SIP: IPSEC против TLS

Программные телефоны не поддерживают IPSEC явно, поскольку это протокол сетевого уровня. Самый низкий уровень, рассматриваемый в SIP RFC, — это транспортный уровень, где он предоставляет 3 альтернативы: UDP, TCP и TLS.

Сигнализация SIP будет нормально работать через IPSEC, поскольку она не так чувствительна ко времени. Даже задержка в 1-2 секунды для SIP-запросов и ответов будет едва заметной. Однако трафик RTP, который переносит медиавызов, вполне может быть затронут, если будет введена дополнительная задержка.

Предположим, вам необходимо защитить сигнализацию SIP между вашими конечными точками (программный телефон или аппаратное обеспечение) и механизмом управления вызовами, а также предположим, что обе конечные точки и управление вызовами находятся в одном и том же кампусе, локальной сети или частной сети. Правильным выбором является использование TLS между конечными точками и механизмом управления вызовами, большинство конечных точек поддерживают TLS в своей реализации (прошивка или программное обеспечение). В любом случае, то же самое относится и к мобильным работникам (они устанавливают TLS из Интернета с аутентифицированным внешним интерфейсом, размещенным в DMZ внутри вашей компании); TLS хорошо подходит для тех сценариев, где не требуется дополнительная установка клиента.

С другой стороны, для защиты SIP внутри IPSec вам необходимо сначала установить клиент IPSec на свой ноутбук (где находится клиент sip), клиент IPSec устанавливает безопасность с помощью шлюза IPSec, размещенного в вашей организации (более сложный и дорогой в управлении). Вкратце, IPSec хорошо подходит в тех случаях, когда вам нужна конфиденциальность между локальными сетями в общедоступной сети (туннельный режим IPSec устанавливается между шлюзами IPsec).

Когда вы говорите о SIP с TLS или IPSec, вы не можете игнорировать RTP. Для использования SecureRTP лучше всего использовать протокол TLS. Во время настройки сеанса SIP-объекты обмениваются параметрами TLS (например, набором чипов для защиты RTP) в теле SDP. Просмотрите журналы, чтобы увидеть SDP внутри SIP. В конце обмена SIP-объекты могут защитить трафик RTP, поскольку они согласовали общий ключ шифрования сеанса (это симметричный ключ, полученный из протокола обмена ключами).

С IPSec все по-другому: в сообщениях SDP или SIP нет обмена информацией IPSec. Сначала вы настраиваете туннель IPSec, а затем отправляете свой трафик внутрь туннеля, этот трафик также может быть SIP и RTP. Обратите внимание, что в туннельном режиме IPSec исходный пакет инкапсулируется в новый IP-пакет (имеется внешний IP-заголовок), поэтому больше накладных расходов и обработки.

Подводя итог: защита SIP возможна с помощью TLS и IPSec, учитывайте вашу среду. Я бы максимально рассмотрел TLS. Защита RTP возможна с помощью TLS, она называется SecureRTP (шифрование, аутентификация и целостность сообщений, а также защита от повторных атак на данные RTP). Защита RTP\SIP с помощью IPSec требует больше усилий. Используйте туннель IPSec, если вам нужно защитить больше, чем SIP\RTP. Обратите внимание на функцию обхода NAT, когда вы решите использовать IPSec с голосом\видео и обходите устройство NAT.