SIP: IPSEC против TLS
Я новичок в концепции VOIP. Я только что прошел курс VOIP. Я также заинтересован в реализации SIP с использованием TLS, IPSEC и Digest.
Я хочу посмотреть, использует ли SIP-сигнализация IPSEC вместо TLS, как это повлияет на производительность, будет ли выделение немного больше времени? Будет ли это добавить к безопасности или уменьшить безопасность.
Я искал программный телефон, который имеет оба механизма TLS/IPSEC, чтобы я мог анализировать оба пакета на Wireshark, но я не сталкивался ни с одним. Любые предложения о том, как это сделать?
Заранее спасибо!
1 ответ
Программные телефоны явно не поддерживают IPSEC, потому что это протокол сетевого уровня. Самый низкий уровень, рассматриваемый в SIP RFC, - это транспортный уровень, где он предоставляет 3 альтернативы, а именно UDP, TCP и TLS.
Сигнализация SIP будет работать нормально по IPSEC, поскольку она не чувствительна ко времени. Даже задержка в 1 или 2 секунды для SIP-запросов и ответов будет едва заметна. Однако трафик RTP, который переносит среду вызова, вполне может быть затронут, если вводится дополнительная задержка.
Предположим, вам необходимо защитить свою сигнализацию SIP между конечными точками (программным телефоном или оборудованием) и механизмом управления вызовами, также предположим, что и конечные точки, и система управления вызовами находятся в одном кампусе, локальной или частной сети. Правильный выбор - использовать TLS между конечными точками и механизмом управления вызовами, большинство конечных точек поддерживают TLS в своей реализации (встроенное ПО или программное обеспечение). В любом случае то же самое относится и к мобильным сотрудникам (они устанавливают TLS из Интернета с аутентифицированным интерфейсом, размещенным в DMZ внутри вашей компании); TLS хорошо подходит в тех случаях, когда не требуется установка дополнительных клиентов.
С другой стороны, чтобы иметь защиту SIP внутри IPSec, вам необходимо сначала установить клиент IPSec на свой ноутбук (где находится клиент sip), клиент IPSec устанавливает безопасность с помощью шлюза IPSec, размещенного в вашей организации (более сложный и дорогой в управлении). Вкратце, IPSec хорошо подходит для тех немногих, где требуется конфиденциальность между локальными сетями в пределах общедоступной сети (между шлюзами IPSec устанавливается туннельный режим IPSec).
Когда вы говорите о SIP с TLS или IPSec, вы не можете игнорировать RTP. Чтобы использовать SecureRTP, лучше всего использовать протокол TLS. Во время настройки сеанса объекты SIP обмениваются параметрами TLS (такими как набор микросхем для защиты RTP) в теле SDP, просмотрите журналы, чтобы увидеть SDP внутри SIP. В конце обмена объекты SIP могут защищать трафик RTP, поскольку они согласовали общий ключ шифрования сеанса (это симметричный ключ, полученный из протокола обмена ключами).
С IPSec все иначе, в сообщениях SDP или SIP не происходит обмена информацией IPSec. Сначала вы настраиваете туннель IPSec, а затем отправляете свой трафик внутри туннеля, этот трафик также может быть SIP и RTP. Обратите внимание, что в туннельном режиме IPSec исходный пакет инкапсулируется в новый IP-пакет (есть внешний IP-заголовок), поэтому больше накладных расходов и обработки.
Подводя итог: Обеспечение безопасности SIP возможно с помощью TLS и IPSec, учитывая вашу среду. Я бы как можно больше рассмотрел TLS. Защита RTP возможна с помощью TLS, он называется SecureRTP (шифрование, проверка подлинности и целостность сообщений, а также защита от повторных атак на данные RTP). Защита RTP \ SIP с помощью IPSec требует больше усилий. Рассмотрим туннель IPSec, если вам нужно защитить больше, чем SIP\RTP. Взгляните на функцию обхода NAT, когда вы решите использовать IPSec с голосом \ видео, и устройство NAT проходит.