Obrona

Przed zagrożeniami VoIP można się bronić na wiele sposobów. Najłatwiejszą formą ochrony jest standardowo dbanie o aktualizacje firmware‘u i oprogramowania zarządzającego VoIP. Obrona możliwa jest także w zasadzie w każdej warstwie sieci.

Począwszy od warstwy drugiej, możemy stosować rozwiązania VNAC - czyli NAC rozumiejące specyfikę sieci VoIP i protokół 802.1x (np. produkty Enterasys), gdzie weryfikacja urządzeń wideokonferencyjnych prowadzona jest nie tylko w momencie podpinania do sieci, ale też na bieżąco w czasie ich działania (kontrola post admission). Są też znacznie prostsze formy obrony, np. rozdzielenie VLAN-u VoIP od VLAN-u ze standardowymi danymi. Eksperci ds. bezpieczeństwa zdają sobie jednak sprawę, że separacja VLAN-ów daje tylko złudne poczucie bezpieczeństwa, co potwierdzają przytoczone powyżej przykłady ataków i narzędzi (np. VLAN Hopper). Co więcej, o ile separacja VLAN-ów mogłaby sprawdzić się w przypadku typowych wideofonów IP, o tyle sprawa komplikuje się wraz z pojawieniem się softphone‘ów instalowanych na komputerach lub w urządzeniach przenośnych. Zapewnienie bezpieczeństwa jest dodatkowo utrudnione, jeżeli uczestnicy sieci VoIP komunikują się w trybie Peer 2 Peer. Wówczas połączenie może odbywać się bez pośrednictwa centralki.

Można także stosować odpowiednie protokoły zwiększające bezpieczeństwo transmisji, np. SRTP (Secure Real-time Transport Protocol) - rozszerzenie protokołu RTP/RTCP, które zgodnie z RFC 3711 działa między warstwą transportową a aplikacyjną, w tradycyjnym rozumieniu warstw sieci w modelu OSI. SRTP przechwytuje pakiety RTP i odpowiednio je opakowuje, dodając Authentication Tag (uwierzytelnianie/szyfrowanie nagłówka oraz treści) oraz Master Key Identifier (określa klucz, na podstawie którego powstały klucze zapewniające uwierzytelnianie i szyfrowanie).

Innym protokołem jest SIPS (czyli SIP szyfrowany SSL-em lub TLS-em) opisany w RCF 3261. Mając SIPS, klient nawiązując połączenie z SIP Proxy, żąda zestawienia kanału TLS. Następnie SIP Proxy wystawia certyfikat publiczny, a urządzenie użytkownika poddaje go weryfikacji. W kolejnym kroku urządzenie użytkownika i SIP Proxy wymieniają klucze sesji i nawiązywane jest połączenie szyfrowane. Podobny proces przebiega na każdym "przystanku" dopóty, dopóki między dzwoniącymi do siebie użytkownikami nie zostanie zestawiona od początku do końca sesja szyfrowana. Co więcej, oba protokoły można łączyć, dzięki czemu uzyskujemy jeszcze większy poziom bezpieczeństwa.

Do ochrony VoIP możemy również wykorzystać zapory ogniowe rozumiejące ruch VoIP (np. SecureLogix VoIP Firewall). Ich odpowiednikiem w sieciach operatorskich mogą być rozwiązania określane mianem Session Border Controller (SBC). Narzędzia te potrafią rozpoznać ruch generowany przez typowe protokoły sygnalizacyjne, takie jak H.323 czy SIP. Zachowują się po części jak proxy, które mogą wprowadzać do ruchu VoIP opóźnienia. Niektórzy analitycy bezpieczeństwa krytykują systemy SBC jako generujące zbyt dużą liczbę komunikatów typu false-positive, bazujących głównie na analizie anomalii, pozbawionych modułów sygnaturowych itp. Dlatego też warto stosować tzw. VIPS-y (VoIP Intrusion Prevention System). Nowoczesne IPS-y mają dedykowane moduły obsługujące ruch VoIP (np. Juniper IDP).