Le gros problème de sécurité de Voip? c'est une gorgée

Il est fort probable que vos utilisateurs n'aient pas entendu parler du protocole SIP (Session Initiation Protocol) en dehors des réunions que vous auriez pu avoir avec eux au sujet des télécommunications de votre entreprise. Mais, en fait, SIP est probablement impliqué dans presque tous les appels téléphoniques passés. SIP est le protocole qui établit et complète les appels téléphoniques dans la plupart des versions de Voice-over-IP (VoIP), que ces appels soient passés sur votre système téléphonique de bureau, votre smartphone ou des applications telles que Apple Facetime, Facebook Messenger ou. Microsoft Skype.

Lorsque vous effectuez un appel, c'est le protocole SIP qui contacte le périphérique destinataire, convient de la nature de l'appel et établit la connexion. Après cela, un autre protocole (il y en a plusieurs) achemine le contenu de l'appel. Lorsque l'appel est terminé et que les correspondants se déconnectent, SIP est à nouveau le protocole qui termine l'appel. Cela ne semble peut-être pas être un problème de sécurité, mais en fait, c'est le cas.

En effet, SIP n'a pas été conçu à l'origine pour être sécurisé, ce qui signifie qu'il est facilement piraté. Même la plupart des professionnels de l'informatique ne savent pas que SIP est un protocole texte ressemblant beaucoup au langage HTML (HyperText Markup Language), avec un adressage semblable à celui que vous rencontrerez dans le protocole SMTP (Simple Mail Transfer Protocol) d'un courrier électronique classique. L'en-tête contient des informations sur le périphérique de l'appelant, la nature de l'appel demandé par l'appelant et d'autres informations nécessaires pour que l'appel fonctionne. Le périphérique de réception (qui peut être un téléphone cellulaire ou un téléphone VoIP, ou peut-être un autocommutateur privé ou un autocommutateur privé), examine la demande et décide s'il peut y répondre ou s'il ne peut fonctionner qu'avec un sous-ensemble.

Le périphérique destinataire envoie ensuite un code à l'expéditeur pour indiquer que l'appel est accepté ou non. Certains codes peuvent indiquer que l'appel ne peut pas être terminé, un peu comme l'erreur 404 ennuyeuse que vous voyez quand une page Web n'est pas à l'adresse que vous avez demandée. Sauf si une connexion cryptée est demandée, tout cela se passe sous forme de texte brut qui peut voyager sur Internet ouvert ou sur le réseau de votre entreprise. Il existe même des outils facilement disponibles qui vous permettront d'écouter des appels téléphoniques non chiffrés utilisant le Wi-Fi.

Protéger un appel SIP

Lorsque les gens apprennent qu'un protocole sous-jacent n'est pas sécurisé, ils l'abandonnent souvent. Mais vous n’avez pas à le faire ici, car protéger un appel SIP est possible. Lorsqu'un périphérique souhaite établir une connexion avec un autre périphérique SIP, il utilise une adresse telle que celle-ci: SIP:. Vous remarquerez que cela ressemble beaucoup à une adresse électronique, à l'exception du "SIP" au début. L'utilisation d'une telle adresse permet à une connexion SIP d'établir un appel téléphonique, mais celui-ci ne sera pas crypté. Pour créer un appel crypté, votre appareil doit utiliser une adresse légèrement différente: SIPS:. Le "SIPS" indique une connexion chiffrée au périphérique suivant à l'aide de TLS (Transport Layer Security).

Le problème, même avec la version sécurisée de SIP, est que le tunnel crypté existe entre les périphériques, car ils acheminent l'appel du début à la fin de l'appel, mais pas nécessairement lorsque l'appel passe par le périphérique. Cela s'est avéré être une aubaine pour les forces de l'ordre et les services de renseignement du monde entier, car cela permet de toucher des appels téléphoniques VoIP qui pourraient autrement être cryptés.

Il est à noter qu'il est possible de chiffrer séparément le contenu d'un appel SIP afin que, même si l'appel est intercepté, le contenu ne soit pas facilement compris. Un moyen simple de procéder consiste simplement à lancer un appel SIP sécurisé via un réseau privé virtuel (VPN). Cependant, vous devrez le tester à des fins commerciales pour vous assurer que votre fournisseur de réseau privé virtuel vous donne suffisamment de bande passante dans le tunnel pour éviter la dégradation des appels. Malheureusement, les informations SIP elles-mêmes ne peuvent pas être cryptées, ce qui signifie qu'elles peuvent être utilisées pour accéder au serveur VoIP ou au système téléphonique en détournant ou en usurpant un appel SIP, mais cela nécessiterait une attaque assez sophistiquée et ciblée..

