Malgré l'âge avancé de la technologie VoIP et son utilisation répandue dans les entreprises et le secteur public, l'utilisation de cette technologie soulève un certain nombre de problèmes de sécurité sérieux : il est relativement simple d'installer des appels VoIP, il est relativement facile de modifier le contenu de la VoIP. appels, le système VoIP est sensible aux attaques DoS.
Solutions existantes au problème
Utilisation de codecs audio propriétaires (fermés)
Certains constructeurs proposent de résoudre les problèmes de sécurité de la téléphonie IP en utilisant des codecs audio propriétaires. Toute protection repose sur le fait que l'attaquant ne connaît pas l'algorithme de codage audio, mais dès que l'algorithme est connu, le système cesse d'être sûr. Les tendances actuelles sont telles que la plupart des fabricants utilisent des codecs audio ouverts. Ainsi, cette méthode de protection a perdu de son efficacité.
Utiliser des VLAN
Lors de la construction d'un système de téléphonie IP, il est d'usage d'attribuer un réseau VLAN distinct auquel tous les téléphones IP sont connectés. Cette méthode présente un certain nombre d'inconvénients :
- Si un attaquant accède au VLAN d'un système de téléphonie IP, il aura accès à toutes les conversations téléphoniques.
- Cette solution ne peut en aucun cas assurer la sécurité d'un système de téléphonie IP construit entre deux ou plusieurs bureaux géographiquement répartis.
Cryptage VoIP et authentification cryptographique
Cette méthode de garantie de la sécurité est de loin la plus fiable. La protection des systèmes de téléphonie IP modernes peut être mise en œuvre à l'aide de divers protocoles tels que SRTP, ZRTP et IPSec. Cependant, chacun de ces protocoles présente un certain nombre d'inconvénients importants :
- SRTP, ZRTP utilisent une cryptographie « faible » - des clés de chiffrement de longueur insuffisante ou des algorithmes de chiffrement non cryptographiques.
- IPSec nécessite un échange de clé préalable, est souvent bloqué par divers fournisseurs Internet et, dans certains cas, en raison de limitations technologiques, ne permet pas d'établir une connexion sécurisée.
- En plus d'inconvénients particuliers, toutes les méthodes mentionnées de protection cryptographique de la téléphonie IP présentent un inconvénient commun : l'absence de certificats du FSB de la Fédération de Russie et du FSTEC de la Fédération de Russie. Il s'ensuit que les méthodes existantes de protection de la téléphonie IP ne peuvent pas être utilisées dans les agences gouvernementales.
Solution de sécurité VoIP de JSC InfoTecs
La base de la protection VoIP est la solution VPN ViPNet CUSTOM, qui possède les fonctionnalités suivantes :
- Cryptage et filtrage du trafic de signalisation et vocal de tous les participants du réseau de téléphonie IP.
- Assure un passage fluide du trafic VoIP via les appareils NAT.
- La prise en charge des adresses virtuelles, notamment celles SIP, H.323 et Cisco SCCP (Skinny Client Control Protocol), est une solution au problème de traversée de l'espace d'adressage IP des bureaux distants.
Avantages
- Permet d'organiser la protection des systèmes de téléphonie IP hétérogènes.
- Vous permet d'organiser une interaction sécurisée entre deux ou plusieurs réseaux locaux avec des adressages IP qui se chevauchent sans modifier la topologie de ces réseaux.
- Fournit une protection aux utilisateurs de téléphonie mobile IP.
- Assure le passage du trafic VPN en cas d'utilisation de NAT ou d'opposition du fournisseur.
- Disponibilité des certificats FSB et FSTEC.
2015. SwitchRay présente une solution mise à jour pour protéger le PBX IP de la fraude
SwitchRay, l'un des principaux fournisseurs de solutions VoIP pour les opérateurs de télécommunications de détail et de gros, les fournisseurs de services Internet et les opérateurs de réseaux filaires et sans fil, a annoncé la disponibilité d'une nouvelle version du produit SR-P7000 v1.1 pour prévenir la fraude IP PBX. Contrairement à d'autres solutions, le SR-P7000 v1.1 est une plate-forme indépendante facilement compatible avec n'importe quel softswitch pour protéger les opérateurs contre la perte de revenus causée par diverses formes de fraude, de piratage et d'autres violations de la sécurité des informations.
2013. WebMoney Voice - application pour une communication VoIP sécurisée
Le système de paiement WebMoney a lancé l'application WebMoney Voice (ou plutôt, il s'agit d'un module supplémentaire au client mobile du système), qui permet d'effectuer des conversations téléphoniques sécurisées via la téléphonie IP. WebMoney Voice code les données à l'aide d'algorithmes spéciaux et élimine pratiquement la possibilité d'interception et d'écoute clandestine des conversations par des tiers sur tous les réseaux de données. Parallèlement, lors d’un appel confidentiel, la qualité sonore de la voix de l’interlocuteur n’est pas perdue. Il n’y a aucun frais pour l’utilisation du service. L'application est actuellement disponible en téléchargement sur Google Play pour Android version 3.0.52 et supérieure. Des versions sont prévues pour d'autres plateformes mobiles.
2012. Telfin protège les communications VoIP d'entreprise
Le fournisseur de services VoIP professionnel Telfin a lancé un nouveau service Telfin.VoiceVPN, conçu pour protéger les communications VoIP. Le fait est que la technologie VoIP implique la transmission de la voix sur les canaux Internet publics, ainsi que sur l'intranet, qui n'est pas toujours correctement isolé du réseau externe. Le signal vocal peut donc être intercepté et les secrets commerciaux volés. Telfin.VoiceVPN vous permet de protéger le réseau interne de votre entreprise contre les écoutes clandestines et d'organiser un canal sécurisé entre les bureaux distants. Pour ce faire, chaque bureau doit disposer d'un routeur VPN (que Telfin vend 3 200 roubles). La connexion coûte encore 1 000 roubles, puis vous payez des frais mensuels de 500 roubles/mois.
2011. BELTEL vendra des solutions VoIP à Polycom
L'intégrateur de systèmes BELTEL annonce avoir reçu le statut de revendeur agréé de Polycom. Ce statut permet à l'entreprise d'élargir son portefeuille avec des produits et des solutions tels que des téléphones matériels pour travailler avec Microsoft Endpoint, des solutions vocales basées sur IP, ainsi que des solutions Video Border Proxy créées pour fournir un accès à distance sécurisé aux fonctions UC, VoIP et vidéo et assurer le passage des données multimédia à travers les pare-feu de l'entreprise.
2010. PhoneUp augmente la sécurité et la contrôlabilité de l'entreprise
La société BKS-IT a introduit un nouveau module « Priorité » pour son forfait PhoneUp, élargissant les pouvoirs de certains groupes d'employés pour gérer les appels au sein d'un réseau IP construit sur les technologies Cisco. Grâce au nouveau module, les managers ou agents de sécurité de l'entreprise pourront écouter des conversations en se connectant discrètement au téléphone d'un employé, initier une connexion forcée avec un employé (même si son téléphone est occupé), rejoindre la conversation en cours d'un employé, et lancer l'enregistrement de la conversation d'un employé. En plus du nouveau module, le package PhoneUp comprend des modules pour la mise en œuvre d'un annuaire téléphonique d'entreprise unifié, de vidéosurveillance et d'informations sur les employés.
2009. WatchGuard XTM assurera la sécurité de la téléphonie IP
L'importance de protéger les communications VoIP contre les menaces a considérablement augmenté ces dernières années, et cette tendance ne fera que s'intensifier en raison de l'augmentation annuelle des volumes de trafic VoIP. WatchGuard Technologies a introduit une nouvelle version du système de sécurité des réseaux IP d'entreprise WatchGuard XTM 8 Series, dont les principales fonctionnalités sont des outils de protection de la téléphonie IP. Le système offre une protection VoIP, une messagerie instantanée (IM) et un blocage des applications P2P. Les solutions WatchGuard XTM 8 Series proposent également une sécurité basée sur les applications pour les protocoles SIP et H.323, permettant de masquer les systèmes VoIP commerciaux tout en les renforçant pour repousser les attaques de récolte d'annuaire, l'accès non autorisé à la vérification des entrées et d'autres menaces de sécurité. La solution WatchGuard XTM 8 Series est conçue pour les grandes entreprises disposant de réseaux de 1 000 à 5 000 utilisateurs.
2009. Un cours spécial sur la sécurité de la téléphonie IP aura lieu en Russie
Le centre de formation Informzashita a annoncé un cours spécial sur la sécurité de la téléphonie IP, dédié aux questions complexes d'analyse de sécurité et d'assurance de la sécurité de la téléphonie IP. Il s'agit d'un cours unique pour la Russie, qui examine les approches modernes de construction d'une infrastructure de téléphonie IP, les vulnérabilités et les attaques contre ses composants, les méthodes de protection, les systèmes de surveillance et les méthodologies d'analyse de la sécurité d'un réseau VoIP. Plus de 50 % du temps de formation sera consacré à des travaux pratiques, au cours desquels des attaques typiques sur l'infrastructure de téléphonie IP sont simulées et la méthodologie d'utilisation des mécanismes de protection est envisagée. La technologie de virtualisation des serveurs et des postes de travail utilisée dans le processus de formation permet à chaque spécialiste d'effectuer des travaux pratiques sur un réseau VoIP individuel. Le cours s'adresse aux administrateurs de la sécurité de l'information, aux administrateurs système et réseau responsables de l'exploitation des applications VoIP, aux experts en sécurité informatique et aux analystes qui déterminent les exigences en matière de sécurité des ressources réseau et de protection contre les fuites d'informations confidentielles via les canaux techniques.
