会话初始化协议(SIP)的部署已经开始。从2008年到2009年,企业的部署增加了58%,从12%增长到19%。为什么?主要是成本节约:SIP中继比TDM便宜得多。但有一个问题:安全。只有21%的组织正在为SIP、VoIP或UC实施防火墙。
这是一个错误。与所有互联网协议一样,SIP及其对等协议实时传输协议(RTP)容易受到攻击。攻击可能是严重和昂贵的,从PBX电话欺诈到复杂的拒绝服务(DoS)攻击和违反隐私法规,如支付卡行业数字安全标准和gramm - leach - billey法案。
出于几个原因,通用防火墙在确保SIP安全性方面不一定能做到这一点。首先,通用防火墙的编程并不是专门查找SIP漏洞利用和攻击的。其次,网络地址转换(NAT)——一种标准的防火墙功能——对SIP,更确切地说,对RTP来说是一个挑战。原因是SIP和RTP遍历不同的端口,RTP端口选择是随机的。有很多方法可以解决这个问题。
解决这些问题的最佳方法是使用SIP防火墙或网关,可以是本地的,也可以是云中的。在内部部署场景中,SIP防火墙只安装在外围防火墙的DMZ中。在云环境中,SIP中继提供商从企业总部通过安全连接路由VoIP/UC流量。提供者的SIP防火墙/网关位于公共Internet的连接点(位于提供者存在点)。SIP防火墙/网关成为所有SIP和RTP流量的分界点。SIP防火墙功能保护组织免受SIP和UC攻击,SIP网关功能支持NAT穿越。
底线是:向SIP添加一些安全性。你不会后悔的。