¿Cómo se asegura VOIP en una organización grande?

9

Como parte de una organización grande que busca implementar VoIP, para subirse al carro de los ahorros y el enfoque de la red convergente, se me pide que analice los problemas de seguridad para desarrollar una política que ayude a definir una dirección.

Ya que soy un geek primero, y una persona de seguridad, comencé inmediatamente por el camino de "Lo que actualmente es posible" cuando se trata de asegurar VoIP. He implementado VoIP en otras organizaciones en los últimos años, y estoy familiarizado con Vanilla MGCP y SIP como mecanismos de control de llamadas. Pero por lo que sé (y lo que el NIST me recordó tan fácilmente con su publicación sobre seguridad VOIP ) es que, en términos de una implementación segura, hay muy pocas opciones.

MGCP no está diseñado para la seguridad, realiza el manejo de llamadas y hace bien ese trabajo. Si tuviera que abrir una interfaz MGCP para una gran audiencia, se podría usar para realizar cualquier cosa, desde fraude de llamadas hasta configuraciones de monitores silenciosos, según las funciones que admita su sistema.

Por otro lado, los SIP permiten la autenticación y el manejo de llamadas cifradas con TLS (también conocido como SIPS). Escuché que Cisco implementa MGCP y SRTP para darle una conversación cifrada, pero como MGCP en sí no es seguro, parece que se rompe El modelo de confianza y requiere un canal seguro IPSec para facilitar esto en la red más amplia de forma segura.

Supongo que, en última instancia, mi pregunta es: ¿Existe realmente una opción más allá de SIPS y SRTP que proporciona una autenticación de extremo a extremo, mantiene la integridad y la confidencialidad o debo escribir la política para que finalmente requiera específicamente? Estas tecnologías?

Los requisitos del entorno incluyen cualquier cosa, desde un entorno de escritorio mixto en un entorno relativamente seguro hasta un escenario de trabajo en casa para los usuarios finales. Lo ideal sería utilizar una especificación para definir el "mínimo" requerido para todos.

    
pregunta Ori 07.06.2011 - 23:07
fuente

2 respuestas

4

TLS no proporciona seguridad de extremo a extremo en SIP, debido a la arquitectura de enrutamiento.

Los mensajes SIP se transmiten desde el agente del usuario a través de enrutadores SIP, y el cifrado TLS solo se produce entre el agente del usuario y los enrutadores y entre los enrutadores.

Puede usar S / MIME para cifrar y / o firmar partes de los mensajes SIP de un agente de usuario a otro.

Para la protección de flujos de medios, SRTP y ZRTP están bien.

    
respondido por el Géal 09.06.2011 - 09:09
fuente
2

SIP es una bestia interesante con la que lidiar, simplemente porque hay muchas personas que ofrecen soluciones SIP que tienen muchas diferencias bajo el capó.

En términos de seguridad de SIP, tienes dos opciones que he visto implementado SRTP , ZRTP . Se supone que ZRTP es una mejora sobre SRTP, por lo que debería ser preferido. Como se trata de un intercambio de claves DH, en teoría podría tener una CA interna que generaría certificados que utilizarían todos los empleados.

No sé nada sobre SIPS, pero parece que tiene todas las ventajas de TLS, por lo que podría ser una buena respuesta. Lo que dije sobre una CA interna también se aplicaría aquí.

Puede consultar Jitsi , que es probablemente el cliente SIP con la mayor cantidad de funciones que está buscando.

    
respondido por el malaverdiere 08.06.2011 - 06:49
fuente

Lea otras preguntas en las etiquetas