2009. Les autorités de la zone euro veulent écouter Skype
L'Agence de l'Union européenne pour la coordination des systèmes judiciaires nationaux souhaite pouvoir écouter les systèmes de téléphonie IP, y compris. Yahoo Messenger, appels Internet, Skype. Actuellement, ces fournisseurs de VoIP ne sont pas soumis aux lois européennes et américaines sur les écoutes téléphoniques et la conservation des données et, contrairement aux entreprises de télécommunications, ils ne sont pas tenus de coopérer avec les forces de l'ordre. De plus, le cryptage des communications, par exemple dans Skype, rend pratiquement impossible leur écoute « forcée ». Une réunion des législateurs européens sur cette question aura lieu dans les semaines à venir.
2008. Cisco sécurisera les communications unifiées
La sécurité SIP pour les communications unifiées utilise le protocole SIP du pare-feu Cisco IOS pour sécuriser les communications vocales. Cette innovation permettra aux entreprises d'adopter le concept d'entreprise distribuée, d'augmenter leur productivité et de minimiser les menaces associées aux communications vocales. Cette mise à jour transforme les solutions réseau d'auto-défense CISCO en une solution système plus large qui offre une protection globale des réseaux et d'une grande variété de points de terminaison, d'applications et de contenu.
2007. La VoIP est difficile à écouter
L'utilisation généralisée des services VoIP pose des problèmes à diverses agences de renseignement. Les appels téléphoniques via Skype sont presque impossibles à suivre et à écouter, et si un VPN est utilisé, la tâche devient plusieurs fois plus difficile, écrit Australian IT. La prolifération des opérateurs de téléphonie IP et la disponibilité du cryptage des données signifient que l’époque des simples écoutes téléphoniques est révolue. Les services de renseignement travaillent dans ce sens, attirant des spécialistes et élargissant leurs capacités techniques. Cependant, les salaires de ces spécialistes et le coût des équipements sont trop élevés. Dans ce cas, le gouvernement est tenté d’introduire des réglementations obligeant les fournisseurs de VoIP à utiliser des technologies simplifiées, ce qui pourrait à terme conduire à un affaiblissement de la sécurité du réseau.
2007. Cisco : les professionnels de la sécurité informatique n'ont pas peur de la VoIP
Une enquête commandée par Vanson Bourne pour Cisco a révélé que les virus arrivent en tête de liste des menaces les plus importantes. En 2007, ils ont été sacrés champion par 55 % des sondés (contre 27 % en 2006). L'accès non autorisé aux données a été cité comme la principale menace par 33 %, contre 50 % l'année dernière. La principale préoccupation de 38 % des professionnels de la sécurité informatique était la sécurité des données, et 33 % d'entre eux ont cité la nécessité de mettre les processus en conformité avec les exigences réglementaires. Aucune des personnes interrogées n'a exprimé de « fortes inquiétudes » concernant la sécurité de la VoIP, d'Asterisk ou des systèmes de communications unifiées (Internet et filaire). Cependant, la moitié (49 %) conviennent que les considérations de sécurité doivent être prises en compte lors du déploiement de communications IP. L'enquête a été menée auprès de 100 professionnels de la sécurité informatique responsables de la protection des informations dans leurs entreprises comptant plus de 1 000 employés.
2007. Skype s'engage à améliorer la sécurité de ses logiciels
Le célèbre opérateur de téléphonie IP peer-to-peer Skype envisage de conclure un accord de coopération avec une société spécialisée dans la protection des réseaux de messagerie instantanée, FaceTime Communications. Selon le journal d'information Silicon, Skype tentera ainsi de fournir davantage d'outils de contrôle des sessions de téléphonie IP afin de promouvoir ses services dans le secteur des entreprises. Il est prévu que cet accord soit suivi d'un certain nombre d'autres transactions similaires. L'intention de Skype de faire de son logiciel un outil de communication d'entreprise accessible au public a nécessité un changement d'attitude des responsables informatiques des entreprises, incapables de contrôler le trafic du système téléphonique populaire. Selon les données officielles de Skype, environ 30 % des 171 millions d'utilisateurs enregistrés sont issus du monde des affaires.
2007. Les experts en sécurité continuent d'exprimer leurs craintes quant aux problèmes futurs liés à la téléphonie IP
Les entreprises spécialisées dans la sécurité des ordinateurs dans les réseaux continuent d'effrayer la communauté mondiale avec des menaces potentielles qui toucheront bientôt de nombreux utilisateurs de téléphonie IP. L'absence de problèmes promis depuis longtemps s'explique par le développement insuffisant de ce type de communication, mais sur la base de données de recherche affirmant que d'ici 2010, le nombre de téléphones IP en activité aura plus que quadruplé, les experts en sécurité affirment que la plupart des entreprises ne sont tout simplement pas prêtes. pour des attaques sur leurs réseaux VoIP, écrit The Register. Dans le même temps, les fabricants de systèmes de sécurité ne cachent pas qu'ils s'attendent à une croissance rapide du marché des systèmes de sécurité pour la téléphonie IP, et expliquent leurs sombres prévisions par la volonté d'avertir à l'avance les clients potentiels du danger. Les experts de Symantec estiment que les principales difficultés des systèmes VoIP seront liées au phishing, Panda Software craint la propagation de vers via le trafic des modules VoIP des clients de messagerie instantanée ou des systèmes comme Skype, et les représentants de ScanSafe affirment que les réseaux VoIP seront particulièrement vulnérables pour Attaques DoS.
2006. Des experts américains créent un groupe de partenariat pour la sécurité VoIP
Un groupe d'universitaires et d'experts américains de l'industrie a récemment été formé pour enquêter sur les problèmes de sécurité associés à la technologie VoIP. Le groupe de partenaires comprenait le Georgia Tech Information Security Center (GTISC), BellSouth et Internet Security Systems (ISS). Les services de communication se déplacent vers les plateformes Internet et l'importance de la sécurité augmente dans le contexte de l'utilisation de nouvelles technologies convergentes. Les chercheurs prévoient d'analyser la sécurité des protocoles VoIP et les problèmes d'authentification, de modéliser le trafic VoIP et le comportement des appareils, et de protéger les téléphones mobiles et les applications VoIP. ISS et BellSouth ont fourni 300 000 $ pour un programme de recherche de deux ans qui permettra au GTISC de développer et d'évaluer des solutions de sécurité, et ISS et BellSouth auront accès aux résultats de cette recherche.
2006. Le contrôleur de frontière de session aidera à protéger la VoIP
Le développement des services de téléphonie IP soulève avec toute son urgence une nouvelle question qui prend ses racines dans des problèmes anciens : la sécurité de la VoIP. Les experts prédisent que d'ici la mi-2007, le piratage et les attaques de virus sur les réseaux VoIP seront monnaie courante, ce qui ne peut qu'inquiéter les développeurs de solutions VoIP et les fournisseurs de services VoIP. Cependant, une certaine protection de base peut être organisée au niveau de l'architecture du réseau, à l'aide de contrôleurs de bordure de session (SBC), qui peuvent empêcher les attaques DDoS, la propagation du SPIT (Spam sur la téléphonie Internet) et les épidémies de virus, ainsi que chiffrer en permanence le trafic. Les SBC étaient à l'origine utilisés pour organiser des sessions VoIP derrière NAT. Aujourd'hui, ils sont capables de remplir de nombreuses fonctions de protection, grâce à la possibilité d'examiner le contenu des colis en temps réel. Dans le réseau, les contrôleurs de frontière de session masquent l'adresse réelle de l'utilisateur, ce qui minimise la possibilité d'une attaque DDoS ou de piratage, contrôlent la bande passante, maintiennent la qualité de service et masquent la topologie des réseaux voisins. Dans les réseaux de nouvelle génération, SBC deviendra un élément essentiel de sécurité, aux côtés de flexibilité et d’évolutivité, tout en étant fiable et simple.
2006. Nouveau cryptage pour la VoIP sur la plateforme Windows
Une nouvelle technologie de sécurité cryptographique qui permet de protéger une session VoIP entre deux nœuds sans contacter un tiers ni stocker les clés séparément a été développée par Phil Zimmermann, l'auteur légendaire du logiciel de cryptage de données PGP. Zimmerman a déclaré que le protocole qu'il a développé peut être utilisé avec n'importe quel système téléphonique prenant en charge SIP. Compte tenu du fait que la nouvelle version de Zfone fonctionne avec Windows, l'utilisateur massif de systèmes de téléphonie IP peer-to-peer a la possibilité de sécuriser pleinement ses communications. La technologie a été soumise pour approbation à l’Internet Engineering Task Force (IETF).
