通訊產業市場由傳統的線路交換式電話網路 ( Circuit Switch Network ),轉向成為可同時包含資料、語音與影像的封包式網路服務架構 ( Packet-based Network )。過去數年間,IP 通訊市場一直以 H.323 通訊協定為主流,透過網路標準傳輸方式,讓不同廠商的產品能夠經由共同的標準來運作。
但是,最近竄起的 SIP ( Session Initiation Protocol ) 協定,乃是以網際網路中現有的多媒體架構與訊息傳遞能力為基礎,提供整合語音與其它多媒體通訊服務,達到多媒體通訊協定目的。除了 VoIP 的應用之外,SIP 也適用於視訊會議與即時訊息範疇,因此越來越多的廠商開始發展符合 SIP 協定的產品,投入 VoIP 市場。
SIP 簡介
SIP 是由網際網路工程任務小組 ( Internet Engineer Task Force ; IETF ) 制定的媒體會議訊息通訊協定。SIP 是以 ASCII 文字資料為基礎,用來建立、維持與結束兩點或多點之間通訊應用程式層次之控制協定。如同其他的 VoIP 通訊協定,SIP的設計目的也是用來定義封包式資料電話網路中的訊號取樣 ( single sampling ) 與通訊階段管理工作。訊號取樣讓通訊內容能轉換成為數位化資訊,得以傳遞到網路各個地區;通訊階段管理則提供通話從開始到結束的所有狀態控制功能。
SIP 的構成元件
SIP 是一種點對點「Peer to Peer」的通訊協定,採用分散式架構,透過 URL 來命名位址與使用純文字格式來傳送訊息,使SIP能夠藉由網際網路模型的優點,來架構VoIP 網路與應用程式。
在每一個通訊工作階段中的點(Peer)被稱為使用者代理 ( User Agent ;UA ),而使用者代理可以扮演以下所列之角色:
若由硬體架構上的觀點來區分,SIP 網路中的設備也可被歸納為兩大類:客戶端和伺服器。
SIP 客戶端:
SIP 伺服器:
語音通訊的網路安全問題
雖然 SIP 已被公認為 IP 網路與傳統電信 PSTN 網路整合之關鍵技術,但是因為 SIP 同樣是透過IP網路傳送資料,因此要如何避免網際網路中的病毒與惡意攻擊、避免被網路竊聽 ( Eavesdropping ) 等,已成為採用 SIP 協定產品的最大考量。
SIP 的安全性議題包含兩個層面,第一是語音資料封包之安全,著眼於應用程式層次方面;第二是 IP 網路的安全性,著眼於網路實體層與傳送層的問題。就網路的架構來看,因為 SIP 不僅只應用於企業內部的安全區域內,它的資料封包也會經由充滿威脅與攻擊的網際網路,故將 SIP 網路的威脅來源分為兩種:外部的威脅與內部的威脅。
外部的威脅主要是發生在語音資料封包流經一些不安全的網路、網路設備或是代理者。內部威脅則是來自 SIP 呼叫的發話端或是受話端。一般的企業會將防火牆內部的使用者視為是可以受到信任的安全使用者,一旦這些安全的使用者對 SIP 協定的網路具有危險性,將很難被辨識追蹤出來,更遑論事前防範。
綜合 SIP 在應用層面與網路層面所面臨的威脅,大致上會有下列五種攻擊:
面對以上威脅,網路管理者通常會透過伺服器的設定,以防止阻絕服務攻擊 ( DoS ),或加裝防火牆等設備過濾不正常的資料封包;對傳送的資料封包進行加密動作,例如使用 Secure RTP 通訊協定,以避免網路竊聽威脅;在各個合法的使用者之間,採用位址認證策略,以防止封包偽裝攻擊等。
但是,網路管理者同樣也可透過 SIP 代理伺服器 ( Proxy Server ) 提供各式安全性機制,用來防止上述威脅;包括點對點、伺服器對伺服器間的資料表頭認證欄位與語音訊息本身的加密功能,還有 HTTP 認證等安全機制皆被整合進 SIP 代理伺服器。
另外,如 IPSec 網路安全機制,也可搭配SIP協定,對 SIP 的資料通訊進行網路層與傳送層的加密,以確保傳送資料完整性與私密性。透過SIP 代理伺服器 ( Proxy Server ) 可採用的安全性機制如下:
IPSec 透過加密、認證與 IKE 機制,在未受信任的不安全網路中,建立一個虛擬的安全通道,以避免上述五項主要網路攻擊。
除了 SIP 代理伺服器本身的認證功能外,尚可結合外部 RADIUS ( Remote Authentication Dial-In User Service ) 認證伺服器,以獲得更完善的中央管理式認證架構。透過SIP代理伺服器中的存取清單 ( Access List ),可以直接限制特定 IP 位址的客戶端連線請求,阻擋非法使用者連線。另外,搭配 IPSec 通訊協定,在代理伺服器與 UA 之間建立安全的 VPN 通道,便能有效遏止惡意攻擊者非法存取,並預防通訊資料被竊聽流失風險。
例如 Cisco 的 VoIP 閘道器產品線,同樣具備了 IPSec 的安全性機制,使 SIP 網路由客戶端到 VoIP 閘道,都能建立一致的 VPN 管道,並能結合集中式認證網路的認證、授權、紀錄 ( Authentication Authorization Accounting;AAA ) 的網路安全控管功能,將企業的網路做最完善的安全管理。
結論
維護網路語音傳遞的安全性,除透過 SIP 代理伺服器的安全性機制外,也可搭配網路防火牆來保護 SIP 網路安全性,讓企業的 MIS 人員,透過網路政策設定,過濾未經授權的使用者,防止駭客及入侵者的破壞,大幅簡化網路安全管理工作。此外,MIS 人員可對整個網路做出妥善的防護設定,而不用對每個 SIP 端點去做安全政策考量。
因為 SIP 能結合語音訊息與網際網路服務特質,在 VoIP 的市場中,聲勢日漸看漲,並在市場佔有率迎頭趕上 H.323 的通訊標準產品。因此,企業在導入 IT 建置時,適當的 SIP 產品,搭配企業現有的網路安全架構,將可輕易的整合 SIP 與 H.323 這兩種主流的 VoIP 架構,以避免重複投資所造成的浪費,享受建置 IP 通訊設備後,所提升的企業競爭力。
轉貼cisco網站->新聞中心->SIP 協定化解 IP 通訊協定之安全疑慮