻ xấu có thể gửi cho bạn một cuộc tấn công giống như Internot of Things (IoT) có chứa phần mềm độc hại trên điện thoại, sau đó có thể được sử dụng để gửi thông tin đến máy chủ chỉ huy và kiểm soát hoặc truyền thông tin mạng khác. Hoặc phần mềm độc hại như vậy có thể tự lây lan sang các điện thoại khác và sau đó được sử dụng để tắt hệ thống điện thoại của bạn.
Ngoài ra, tin nhắn SIP bị nhiễm có thể được sử dụng để tấn công điện thoại mềm trên máy tính và sau đó lây nhiễm vào máy tính. Điều này đã xảy ra với ứng dụng khách Skype cho Apple Macintosh và nó cũng có thể xảy ra với bất kỳ ứng dụng khách điện thoại nào khác. Đây là một tình huống ngày càng có nhiều khả năng khi chúng ta thấy một số lượng lớn các điện thoại di động đang nổi lên từ nhiều nhà cung cấp VoIP và cộng tác, bao gồm cả Dialpad, RingCentral Office và Vonage Business Cloud, trong số nhiều người khác.
Cách duy nhất để ngăn chặn các cuộc tấn công như vậy là đối xử với hệ thống VoIP của tổ chức của bạn với mối quan tâm bảo mật tương tự như mạng dữ liệu của bạn. Đây là một thách thức nhiều hơn, nếu chỉ vì không phải tất cả các sản phẩm bảo mật đều nhận biết SIP và vì SIP được sử dụng không chỉ trong các ứng dụng thoại mà hội thảo văn bản và hội thảo video chỉ là hai ví dụ thay thế. Tương tự như vậy, không phải tất cả các nhà cung cấp mạng VoIP đều có thể phát hiện các cuộc gọi SIP không có thật. Đây là tất cả các câu hỏi bạn sẽ cần giải quyết với mỗi nhà cung cấp trước khi tham gia.
- Các nhà cung cấp VoIP kinh doanh tốt nhất cho năm 2019 Các nhà cung cấp VoIP kinh doanh tốt nhất cho năm 2019
- 9 bước để tối ưu hóa mạng của bạn cho VoIP 9 bước để tối ưu hóa mạng của bạn cho VoIP
- Giải thưởng Lựa chọn kinh doanh 2018: Hệ thống thoại qua IP (VoIP) Giải thưởng lựa chọn kinh doanh 2018: Hệ thống thoại qua IP (VoIP)
Tuy nhiên, bạn có thể thực hiện các bước để định cấu hình thiết bị đầu cuối của mình để chúng yêu cầu xác thực SIP. Điều này bao gồm yêu cầu Mã nhận dạng tài nguyên thống nhất (URI) hợp lệ (giống như URL mà bạn đã sử dụng), tên người dùng có thể được xác thực và mật khẩu an toàn. Vì SIP phụ thuộc vào mật khẩu, điều này có nghĩa là bạn sẽ phải thực thi chính sách mật khẩu mạnh cho các thiết bị SIP, không chỉ cho máy tính. Cuối cùng, tất nhiên, bạn sẽ cần đảm bảo rằng các hệ thống phát hiện và ngăn chặn xâm nhập của bạn, bất kể chúng xảy ra trên mạng của bạn, cũng hiểu mạng VoIP của bạn.
Tất cả điều này nghe có vẻ phức tạp và ở một mức độ nào đó, nhưng thực sự chỉ là vấn đề thêm cuộc hội thoại VoIP vào bất kỳ cuộc trò chuyện mua hàng nào với giám sát mạng hoặc nhà cung cấp bảo mật CNTT. Khi SIP phát triển đến một trạng thái gần như phổ biến ở nhiều tổ chức kinh doanh, các nhà cung cấp sản phẩm quản lý CNTT sẽ ngày càng chú trọng đến nó, điều đó có nghĩa là tình hình sẽ được cải thiện miễn là người mua CNTT ưu tiên.