2006. La VoIP est plus sûre que la téléphonie classique
Lors de la transition des réseaux TDM vers les réseaux VoIP, les fournisseurs de services sont confrontés à un défi de taille : assurer la sécurité des communications vocales. Le réseau téléphonique n'était plus isolé et un système VoIP mal conçu pouvait facilement être victime de n'importe quel malheur courant sur Internet : d'une attaque DoS à l'interception de données. À ce jour, les technologies développées pour résoudre ce problème se sont suffisamment accumulées pour parler de la possibilité d'obtenir une plus grande sécurité dans la téléphonie IP par rapport à un réseau téléphonique conventionnel, écrit le directeur marketing d'AudioCodes dans son article publié dans la publication d'information Converge Haim Melamed. Cependant, la sécurité n’est en aucun cas un concept nouveau pour les systèmes téléphoniques. Pour les réseaux téléphoniques ordinaires, tous les problèmes actuels, depuis les écoutes clandestines jusqu'au déni de service, étaient également, à un degré ou à un autre, pertinents. La simple connexion à un réseau mondial a considérablement augmenté le nombre d'attaquants potentiels qui ont la possibilité d'effectuer des actions non autorisées en relation avec le système de communication et disposent d'un ensemble complet d'outils éprouvés. Auparavant, cela nécessitait un accès physique et des équipements spéciaux, ce qui limitait considérablement le nombre de criminels potentiels.
2006. NetIQ lance un outil anti-piratage VoIP
NetIQ a dévoilé une solution de sécurité VoIP qui fonctionne avec la téléphonie IP Cisco et protège contre les DoS, les virus, les vers, la fraude téléphonique, les écoutes clandestines et autres menaces, rapporte NetworkWorld. Le nouvel outil permet aux administrateurs d'avoir des informations en temps réel sur le fonctionnement du système, sa disponibilité et avertit de toute menace de sécurité. La solution comprend AppManager, qui surveille l'environnement VoIP pour détecter les événements de sécurité et les modifications de configuration. AppManager Call Data Analysis examine les enregistrements d'appels incorrects et génère un rapport, Security Manager for IP Telephony enregistre et analyse les événements de sécurité. Les ventes de la solution de sécurité VoIP débuteront plus tard ce trimestre et sont au prix de 6 $ par téléphone IP.
2005. VPN pour la téléphonie IP d'Avaya
Avaya a introduit un service VPN dans sa famille d'équipements de téléphonie IP. Cela permettra aux utilisateurs professionnels d'étendre en toute sécurité les communications de leur siège social aux employés travaillant à domicile ou travaillant temporairement dans des environnements réseau non sécurisés. L'intégration du nouveau logiciel VPNremote à un téléphone IP fournira aux employés des communications de classe professionnelle contenant toutes les fonctionnalités nécessaires à des communications d'entreprise hautes performances et ininterrompues. VPNremote pour téléphones IP Avaya 4600 vous permet d'installer rapidement et à moindre coût des téléphones de bureau IP à domicile ou dans des bureaux distants. Il suffit à l'administrateur de télécharger le logiciel sur le téléphone IP et à l'employé de le brancher sur une prise électrique, de le connecter au routeur haut débit domestique et de saisir un mot de passe.
2005. VoIPShield lance un outil d'évaluation des risques VoIP
VoIPShield System a publié une nouvelle solution d'évaluation de la vulnérabilité pour les systèmes VoIP (tels qu'Asterisk) qui permet aux organisations de prévenir les menaces avant qu'elles n'affectent les services VoIP. Basé sur une base de données de menaces, VoIPaudit est complet et évolutif. Il peut être utilisé pour surveiller la famille de protocoles VoIP, notamment le protocole d'établissement de session (SIP), le protocole H.323, le protocole Cisco Skinny, le protocole Nortel Unistim, etc. Les communications VoIP sont essentielles et VoIPaudit offre un niveau de protection sans précédent pour tous les réseaux d'équipements et d'appareils VoIP. VoIPaudit est disponible aujourd'hui, à partir de 10 000 $, qui comprend la formation et l'assistance.
2005. VoIPSA fait ses premiers pas
Depuis le lancement de ses travaux cette année, l'organisation de sécurité de la téléphonie IP Voice over IP Security Alliance (VoIPSA) a franchi sa première étape majeure dans la protection des services VoIP : elle a clairement identifié une liste de problèmes et de vulnérabilités qui peuvent être exploitées par des attaquants. Le projet, appelé VoIP Security Threat Taxonomy, est publié pour discussion publique. Il fournit des définitions et des descriptions complètes et détaillées des menaces de sécurité potentielles, qui constituent la base de la création de systèmes de contre-mesures, écrit Computer Business. Bien que l'organisation soit au courant d'attaques graves utilisant des vulnérabilités VoIP par des moyens assez simples, le directeur de VoIPSA, Jonathan Zar, refuse de donner des exemples précis. La liste des problèmes potentiels comprend la reconnaissance, les attaques DoS et DDoS, l'exploitation des vulnérabilités du protocole, les écoutes clandestines, la suppression et la modification des flux audio.
2005. Juniper assure la sécurité VoIP
Juniper Networks Inc. a annoncé Dynamic Threat Mitigation, qui permet aux fournisseurs de services de fournir aux entreprises et aux consommateurs une protection avancée des services réseau et une assurance de service, y compris la VoIP. Le système est intégré aux routeurs Juniper (série M ou série E), sans que les clients aient à installer de nouveaux équipements. La solution permet d'identifier les attaques par utilisateur ou par application, grâce à des politiques de gestion dynamique et des méthodes de détection et de prévention des intrusions (attaques DoS, pénétration de vers). Compte tenu du grand nombre de services fournis sur les réseaux IP, l’utilisation du système Dynamic Threat Mitigation est une étape naturelle et progressive.
2005. La sécurité VoIP sera sérieusement menacée dans deux ans
Dans deux ans, les attaquants représenteront une menace pour la téléphonie IP avec du spam et des virus spéciaux. C'est ce qu'ont déclaré les représentants du célèbre fabricant d'équipements de télécommunications Nortel. En outre, les entreprises qui utilisent dans leurs activités la VoIP, la vidéoconférence et d'autres services multimédias basés sur les technologies de réseau devraient se préparer dès maintenant à la prochaine étape de protection de leur infrastructure, écrit le journal d'information Silicon. Le vice-président de la société, Atul Bhatnager, a déclaré que pour l'instant, les interférences avec le service VoIP sont plutôt exotiques, mais que les pirates informatiques acquièrent rapidement de l'expérience et qu'à l'avenir, les utilisateurs de téléphonie IP seront confrontés aux mêmes problèmes inhérents, du fait des attaquants, à réseaux de transmission de données classiques : spam et attaques DoS. Certes, deux ans suffisent pour préparer et déployer suffisamment de systèmes de sécurité capables d’analyser en profondeur les paquets de données.
2005. Motorola+Skype
Motorola et le fournisseur de services de téléphonie Internet Skype Technologies ont signé un accord de coopération, comme annoncé lors du congrès 3GSM à Cannes. Lors de la première étape de la coopération, les sociétés développeront conjointement de nouveaux produits Motorola Skype Ready optimisés pour la téléphonie IP. La gamme de produits comprendra un casque Bluetooth, des appareils mains libres et du matériel pour protéger les logiciels et les données contre tout accès non autorisé. En outre, Motorola prévoit de lancer un certain nombre de modèles de téléphones mobiles dotés de fonctions de téléphonie Internet. Les combinés seront équipés d'un logiciel de téléphonie IP développé par Skype, qui permettra aux téléphones d'interagir à la fois avec les réseaux cellulaires et les réseaux Wi-Fi. Le partenariat entre les sociétés rendra la communication vocale sur Internet accessible non seulement aux utilisateurs d'ordinateurs personnels et d'ordinateurs de poche. Les propriétaires de nouveaux téléphones mobiles Motorola auront également la possibilité d'appeler partout dans le monde sans se soucier des énormes factures de services de communication.
2004. Cisco CallManager 4.1 : niveau de sécurité sans précédent
Cisco Systems annonce la sortie de nouvelles fonctionnalités de sécurité pour les systèmes de communication IP. La nouvelle solution - Cisco CallManager 4.1 - offre un niveau de sécurité accru pour les communications vocales et confirme une fois de plus le leadership de Cisco dans le domaine des technologies IP. Cisco CallManager 4.1 prend en charge le cryptage vocal sur les nouveaux téléphones IP Cisco 7940G et 7960G, ainsi que sur plus de 2,5 millions de téléphones IP Cisco 7940G et 7960G déjà installés. Le cryptage des données vocales garantit l'intégrité des conversations téléphoniques et le cryptage des informations sur les signaux protège contre la manipulation des paquets de signalisation téléphonique. Le logiciel Cisco CallManager 4.1 s'interface avec une large gamme de passerelles multimédia Cisco, y compris la famille de routeurs à services intégrés. La prise en charge du chiffrement pour les passerelles multimédia Cisco complète les puissantes capacités de voix sur réseau privé virtuel (V3PN) et de protection contre les menaces déjà incluses dans ces plates-formes.
