Como parte de una organización grande que busca implementar VoIP, para subirse al carro de los ahorros y el enfoque de la red convergente, se me pide que analice los problemas de seguridad para desarrollar una política que ayude a definir una dirección.
Ya que soy un geek primero, y una persona de seguridad, comencé inmediatamente por el camino de "Lo que actualmente es posible" cuando se trata de asegurar VoIP. He implementado VoIP en otras organizaciones en los últimos años, y estoy familiarizado con Vanilla MGCP y SIP como mecanismos de control de llamadas. Pero por lo que sé (y lo que el NIST me recordó tan fácilmente con su publicación sobre seguridad VOIP ) es que, en términos de una implementación segura, hay muy pocas opciones.
MGCP no está diseñado para la seguridad, realiza el manejo de llamadas y hace bien ese trabajo. Si tuviera que abrir una interfaz MGCP para una gran audiencia, se podría usar para realizar cualquier cosa, desde fraude de llamadas hasta configuraciones de monitores silenciosos, según las funciones que admita su sistema.
Por otro lado, los SIP permiten la autenticación y el manejo de llamadas cifradas con TLS (también conocido como SIPS). Escuché que Cisco implementa MGCP y SRTP para darle una conversación cifrada, pero como MGCP en sí no es seguro, parece que se rompe El modelo de confianza y requiere un canal seguro IPSec para facilitar esto en la red más amplia de forma segura.
Supongo que, en última instancia, mi pregunta es: ¿Existe realmente una opción más allá de SIPS y SRTP que proporciona una autenticación de extremo a extremo, mantiene la integridad y la confidencialidad o debo escribir la política para que finalmente requiera específicamente? Estas tecnologías?
Los requisitos del entorno incluyen cualquier cosa, desde un entorno de escritorio mixto en un entorno relativamente seguro hasta un escenario de trabajo en casa para los usuarios finales. Lo ideal sería utilizar una especificación para definir el "mínimo" requerido para todos.