¿Cuáles son los principales problemas y los controles de seguridad de mejores prácticas al exponer SIP y H.323 a Internet?

8

¿Cuáles son los principales problemas y los controles recomendados al exponer SIP y H.323 a Internet (podrían ser para tráfico de voz, video y mensajería instantánea o los tres)?

Específicamente, estoy buscando las mejores prácticas en arquitectura de firewall / DMZ y cualquier otro control de seguridad recomendado al implementar las puertas de enlace SIP y H.323.

    
pregunta frankodwyer 09.05.2011 - 23:05
fuente

1 respuesta

7

La lista rápida de verificación de dos páginas de Avaya es, en términos generales, neutral con respecto a los proveedores. Los primeros pasos clave incluyen:

  • H.235.5 para cifrado de señalización H.323
  • SRTP * para cifrado de medios H.323 / SIP (sobrecarga de 10 bytes por paquete)
    • El cifrado AES independiente también se puede usar para medios H.323 cifrado
  • TLS para cifrado de señal SIP
  • SRTP para la interacción del correo de voz
  • TLS para comunicaciones adjuntas
  • cifrado AES para la copia de seguridad de la configuración
  • Tenga en cuenta que las regiones de red se pueden crear para segmentar teléfonos que no admiten encriptación desde teléfonos que son capaces de encriptación

Para configurarlo de manera que se mantengan la seguridad y la calidad del servicio, necesitará un conjunto de firewall que sea compatible con H.323 / SIP. De este documento SANS :

  

Muchos de los protocolos utilizados con la suite H.323 utilizan puertos aleatorios que causan problemas en la seguridad a través de cortafuegos, pero se pueden mitigar mediante el uso de llamadas enrutadas directas. Dado que los puertos requeridos para H.323 no están configurados, un firewall de filtrado tendría que dejar abiertos todos los puertos posiblemente necesarios. Por lo tanto, el firewall tendría que ser H.323 para permitir la comunicación sin abrir el firewall a otro tráfico. Se requiere un firewall de estado y / o firewall de aplicación para asegurar la consistencia de las características de las conexiones.

No hay una gran cantidad de cortafuegos que admitan SIP / H.323 bien, pero los habituales de las empresas con estado como Juniper, Cisco y Palo Alto parecen funcionar.

    
respondido por el Rory Alsop 10.05.2011 - 19:10
fuente

Lea otras preguntas en las etiquetas