2002. La nouvelle version d'Avaya IP Office 1.3 a été publiée
Avaya a introduit une nouvelle version de sa solution VoIP destinée aux petites et moyennes entreprises, Avaya IP Office 1.3. Avaya IP Office Release 1.3 inclut de nouveaux logiciels et matériels pour répondre aux diverses exigences commerciales. Le logiciel améliore les capacités du système pour prendre en charge une gamme plus large de téléphones IP Avaya, améliore la sécurité du système et offre davantage de fonctionnalités réseau. La nouvelle version autorise jusqu'à 256 utilisateurs et prend en charge jusqu'à deux conférences simultanées (jusqu'à 64 participants chacune) ou plusieurs conférences avec moins de participants sur une plate-forme matérielle étendue. Les fonctionnalités de sécurité incluent des modes de conférence spéciaux et un contrôle d'accès à l'aide de codes PIN. VoiceMail Pro vous permet d'automatiser la composition d'un numéro (appel par nom). Il existe également des fonctions de réponse vocale interactive (IVR) avec une interface API ouverte.
2002. Avaya a présenté une nouvelle solution pour la téléphonie IP sur VPN
Avaya a publié une nouvelle version d'Avaya VPNremote avec une prise en charge étendue des normes de réseau ouvertes. La nouvelle solution permettra aux entreprises d'organiser rapidement et efficacement l'accès des employés distants à toutes les capacités de communication utilisées dans les bureaux de l'organisation. Les téléphones IP Avaya basés sur la nouvelle version de VPNremote permettent aux travailleurs distants de travailler sur les réseaux Cisco Systems et Juniper Networks. Les nouvelles fonctionnalités Avaya VPNremote pour téléphones IP offrent un haut niveau de contrôle et de qualité de communication. Avaya VPNremote 2.0 est une solution logicielle qui améliore les téléphones IP Avaya avec des capacités d'accès sécurisées au réseau privé virtuel (VPN). Ainsi, les employés distants des entreprises ont la possibilité de travailler dans le réseau d'entreprise avec des communications de haute qualité. La nouvelle version d'Avaya VPNremote prend en charge les environnements VPN Cisco Systems et Juniper Networks.
2001. PGPfone - conversation sécurisée via VoIP et messagerie instantanée
PGPfone est un programme qui transforme votre ordinateur personnel ou portable en téléphone sécurisé. Afin de permettre d'effectuer des conversations téléphoniques sécurisées en temps réel (via des lignes téléphoniques et des canaux Internet), il utilise une technologie de compression audio et des protocoles cryptographiques puissants. Le son de votre voix reçu via le microphone est séquentiellement numérisé, compressé, crypté et envoyé par PGPfone à la personne à l'autre bout de la ligne qui utilise également PGPfone. Tous les protocoles cryptographiques et de compression sont sélectionnés de manière dynamique et transparente pour l'utilisateur, offrant ainsi une interface naturelle similaire à celle d'un téléphone ordinaire. Des protocoles de cryptographie à clé publique sont utilisés pour sélectionner la clé de chiffrement, de sorte qu'un canal sécurisé pour l'échange de clés n'est pas requis au préalable.
Un système de téléphonie IP doit offrir deux niveaux de sécurité : le système et les appels.
Les fonctions suivantes sont utilisées pour assurer la sécurité du système :
Empêcher l'accès non autorisé au réseau à l'aide d'un mot de passe partagé. Le mot de code est calculé simultanément à l'aide d'algorithmes standards sur les systèmes initiateur et final, et les résultats obtenus sont comparés. Lorsqu'une connexion est établie, chacun des deux systèmes de téléphonie IP identifie dans un premier temps l'autre système ; Si au moins un résultat négatif se produit, la connexion est terminée.
- Listes d'accès comprenant toutes les passerelles de téléphonie IP connues.
- Enregistrez les refus d’accès.
- Fonctions de sécurité de l'interface d'accès, y compris la vérification de l'ID utilisateur et du mot de passe avec un accès limité en lecture/écriture, la vérification des droits d'accès à un serveur WEB spécial pour l'administration.
- Fonctionnalités de sécurité des appels, y compris la vérification de l'ID utilisateur et du mot de passe (facultatif), le statut de l'utilisateur et le profil de l'abonné.
Lorsqu'une passerelle établit une connexion avec une autre passerelle dans sa zone, une vérification facultative de l'ID utilisateur et du mot de passe est effectuée. L'utilisateur peut être privé de ses droits d'accès à tout moment.
En effet, lors du développement du protocole IP, l'attention voulue n'a pas été accordée aux problèmes de sécurité de l'information, mais au fil du temps, la situation a changé et les applications IP modernes contiennent des mécanismes de sécurité suffisants. Et les solutions dans le domaine de la téléphonie IP ne peuvent exister sans la mise en œuvre de technologies standards d'authentification et d'autorisation, de contrôle d'intégrité et de cryptage, etc. Pour plus de clarté, considérons ces mécanismes tels qu'ils sont utilisés à différentes étapes de l'organisation d'une conversation téléphonique, en commençant par l'augmentation combinés téléphoniques et se terminant par un signal de raccrochage.
1. Poste téléphonique.
En téléphonie IP, avant que le téléphone n'envoie un signal pour établir une connexion, l'abonné doit saisir son identifiant et son mot de passe pour accéder à l'appareil et à ses fonctions. Cette authentification vous permet de bloquer toute action de tiers et de ne pas craindre que les utilisateurs d'autres personnes appellent une autre ville ou un autre pays à vos frais.
2. Établir une connexion.
Après avoir composé le numéro, le signal d'établissement de connexion est envoyé au serveur de gestion des appels approprié, où un certain nombre de contrôles de sécurité sont effectués. La première étape consiste à vérifier l'authenticité du téléphone lui-même, à la fois grâce à l'utilisation du protocole 802.1x et grâce à des certificats à clé publique intégrés à l'infrastructure de téléphonie IP. Cette vérification permet d'isoler les téléphones IP non autorisés installés sur le réseau, notamment dans un réseau à adressage dynamique. Des phénomènes similaires aux fameux centres d'appels vietnamiens sont tout simplement impossibles en téléphonie IP (bien sûr, à condition que les règles de construction d'un réseau téléphonique sécurisé soient respectées).
Cependant, l'affaire ne se limite pas à l'authentification téléphonique : il faut savoir si l'abonné a le droit d'appeler le numéro qu'il a composé. Il ne s’agit pas tant d’un mécanisme de sécurité que d’une mesure de prévention de la fraude. Si un ingénieur de l'entreprise n'est pas autorisé à utiliser les communications longue distance, la règle correspondante est immédiatement enregistrée dans le système de gestion des appels et, quel que soit le téléphone à partir duquel une telle tentative est effectuée, elle sera immédiatement arrêtée. De plus, vous pouvez spécifier des masques ou des plages de numéros de téléphone qu'un utilisateur particulier a le droit d'appeler.
Dans le cas de la téléphonie IP, des problèmes de communication similaires aux surcharges de ligne de la téléphonie analogique sont impossibles : avec une bonne conception du réseau avec des connexions de secours ou une duplication du serveur de contrôle d'appel, la défaillance des éléments de l'infrastructure de téléphonie IP ou leur surcharge n'a pas d'effet négatif. impact sur le fonctionnement du réseau.
3. Conversation téléphonique.
Dans la téléphonie IP, une solution au problème de la protection contre les écoutes clandestines a été apportée dès le début. Un haut niveau de confidentialité des communications téléphoniques est assuré par des algorithmes et des protocoles éprouvés (DES, 3DES, AES, IPSec, etc.) avec une absence quasi totale de coûts pour l'organisation d'une telle protection - tous les mécanismes nécessaires (cryptage, contrôle d'intégrité, hachage, échange de clés, etc. ) ont déjà été mis en œuvre dans des éléments d'infrastructure, allant d'un téléphone IP à un système de gestion d'appels. Dans le même temps, la protection peut être utilisée avec le même succès pour les conversations internes et externes (dans ce dernier cas, tous les abonnés doivent utiliser des téléphones IP).
Cependant, il existe un certain nombre de problèmes liés au cryptage que vous devez garder à l'esprit lors de la mise en œuvre d'une infrastructure VoIP. Premièrement, il existe un délai supplémentaire dû au cryptage/déchiffrement, et deuxièmement, les frais généraux augmentent en raison de l'augmentation de la longueur des paquets transmis.
4. Fonctionnalité invisible.
Jusqu'à présent, nous n'avons considéré que les dangers auxquels la téléphonie traditionnelle est exposée et qui peuvent être éliminés par l'introduction de la téléphonie IP. Mais la transition vers le protocole IP entraîne un certain nombre de nouvelles menaces qui ne peuvent être ignorées. Heureusement, des solutions, technologies et approches éprouvées existent déjà pour se protéger contre ces menaces. La plupart d’entre eux ne nécessitent aucun investissement financier, étant déjà mis en œuvre dans les équipements réseau qui sous-tendent toute infrastructure de téléphonie IP.
La chose la plus simple qui puisse être faite pour améliorer la sécurité des conversations téléphoniques lorsqu'elles sont transmises sur le même système de câble que les données ordinaires est de segmenter le réseau à l'aide de la technologie VLAN pour empêcher les utilisateurs ordinaires d'écouter les conversations. De bons résultats sont obtenus en utilisant un espace d'adressage séparé pour les segments de téléphonie IP. Et bien sûr, il ne faut pas négliger les règles de contrôle d'accès sur les routeurs (Access Control List, ACL) ou les pare-feu, dont l'utilisation rend difficile la connexion des attaquants aux segments vocaux.