Configurer un réseau local virtuel

Bien entendu, si l'appel VoIP en question concerne votre entreprise, vous pouvez configurer un réseau local virtuel (VLAN) uniquement pour la VoIP. Si vous utilisez un VPN vers un bureau distant, le réseau local virtuel peut passer au-dessus de ce réseau. connexion aussi bien. Comme décrit dans notre article sur la sécurité VoIP, le réseau local virtuel offre l’avantage de fournir efficacement un réseau séparé pour le trafic vocal, ce qui est important pour un certain nombre de raisons, y compris la sécurité, car vous pouvez contrôler l’accès au réseau local virtuel de différentes manières. façons.

Le problème, c’est que vous ne pouvez pas planifier un appel VoIP provenant de votre entreprise, ni un appel ayant pour origine la VoIP entrant par le commutateur du central de votre compagnie de téléphone, si vous êtes même connecté à l’un des services suivants: ceux. Si vous avez une passerelle de téléphonie qui accepte les appels SIP en dehors de vos locaux, vous devez disposer d'un pare-feu compatible SIP pouvant examiner le contenu des messages à la recherche de logiciels malveillants et de divers types d'usurpation d'identité. Un pare-feu de ce type devrait bloquer le trafic non SIP et devrait également être configuré en tant que contrôleur de session.

Prévenir l'intrusion de logiciels malveillants

Comme en HTML, un message SIP peut également diriger des logiciels malveillants vers votre système téléphonique. cela peut prendre plus d'une forme. Par exemple, un méchant peut vous envoyer une attaque de type Internot of Things (IoT) qui installe des logiciels malveillants sur les téléphones, qui peut ensuite être utilisée pour envoyer des informations à un serveur de commande ou de contrôle ou pour transmettre d'autres informations de réseau. Ou bien ces logiciels malveillants peuvent se propager à d’autres téléphones et ensuite être utilisés pour éteindre votre système téléphonique.

Vous pouvez également utiliser un message SIP infecté pour attaquer un téléphone logiciel sur un ordinateur, puis l’infecter. Cela est arrivé au client Skype pour Apple Macintosh et cela pourrait également arriver à tout autre client de logiciel de téléphonie. C’est une éventualité qui devient de plus en plus probable lorsque nous voyons un nombre croissant de softphones émerger de nombreux fournisseurs de services VoIP et de collaboration, notamment Dialpad, RingCentral Office et Vonage Business Cloud, entre autres.

Le seul moyen d'éviter de telles attaques consiste à traiter le système VoIP de votre entreprise avec le même souci de sécurité que vos réseaux de données. Ceci est un peu plus difficile, ne serait-ce que parce que tous les produits de sécurité ne prennent pas en charge SIP, et que SIP est utilisé dans plus que de simples applications vocales: la conférence texte et la vidéoconférence ne sont que deux exemples alternatifs. De même, tous les fournisseurs de réseau VoIP ne peuvent pas détecter les faux appels SIP. Ce sont toutes des questions que vous devrez adresser à chaque fournisseur avant de vous engager.

• Les meilleurs fournisseurs VoIP Business pour 2019 Les meilleurs fournisseurs VoIP Business pour 2019
• 9 étapes pour optimiser votre réseau pour la VoIP 9 étapes pour optimiser votre réseau pour la VoIP
• Business Choice Awards 2018: Systèmes de voix sur IP (VoIP) Business Choice Awards 2018: Systèmes de voix sur IP (VoIP)

Toutefois, vous pouvez prendre des mesures pour configurer vos périphériques finaux de sorte qu'ils requièrent une authentification SIP. Cela implique notamment d'exiger un identifiant de ressource uniforme (URI) valide (qui ressemble à l'URL utilisée), un nom d'utilisateur pouvant être authentifié et un mot de passe sécurisé. Étant donné que SIP dépend de mots de passe, cela signifie que vous devrez appliquer une stratégie de mot de passe fort pour les périphériques SIP, et pas seulement pour les ordinateurs. Enfin, vous devrez bien sûr vous assurer que vos systèmes de détection et de prévention des intrusions, quels qu’ils soient sur votre réseau, comprennent également votre réseau VoIP.

Tout cela semble complexe, dans une certaine mesure, mais il suffit d'ajouter la conversation VoIP à toute conversation d'achat avec un fournisseur de surveillance du réseau ou de sécurité informatique. À mesure que le SIP atteindra un état quasi omniprésent dans de nombreuses entreprises, les fournisseurs de produits de gestion informatique y accorderont de plus en plus d'importance, ce qui signifie que la situation devrait s'améliorer tant que les acheteurs informatiques en feront une priorité.