¿Hay alguna forma (estándar, propuesta o borrador) que permita la identificación segura de la persona que llama en las redes SIP / VOIP?
He escuchado constantemente que el identificador de llamadas no es seguro cuando se usa en estos servicios. ¿Alguien puede explicar por qué Caller ID es inseguro cuando se utiliza en estas redes?
Cuando la llamada proviene de un PBX externo, la identificación de llamada que recibe es lo que el proveedor de servicios de la persona que llama envía a su proveedor de servicios. Esto podría por cualquier cosa que el proveedor de servicios de la persona que llama quiera. Muchos proveedores de servicios eligen respetar eso y enviar el identificador de llamadas real a su proveedor de servicios (y, eventualmente, a usted).
Muchos proveedores de servicios SIP / VOIP les dan a sus usuarios la opción de establecer una Identificación de Llamada arbitraria que se enviará al proveedor de servicios de la persona llamada (y eventualmente, a la persona llamada).
Así es como funciona todo el sistema de identificación de llamadas, es intrínsecamente inseguro porque se basa en que la información proporcionada sea precisa. Piensa, HTTP_REFERE .
El identificador de llamadas siempre es inseguro, el identificador de llamadas VOIP no es más inseguro que cualquier otro. Si desea saber con seguridad quién es la persona que llama, debe hacer un seguimiento en lugar de confiar en la información incluida. El identificador de llamadas es algo así como pedir educadamente a alguien su nombre, no tienen que decirte la verdad.
El STIR IETF charter group está trabajando en este problema ahora. (Literalmente en este momento, únase a Jabber o listen ) Específicamente este artículo destaca la necesidad de CallerID debido a
Las soluciones anteriores incluyen:
RFC 4474 define la "Identidad" de SIP, sin embargo, esto no es compatible con las implementaciones existentes, por lo que no tiene no ha sido utilizado. RFC447bis es una modificación a esa propuesta que puede incluirse en la reunión de STIR.
P-Asserted-Identity (PAI) en RFC3225 , sin embargo, esto se centra en resolver el problema dentro de un subconjunto confiable de jugadores conocidos.
Estas soluciones se centran en la "identidad" e incluyen un "URI de SIP" o una "dirección SIP" y aunque el mecanismo STIR definitivo (o una variante del mismo) también podría funcionar para los URI de SIP, el enfoque en este trabajo inicial es todo Asegurando la identificación de origen de los números de teléfono.
El aspecto que le da mayor potencial al grupo STIR es que su enfoque tiene mucho sentido, dado que gran parte del tráfico SIP de hoy en día es el resultado de que los proveedores de servicios de telecomunicaciones transfieren sus llamadas regulares a números de teléfono fuera de la PSTN heredada Redes y más a redes IP donde usan SIP. Además, los atacantes pueden utilizar una gran cantidad del tráfico de "problemas" que se ve en VoIP hoy en día para usar el software VoIP simple para generar sus llamadas a números de teléfono regulares.