5. Communication avec le monde extérieur.
Quels que soient les avantages offerts par la téléphonie IP au sein du réseau interne de l'entreprise, ils seront incomplets sans la possibilité de passer et de recevoir des appels vers des numéros fixes. Dans ce cas, en règle générale, il s'agit de convertir le trafic IP en un signal transmis sur le réseau téléphonique public (PSTN). Ce problème est résolu grâce à l'utilisation de passerelles vocales spéciales, qui mettent également en œuvre certaines fonctions de protection, la plus importante d'entre elles étant le blocage de tous les protocoles de téléphonie IP (H.323, SIP, etc.) si leurs messages proviennent d'un segment non vocal. .
Pour protéger les éléments de l'infrastructure vocale contre d'éventuelles influences non autorisées, des solutions spécialisées peuvent être utilisées - pare-feu (FWE), passerelles de couche application (ALG) et contrôleurs de frontière de session (Session Border Controller). En particulier, RTP utilise des ports UDP dynamiques qui, lorsqu'ils sont ouverts sur un pare-feu, créent une faille de sécurité béante. Le pare-feu doit donc déterminer dynamiquement les ports utilisés pour la communication, les ouvrir au moment de la connexion et les fermer une fois celle-ci terminée. Une autre caractéristique est qu'un certain nombre de protocoles, par exemple SIP, placent des informations sur les paramètres de connexion non pas dans l'en-tête du paquet, mais dans le corps des données. Par conséquent, le dispositif de sécurité doit être capable d'analyser non seulement l'en-tête, mais également le corps des données du paquet, en extrayant toutes les informations nécessaires pour organiser une connexion vocale. Une autre limitation est la difficulté d’utiliser simultanément les ports dynamiques et le NAT.
Téléphonie IP ? Elle aussi est attaquée ! Principe de fonctionnement
Le principe de fonctionnement de la technologie de téléphonie IP est simple. Son élément central est le serveur (passerelle), qui se charge de connecter les réseaux téléphoniques et IP, c'est-à-dire il est connecté à la fois au réseau téléphonique et peut joindre n'importe quel téléphone ordinaire, et à un réseau de données (par exemple Internet) et peut accéder à n'importe quel ordinateur. Les fonctions de cet appareil comprennent :
Répondre pour prendre l'appelant
Établir une connexion avec une passerelle distante et l'appelé
Numérisation (encodage), compression, mise en paquets et restauration du signal
Cette passerelle (par exemple, Cisco Catalyst 4000 Access Gateway Module ou Cisco VG200) reçoit un signal téléphonique ordinaire en entrée, le numérise (si le signal n'est pas numérique) et compresse les données reçues, après quoi elle les transmet au réseau IP en sous forme de paquets réguliers (mais pas de très grande taille). A l'autre extrémité, la passerelle rétablit le signal dans l'ordre inverse. Ce composant ne doit pas être utilisé si vous ne prévoyez pas d'intégrer vos téléphones IP au réseau téléphonique public (voir Fig. 1).
Afin de pouvoir construire un réseau de téléphonie IP distribué, il est nécessaire de disposer d'un répartiteur chargé de distribuer les appels entre les passerelles (par exemple, Cisco CallManager). En plus de cette tâche, le répartiteur effectue l'authentification et l'autorisation des abonnés, et dispose également d'une interface avec le système de facturation.
Pour faciliter l'administration d'un grand nombre de passerelles et de répartiteurs distants, un logiciel spécial appelé moniteur peut être utilisé. Et enfin, le dernier élément obligatoire d'un réseau de téléphonie IP est le point d'abonné, qui peut être implémenté soit de manière logicielle (par exemple, Cisco IP SoftPhone), soit matériellement (par exemple, Cisco IP Phone, connecté directement au port Ethernet de l'interrupteur). De plus, dans le premier cas, les appels peuvent être passés même via un ordinateur domestique équipé d'une carte son et d'un microphone, et dans le second cas, le point dit d'abonné fait office de point d'abonné. Téléphone IP. Un autre composant de l'architecture de téléphonie IP peut être appelé les applications utilisateur spécialisées nées de l'intégration de la voix, de la vidéo et des données (centres d'appels, systèmes de messagerie unifiée).
Pourquoi la téléphonie IP est-elle attaquée ?
Les réseaux de téléphonie IP constituent une bonne cible pour les pirates. Certains d’entre eux peuvent vous faire une farce en vous envoyant un message vocal de la part de la direction de l’entreprise. Quelqu'un voudra peut-être accéder à la boîte vocale de votre direction ou même intercepter des données vocales sur les transactions financières échangées entre les employés du service financier ou comptable. Vos concurrents voudront peut-être nuire à votre réputation en désactivant les passerelles et les répartiteurs, perturbant ainsi la disponibilité des services téléphoniques pour vos abonnés, ce qui pourrait également nuire à l'activité de vos clients. Il existe d'autres raisons, par exemple les appels aux frais de quelqu'un d'autre (vol de service).
Menaces possibles
Le principal problème de la sécurité de la téléphonie IP est qu’elle est trop ouverte et qu’elle permet aux attaquants d’attaquer relativement facilement ses composants. Bien que de tels cas d'attaques soient pratiquement inconnus, ils peuvent être menés si vous le souhaitez, car les attaques sur les réseaux IP classiques peuvent être dirigées vers les réseaux vocaux numérisés sans pratiquement aucun changement. D'un autre côté, la similitude des réseaux IP classiques et des réseaux de téléphonie IP nous indique également les moyens de les protéger, mais nous y reviendrons un peu plus tard.
Les attaques contre la téléphonie classique sont également applicables à son cousin IP : la lanterne.
La téléphonie IP, étant un parent direct de la téléphonie conventionnelle et de la technologie IP, a absorbé non seulement leurs avantages, mais aussi leurs inconvénients. Ceux. les attaques inhérentes à la téléphonie classique peuvent également être appliquées à sa composante IP. Je vais en énumérer quelques-uns, dont certains que j'examinerai plus en détail :
Écoutes téléphoniques
Déni de service
Substitution de numéro
Vol de services
Des défis inattendus
Modification de configuration non autorisée
Fraude au compte.
Interception de données
L'interception de données constitue le plus gros problème de la téléphonie conventionnelle et de sa cousine IP.
Cependant, dans ce dernier cas, ce danger est beaucoup plus élevé, car l'attaquant n'a plus besoin d'avoir un accès physique à la ligne téléphonique. Ce qui aggrave la situation est le fait que de nombreux protocoles construits au-dessus de la pile TCP/IP transmettent les données en texte clair. HTTP, SMTP, IMAP, FTP, Telnet, SQL*net et, entre autres, les protocoles de téléphonie IP souffrent de ce péché. Un attaquant ayant réussi à intercepter le trafic vocal IP (qui n'est pas chiffré par défaut entre les passerelles) peut facilement restaurer les conversations d'origine. Il existe même des outils automatisés pour cela. Par exemple, l'utilitaire vomit (Voice Over Misconfigured Internet Telephones), qui convertit les données obtenues à la suite d'une interception de trafic à l'aide de l'analyseur de protocole tcpdump distribué gratuitement en un fichier WAV standard pouvant être écouté à l'aide de n'importe quel lecteur informatique. Cet utilitaire vous permet de convertir les données vocales transmises à l'aide des téléphones IP Cisco et compressées à l'aide du codec G.711. De plus, en plus des écoutes non autorisées, les attaquants peuvent retransmettre les messages vocaux interceptés (ou des fragments de ceux-ci) pour atteindre leurs objectifs.
Cependant, je voudrais immédiatement souligner que l'interception de données vocales n'est pas une tâche aussi simple qu'il y paraît à première vue. L'attaquant doit disposer d'informations sur les adresses des passerelles ou des points d'abonnés, les protocoles VoIP utilisés (par exemple, H.323) et les algorithmes de compression (par exemple, G.711). Sinon, il sera difficile pour un attaquant de configurer un logiciel pour intercepter le trafic, ou le volume de données interceptées et le temps nécessaire à leur analyse dépasseront toutes les limites autorisées.
L'interception des données peut être effectuée aussi bien depuis l'intérieur du réseau d'entreprise que depuis l'extérieur. Un attaquant expérimenté ayant accès au support physique de transmission des données peut connecter son téléphone IP au commutateur et ainsi écouter les conversations d'autres personnes. Il peut également modifier les itinéraires du trafic réseau et devenir le nœud central du réseau d’entreprise par lequel transite le trafic d’intérêt. De plus, si dans le réseau interne vous pouvez, avec un certain degré de probabilité, détecter un appareil non autorisé qui intercepte les données vocales, alors dans le réseau externe, il est presque impossible de détecter les succursales. Par conséquent, tout trafic non chiffré quittant le réseau de l’entreprise doit être considéré comme non sécurisé.
