Предположим, вам необходимо защитить сигнализацию SIP между вашими конечными точками (программный телефон или аппаратное обеспечение) и механизмом управления вызовами, а также предположим, что обе конечные точки и управление вызовами находятся в одном и том же кампусе, локальной сети или частной сети. Правильным выбором является использование TLS между конечными точками и механизмом управления вызовами, большинство конечных точек поддерживают TLS в своей реализации (прошивка или программное обеспечение). В любом случае, то же самое относится и к мобильным работникам (они устанавливают TLS из Интернета с аутентифицированным внешним интерфейсом, размещенным в DMZ внутри вашей компании); TLS хорошо подходит для тех сценариев, где не требуется дополнительная установка клиента.
С другой стороны, для защиты SIP внутри IPSec вам необходимо сначала установить клиент IPSec на свой ноутбук (где находится клиент sip), клиент IPSec устанавливает безопасность с помощью шлюза IPSec, размещенного в вашей организации (более сложный и дорогой в управлении). Вкратце, IPSec хорошо подходит в тех случаях, когда вам нужна конфиденциальность между локальными сетями в общедоступной сети (туннельный режим IPSec устанавливается между шлюзами IPsec).
Когда вы говорите о SIP с TLS или IPSec, вы не можете игнорировать RTP. Для использования SecureRTP лучше всего использовать протокол TLS. Во время настройки сеанса SIP-объекты обмениваются параметрами TLS (например, набором чипов для защиты RTP) в теле SDP. Просмотрите журналы, чтобы увидеть SDP внутри SIP. В конце обмена SIP-объекты могут защитить трафик RTP, поскольку они согласовали общий ключ шифрования сеанса (это симметричный ключ, полученный из протокола обмена ключами).
С IPSec все по-другому: в сообщениях SDP или SIP нет обмена информацией IPSec. Сначала вы настраиваете туннель IPSec, а затем отправляете свой трафик внутрь туннеля, этот трафик также может быть SIP и RTP. Обратите внимание, что в туннельном режиме IPSec исходный пакет инкапсулируется в новый IP-пакет (имеется внешний IP-заголовок), поэтому больше накладных расходов и обработки.
Подводя итог: защита SIP возможна с помощью TLS и IPSec, учитывайте вашу среду. Я бы максимально рассмотрел TLS. Защита RTP возможна с помощью TLS, она называется SecureRTP (шифрование, аутентификация и целостность сообщений, а также защита от повторных атак на данные RTP). Защита RTP\SIP с помощью IPSec требует больше усилий. Используйте туннель IPSec, если вам нужно защитить больше, чем SIP\RTP. Обратите внимание на функцию обхода NAT, когда вы решите использовать IPSec с голосом\видео и обходите устройство NAT.
person
Marco_81
schedule
14.11.2019