Déni de service
La communication téléphonique traditionnelle garantit toujours la qualité de la communication même sous des charges élevées, ce qui n'est pas un axiome pour la téléphonie IP. Une charge élevée sur le réseau dans lequel les données vocales numérisées sont transmises entraîne une distorsion importante, voire la perte de certains messages vocaux. Par conséquent, l'une des attaques contre la téléphonie IP peut consister à envoyer un grand nombre de paquets « de bruit » au serveur de téléphonie IP, qui obstruent le canal de transmission de données, et si une certaine valeur seuil est dépassée, ils peuvent même désactiver une partie du Réseau de téléphonie IP (c'est-à-dire attaque par déni de service). Ce qui est typique, c'est que pour mettre en œuvre une telle attaque, il n'est pas nécessaire de « réinventer la roue » - il suffit d'utiliser les célèbres attaques DoS Land, Ping of Death, Smurf, UDP Flood, etc. Une solution à ce problème est la réservation de bande passante, qui peut être réalisée à l'aide de protocoles modernes tels que RSVP. Les méthodes de protection seront discutées plus en détail ci-dessous.
Le déni de service est un problème sérieux pour les appareils de téléphonie IP. - lampe de poche
Substitution de numéro
Pour communiquer avec un abonné dans un réseau téléphonique classique, il faut connaître son numéro, et en téléphonie IP, le rôle du numéro de téléphone est joué par l'adresse IP. Par conséquent, il est possible qu'un attaquant, utilisant l'usurpation d'adresse, puisse usurper l'identité de l'abonné dont vous avez besoin. C'est pourquoi la tâche consistant à garantir l'authentification n'est pas ignorée dans toutes les normes VoIP existantes et sera abordée un peu plus tard.
Attaques de points d'abonnés
Il faut comprendre que les points d'abonné installés sur un ordinateur personnel sont des appareils moins sécurisés que les téléphones IP spéciaux. Cette thèse s'applique également à tout autre composant logiciel de téléphonie IP. Cela est dû au fait que de tels composants ne peuvent pas être menés uniquement contre des attaques spécifiques à la téléphonie IP. L'ordinateur lui-même et ses composants (système d'exploitation, programmes d'application, bases de données, etc.) sont sensibles à diverses attaques qui peuvent également affecter les composants de téléphonie IP. Par exemple, les vers Internet Red Code, Nimda, divers chevaux de Troie et virus, les attaques DoS et leurs modifications distribuées - tout cela peut, sinon désactiver l'infrastructure voix IP, alors perturber considérablement son fonctionnement. Dans le même temps, même si aucune vulnérabilité n'est trouvée dans le logiciel lui-même (pour le moment), d'autres composants logiciels tiers utilisés par celui-ci (en particulier les plus connus) peuvent réduire la sécurité globale à zéro. Après tout, la règle générale est connue depuis longtemps : « la sécurité de l’ensemble du système est égale à la sécurité de son maillon le plus faible ». A titre d'exemple, on peut citer Cisco CallManager, qui utilise pour son fonctionnement Windows 2000 Server, MS Internet Information Server et MS SQL Server, chacun présentant son propre ensemble de failles.
Attaques contre les répartiteurs
Les attaquants peuvent également attaquer des nœuds (Gatekeeper en termes H.323 ou Redirect server en termes SIP) qui stockent des informations sur les conversations des utilisateurs (noms des abonnés, heure, durée, raison de la fin de l'appel, etc.). Cela peut être fait à la fois dans le but d'obtenir des informations confidentielles sur les conversations elles-mêmes, et dans le but de modifier, voire de supprimer ces données. Dans ce dernier cas, le système de facturation (par exemple un opérateur télécom) ne sera pas en mesure de facturer correctement ses clients, ce qui risque de perturber ou d'endommager toute l'infrastructure de téléphonie IP.
Normes de téléphonie IP et leurs mécanismes de sécurité
L'absence de normes uniformes acceptées dans ce domaine (voir Fig. 2) ne permet pas l'élaboration de recommandations universelles pour la protection des appareils de téléphonie IP. Chaque groupe de travail ou constructeur résout à sa manière les problèmes d'assurer la sécurité des passerelles et des répartiteurs, ce qui conduit à la nécessité de les étudier attentivement avant de choisir des mesures de protection adéquates.
Sécurité H.323
H.323 est un protocole qui vous permet de construire un système VoIP du début à la fin. H.323 comprend un certain nombre de spécifications, incl. et H.235, qui met en œuvre certains mécanismes de sécurité (authentification, intégrité, confidentialité et non-répudiation) pour les données vocales.
L'authentification dans le cadre de la norme H.323 peut être mise en œuvre soit à l'aide d'algorithmes de cryptographie symétrique (dans ce cas, aucun échange préalable n'est requis entre les appareils en interaction et n'est pas aussi intensivement chargé sur le processeur central), soit à l'aide de certificats ou de mots de passe. De plus, la spécification H.235 permet l'utilisation d'IPSec comme mécanisme d'authentification, dont l'utilisation est également recommandée dans d'autres normes de téléphonie IP.
Après avoir établi une connexion sécurisée, qui s'effectue via le port TCP 1300, les nœuds participant à l'échange de données vocales échangent des informations sur la méthode de cryptage, qui peut être utilisée au niveau du transport (cryptage des paquets du protocole RTP) ou du réseau (en utilisant IPSec). .
Sécurité SIP
Ce protocole, similaire à HTTP et utilisé par les points d'abonnés pour établir des connexions (pas nécessairement téléphoniques, mais aussi par exemple pour les jeux), ne dispose pas d'une sécurité sérieuse et est axé sur l'utilisation de solutions tierces (par exemple, PGP ). En tant que mécanisme d'authentification, la RFC 2543 propose plusieurs options et, en particulier, l'authentification de base (comme en HTTP) et l'authentification basée sur PGP. Pour tenter de remédier au faible niveau de sécurité du protocole, Michael Thomas de Cisco Systems a développé un projet de norme IETF appelé « cadre de sécurité SIP » qui décrit les menaces externes et internes pesant sur le protocole SIP et comment s'en protéger. Ces méthodes incluent notamment une protection au niveau du transport utilisant TLS ou IPSec. À propos, Cisco, dans son architecture de sécurité des réseaux d'entreprise SAFE, accorde une grande attention aux problèmes pratiques de sécurité de la téléphonie IP.
Sécurité MGCP
La norme MGCP, définie dans la RFC 2705 et non applicable aux points finaux (les passerelles MGCP peuvent gérer à la fois les composants compatibles H.323 et SIP), utilise le protocole ESP de la spécification IPSec pour protéger les données vocales. Le protocole AH peut également être utilisé (mais pas dans les réseaux IPv6), qui assure l'authentification, l'intégrité sans connexion et la protection contre les rediffusions transmises entre les passerelles. Dans le même temps, le protocole AH n'assure pas la confidentialité des données, ce qui est obtenu grâce à l'utilisation d'ESP (avec les trois autres fonctions de sécurité).
Sécurité
Choisir la bonne topologie
Il n'est pas recommandé d'utiliser des hubs pour l'infrastructure VoIP, car ils permettent aux attaquants d'intercepter plus facilement les données. De plus, parce que la voix numérisée transite généralement par le même système de câble et par le même équipement réseau que les données ordinaires ; il convient de délimiter correctement les flux d'informations entre eux. Ceci, par exemple, peut être fait en utilisant le mécanisme VLAN (cependant, vous ne devez pas vous fier uniquement à eux). Il est conseillé de placer les serveurs participant à l'infrastructure de téléphonie IP dans un segment de réseau distinct (voir Fig. 3), protégé non seulement par les mécanismes de protection intégrés aux commutateurs et routeurs (listes de contrôle d'accès, traduction d'adresses et détection d'attaques), mais également en utilisant des outils de sécurité supplémentaires installés (pare-feu, systèmes de détection d'attaques, systèmes d'authentification, etc.).
N'oubliez pas que la transmission de données vocales sur votre réseau d'entreprise laisse une empreinte particulière sur sa conception. Vous devez accorder une grande attention aux problèmes de haute disponibilité et de tolérance aux pannes. Si les utilisateurs peuvent encore s'habituer à une panne de courte durée d'un serveur Web ou d'un système de messagerie, ils ne pourront pas s'habituer à une interruption de la communication téléphonique. Un réseau téléphonique classique tombe si rarement en panne que de nombreux utilisateurs attribuent naturellement la propriété d'un fonctionnement sans panne à son homologue IP. Par conséquent, une défaillance dans le fonctionnement de l’infrastructure VoIP peut miner la confiance des utilisateurs, ce qui peut conduire à un refus de l’utiliser et causer des dommages matériels à son propriétaire.
Sécurité physique
Il est conseillé d'interdire l'accès des utilisateurs non autorisés aux équipements réseau, incl. et les commutateurs et, si possible, placer tous les équipements non-abonnés dans des salles de serveurs spécialement équipées. Cela empêchera la connexion non autorisée de l'ordinateur d'un attaquant. De plus, vous devez régulièrement vérifier les appareils non autorisés connectés au réseau qui peuvent être « intégrés » directement dans le câble réseau. Pour identifier de tels appareils, vous pouvez utiliser diverses méthodes, incl. et des scanners (par exemple, Internet Scanner ou Nessus), qui déterminent à distance la présence d'appareils « étrangers » sur le réseau.
Contrôle d'accès
Un autre moyen assez simple de protéger votre infrastructure VoIP consiste à contrôler les adresses MAC. N'autorisez pas les téléphones IP avec des adresses MAC inconnues à accéder aux passerelles et autres éléments du réseau IP qui transmettent des données vocales. Cela empêchera la connexion non autorisée de téléphones IP « étrangers » qui pourraient écouter vos conversations ou effectuer des communications téléphoniques à vos frais. Bien sûr, l’adresse MAC peut être falsifiée, mais il ne faut quand même pas négliger une mesure de protection aussi simple, qui peut être mise en œuvre sans aucun problème sur la plupart des commutateurs et même des hubs modernes. Les nœuds (principalement les passerelles, les répartiteurs et les moniteurs) doivent être configurés pour bloquer toutes les tentatives non autorisées d'y accéder. Pour ce faire, vous pouvez utiliser à la fois les capacités intégrées aux systèmes d'exploitation et aux produits tiers. Et comme nous travaillons en Russie, je recommande d'utiliser des produits certifiés par la Commission technique d'État de Russie, d'autant plus qu'il existe de nombreux produits de ce type.
VLAN
La technologie de réseau local virtuel (VLAN) permet de diviser de manière sécurisée un réseau physique en plusieurs segments isolés qui fonctionnent indépendamment les uns des autres. En téléphonie IP, cette technologie permet de séparer la transmission vocale de la transmission classique de données (fichiers, e-mails, etc.). Les répartiteurs, passerelles et téléphones IP sont placés sur un VLAN dédié à la voix. Comme je l'ai noté ci-dessus, le VLAN rend la vie beaucoup plus difficile aux attaquants, mais n'élimine pas tous les problèmes d'écoute clandestine des conversations. Il existe des techniques qui permettent aux attaquants d'intercepter des données même dans un environnement commuté.
Chiffrement
Le cryptage doit être utilisé non seulement entre les passerelles, mais également entre le téléphone IP et la passerelle. Cela protégera l’intégralité du chemin emprunté par les données vocales d’un bout à l’autre. La confidentialité fait non seulement partie intégrante de la norme H.323, mais est également implémentée dans les équipements de certains fabricants. Cependant, ce mécanisme n’est quasiment jamais utilisé. Pourquoi? Parce que la qualité de la transmission des données est une priorité absolue et que le cryptage/déchiffrement continu d'un flux de données vocales prend du temps et introduit souvent des retards inacceptables dans le processus de transmission et de réception du trafic (un délai de 200 à 250 ms peut réduire considérablement le qualité des conversations). De plus, comme mentionné ci-dessus, l’absence d’une norme unique ne permet pas à tous les fabricants d’adopter un algorithme de chiffrement unique. Cependant, en toute honnêteté, il faut dire que les difficultés d'interception du trafic vocal permettent jusqu'à présent de fermer les yeux sur son cryptage.
À propos, si vous décidez d'utiliser le cryptage, n'oubliez pas qu'en cryptant les données vocales, vous les cachez non seulement à un attaquant, mais également aux outils d'assurance qualité (QoS) qui ne seront pas en mesure de leur fournir la bande passante appropriée. et service prioritaire. Après avoir éliminé un problème (vulnérabilité), vous en faites face à un autre (qualité de service). Et vous pouvez être sûr que dans cette situation vous préférerez résoudre le deuxième problème, en négligeant la solution du premier. Soit dit en passant, tout ne peut pas non plus être crypté. Il n'est pas recommandé de chiffrer les protocoles de signalisation utilisés dans la téléphonie IP, car dans ce cas, vous chiffrerez toutes les informations de service nécessaires au maintien de la fonctionnalité de l'ensemble du réseau.
Mais il ne faut pas renoncer d’emblée au chiffrement : il reste nécessaire pour sécuriser vos négociations. Par conséquent, il vaut la peine d’aborder judicieusement le cryptage des données VoIP. Par exemple, Cisco recommande d'utiliser la commande Crypto dans le système d'exploitation IOS de votre équipement au lieu d'utiliser un tunnel GRE ou d'utiliser les concentrateurs VPN Cisco VPN 3000, qui permettent de protéger les données tout en conservant la qualité de service. De plus, vous pouvez utiliser le cryptage sélectif uniquement pour certains champs des paquets VoIP.
Pare-feu
Pour protéger un réseau d'entreprise, on utilise généralement des pare-feu, qui peuvent tout aussi bien
peut également être utilisé pour protéger l’infrastructure VoIP. La seule chose à faire est d'ajouter un certain nombre de règles prenant en compte la topologie du réseau, l'emplacement des composants de téléphonie IP installés, etc. Par exemple, l'accès à Cisco CallManager depuis Internet ou un réseau de périmètre est généralement bloqué, mais lors de l'utilisation de la gestion basée sur le Web, cet accès doit être autorisé, mais uniquement sur le port 80 et uniquement pour une plage limitée d'adresses externes. Et pour protéger le serveur SQL inclus dans Cisco CallManager, vous pouvez refuser l'accès depuis tous les ports sauf 1433.
À propos, il existe deux types de pare-feu qui peuvent être utilisés pour protéger les composants de téléphonie IP. Le premier d'entre eux, corporate, s'installe à la sortie du réseau d'entreprise et protège toutes ses ressources d'un seul coup. Un exemple d'un tel pare-feu est le pare-feu CiscoSecure PIX. Le deuxième type est personnel, protégeant un seul nœud spécifique, qui peut héberger un point d'abonné, une passerelle ou un répartiteur. Des exemples de tels pare-feu personnels sont RealSecure Desktop Protector ou BlackICE PC Protector. De plus, certains systèmes d'exploitation (tels que Linux ou Windows 2000) disposent de pare-feu personnels intégrés, qui peuvent être utilisés pour améliorer la sécurité de votre infrastructure VoIP. Selon la norme de téléphonie IP utilisée, l'utilisation de pare-feu peut entraîner différents problèmes. Par exemple, une fois que les stations d'abonnés ont échangé des informations sur les paramètres de connexion à l'aide du protocole SIP, toutes les interactions s'effectuent via des ports alloués dynamiquement avec des numéros supérieurs à 1023. Dans ce cas, l'UIT « ne sait pas » à l'avance quel port sera utilisé. pour l'échange de données vocales et, par conséquent, cet échange sera bloqué. Le pare-feu doit donc être capable d'analyser les paquets SIP afin de déterminer les ports utilisés pour la communication et de créer ou modifier dynamiquement ses règles. Une exigence similaire s'applique aux autres protocoles de téléphonie IP.
Un autre problème est lié au fait que tous les pare-feu ne sont pas capables de traiter de manière compétente non seulement l'en-tête du protocole de téléphonie IP, mais également son corps de données, car des informations souvent importantes y sont contenues. Par exemple, les informations sur les adresses des abonnés dans le protocole SIP se trouvent dans le corps des données. L'incapacité d'un pare-feu à « aller au fond des choses » peut empêcher les communications vocales de traverser le pare-feu ou laisser un trou dans le pare-feu trop grand pour que les attaquants puissent l'exploiter.
Authentification
Divers téléphones IP prennent en charge des mécanismes d'authentification qui vous permettent d'utiliser ses capacités uniquement après avoir présenté et vérifié un mot de passe ou un code PIN personnel permettant à l'utilisateur d'accéder au téléphone IP. Cependant, il convient de noter que cette solution n'est pas toujours pratique pour l'utilisateur final, notamment dans des conditions d'utilisation quotidienne d'un téléphone IP. La contradiction habituelle « sécurité ou commodité » surgit.
RFC 1918 et traduction d'adresses
Il n'est pas recommandé d'utiliser des adresses IP accessibles depuis Internet pour la VoIP - cela réduit considérablement le niveau global de sécurité de l'infrastructure. Par conséquent, dans la mesure du possible, utilisez les adresses spécifiées dans la RFC 1918 (10.x.x.x, 192.168.x.x, etc.) qui ne sont pas routables sur Internet. Si cela n'est pas possible, vous devez alors utiliser le mécanisme de traduction d'adresses réseau (NAT) sur le pare-feu protégeant votre réseau d'entreprise.
Systèmes de détection d'attaques
Nous avons déjà évoqué ci-dessus certaines attaques pouvant perturber le fonctionnement de l’infrastructure VoIP. Pour vous en protéger, vous pouvez utiliser des systèmes de détection d'intrusion éprouvés et bien connus en Russie, qui non seulement identifient rapidement les attaques, mais les bloquent également, les empêchant ainsi de nuire aux ressources du réseau d'entreprise. De tels outils peuvent protéger à la fois des segments de réseau entiers (par exemple, RealSecure Network Sensor ou Snort) et des nœuds individuels (par exemple, CiscoSecure IDS Host Sensor ou RealSecure Server Sensor).
- Didacticiel
Bonjour Habr!
Cette fois, je souhaite parler des technologies de cryptage pour les appels VoIP, de la protection offerte par les différentes approches et de la manière d'organiser la communication vocale la plus sécurisée contre les écoutes clandestines avec des garanties de sécurité technologiques.
Dans cet article, je vais essayer d'expliquer clairement les fonctionnalités de technologies telles que SIP\TLS, SRTP et ZRTP. Et je démontrerai des modèles d'utilisation spécifiques en utilisant notre service ppbbxx.com comme exemple.
Un peu de théorie
Tout appel VoIP se compose de 2 composantes principales : l'échange d'informations de signalisation et la transmission de flux multimédias vocaux et/ou vidéo entre utilisateurs.Dans un premier temps, lors du processus d'échange d'informations de signalisation, les clients directement ou via le serveur s'accordent entre eux sur les paramètres de l'appel établi. Si la communication est établie à l'aide d'un serveur, sur la base des informations de signalisation, le serveur autorise le client, détermine qui appelle qui et effectue le routage et la commutation. Grâce aux données du protocole de signalisation, les clients et le serveur s'accordent sur la méthode de cryptage, les codecs média utilisés, échangent des adresses IP et des numéros de port où la réception média est attendue, etc. Cela se produit via des protocoles tels que SIP, XMPP et autres.
La « conversation » elle-même, c'est-à-dire l'échange de données vocales entre clients, se produit généralement via le protocole RTP. Les données sont transmises en interne sous la forme convenue entre les clients et le serveur au stade de la « signalisation ». L'échange vocal est possible aussi bien directement entre clients que via un serveur intermédiaire. Dans le second cas, le serveur peut aider les clients à parcourir le NAT et à choisir les codecs.
Alors, qu’est-ce qu’un appel VoIP crypté ? Nous parlerons ensuite du protocole SIP comme étant le plus populaire.
Comme nous l'avons déjà découvert, un appel se compose d'un signal et de parties multimédia, chacune pouvant être cryptée séparément à l'aide de méthodes de protocole spéciales. SIP\TLS est utilisé pour crypter les informations de signalisation, et les protocoles ZRTP et SRTP sont utilisés pour crypter la « voix ».
SIP/TLS- en gros, un analogue du HTTPS pour le SIP classique. Le protocole permet à un client de vérifier qu'il communique avec le bon serveur, à condition que le client fasse confiance au certificat fourni par le serveur. Vous pouvez en savoir plus sur Wikipédia
SRTP Et ZRTP- ce sont deux manières différentes de chiffrer les flux RTP. La différence fondamentale entre les deux est que l'échange de clé pour SRTP se produit lors de la signalisation (à la première étape de signalisation de l'établissement de l'appel). Et pour ZRTP, immédiatement au début de l'échange de paquets RTP (dans la deuxième partie « média ») en utilisant un protocole spécial basé sur la méthode de cryptographie Diffie-Hellman.
Il est important que pour SRTP, une condition préalable à un cryptage fiable des appels soit l'utilisation simultanée de SIP\TLS + SRTP, sinon il ne sera pas difficile pour un attaquant d'obtenir les clés (qui seront transmises via SIP non crypté) et d'écouter le conversation. Bien que cela ne soit pas important pour ZRTP, le flux RTP sera crypté de manière sécurisée, que la signalisation soit cryptée ou non. De plus, le protocole peut détecter la présence d'un « homme au milieu » (y compris les serveurs de services !) entre les clients s'exprimant directement. Cela garantit que la conversation ne peut pas être écoutée, du moins du point de vue de l'écoute réseau/média.
Schéma de connexion pour les clients SIP avec différents paramètres de chiffrement :
On distingue les schémas suivants pour installer un appel crypté :
- Les deux utilisateurs utilisent SIP\TLS et SRTP. Dans ce cas, l'échange de clés pour le cryptage multimédia s'effectue via un protocole de signalisation sécurisé. La confiance dans le serveur impliqué dans l'établissement de la connexion est supposée. Les étrangers ne peuvent accéder ni aux informations de signalisation ni aux données vocales. L'inconvénient est que l'utilisateur n'est pas informé au niveau du protocole (client) et n'est pas convaincu que le deuxième utilisateur utilise également une connexion cryptée au serveur.
- Les deux utilisateurs utilisent ZRTP, tandis que la voix passe par le serveur. Dans ce cas, le serveur est défini par le protocole ZRTP comme Trusted MitM (man in the middle). Les clés sont échangées selon un algorithme basé sur la méthode Diffie-Hellman (qui garantit l'impossibilité des écoutes téléphoniques) via le protocole RTP. Si un SIP/TLS sécurisé est utilisé, les personnes extérieures ne peuvent pas non plus accéder aux informations de signalisation ou à la « voix ». Comme dans la première option, la confiance dans le serveur de commutation est supposée, mais contrairement à lui, pour un cryptage vocal fiable Pas l'utilisation obligatoire de SIP\TLS sécurisé est requise. De plus, contrairement à la première option, chaque utilisateur voit que la conversation est cryptée sur le serveur des deux côtés, et également que les deux sont connectés au même serveur (de confiance).
- Les deux utilisateurs utilisent ZRTP, mais les médias sont installés directement entre les clients. Étant donné que l'échange de clés a lieu directement entre clients, même le serveur qui a effectué la commutation ne peut pas écouter la conversation. Dans ce cas, les deux clients affichent des informations indiquant qu'une session de communication directe sécurisée a été établie. Vous pouvez le vérifier en vérifiant les SAS (chaînes d'autorisation courtes) - elles seront identiques. Si vous devez masquer les informations de signalisation aux tiers, vous devez utiliser SIP\TLS. C'est l'option la plus sûre, mais dans ce cas, le serveur ne sera pas en mesure d'exécuter de nombreuses fonctions qui lui sont exécutées dans d'autres situations, par exemple, enregistrer directement une conversation, transcoder la voix pour les clients avec des paramètres de codec audio différents, etc.
- Un utilisateur utilise la première méthode décrite ci-dessus et l'autre utilise la seconde. Dans ce cas, la confiance dans le serveur est également requise. Les informations de signalisation sont cryptées à l'aide de SIP\TLS. Pour un utilisateur avec ZRTP, le protocole signalera qu'une connexion cryptée a été établie avec le serveur (End at MitM). Il est impossible de savoir si le cryptage est utilisé de l'autre côté au niveau du protocole.
Finissons avec la théorie et passons à la pratique ! Nous allons configurer notre propre serveur SIP, créer des utilisateurs SIP, installer des clients SIP et apprendre à passer des appels cryptés à l'aide du service de téléphonie cloud gratuit ppbbxx.com
Réglage du serveur
Vous devez d'abord créer votre propre serveur. Pour ce faire, vous devez vous rendre sur le site Web du service ppbbxx.com, procéder à une simple inscription et accéder à l'interface des paramètres.
Tout d'abord, allons à la section " Réseau interne -> Domaines" et créez votre propre domaine pour ne pas être limité dans le choix des noms d'utilisateurs SIP. Vous pouvez garer votre domaine ou créer un sous-domaine personnel dans l'une des zones de service.
De plus, il est nécessaire dans la section " Réseau interne -> Utilisateurs Sip"créez des utilisateurs SIP et configurez certains paramètres de leurs clients. Les noms des utilisateurs SIP peuvent être arbitraires, mais comme il est plus pratique de composer des numéros sur les téléphones logiciels et matériels, nous créerons des identifiants de la forme [email protégé] etc. J'ai entré 1000, 1001, 1002, 1003. Après avoir créé l'identifiant SIP, n'oubliez pas de cliquer sur le bouton « Enregistrer ». S'il n'y a plus de formulaires non remplis dans l'interface des paramètres, le système ne se plaindra pas et affichera le journal des modifications avec le statut « Terminé ».
Ensuite, vous devez configurer les codecs et les méthodes de cryptage utilisés. Pour ce faire, cliquez sur l'icône d'engrenage à gauche de l'ID SIP. Je prévois d'utiliser un client SIP (CSipSimple) sur un smartphone et souhaite utiliser la méthode de cryptage ZRTP donc dans " basique"dans l'onglet paramètres je sélectionne les codecs G729 et SILK, et dans l'onglet " protection"Méthode ZRTP.
Vous pouvez choisir d'autres options. Il est seulement important de noter que les paramètres du compte SIP dans l'interface du service doit correspondre paramètres dans le client SIP. Cela est nécessaire pour garantir une communication correcte entre les clients avec des paramètres de codec et de cryptage différents. N'oubliez pas non plus de sauvegarder la configuration créée.
En général, cela suffit pour mettre en place la configuration la plus simple. Vous pouvez configurer les clients SIP et appeler entre eux en composant leurs numéros 1000, 1001, 1002, 1003. Si vous le souhaitez, vous pouvez y ajouter une passerelle SIP générale pour les appels vers le réseau téléphonique et configurer le routage d'appel approprié. Mais, dans ce cas, il s’agit d’un schéma d’utilisation du service légèrement différent, qui nécessite un autre type de mesures de sécurité plutôt que le cryptage du trafic vers la passerelle.
Passons à la configuration des clients SIP
Comme je l'ai déjà dit, je prévois d'utiliser CSipSimple sur les smartphones Android. La première chose à faire est d'installer le client à l'aide du Play Market standard, ou de le télécharger depuis le site Web du fabricant, qui ouvre d'ailleurs le code source de son client, ce qui dans certains cas peut avoir une signification presque sacrée. Vous devez installer le client lui-même et des codecs supplémentaires. J'ai installé "CSipSimple", "Codec Pack for CSipSimple" et "G729 codec for CSipSimple". Ce dernier est payant et son utilisation n'est pas nécessaire ; SILK et OPUS gratuits offrent des appels de qualité décente sur les réseaux 3G.Lancez CSipSimple et accédez à l'interface de configuration. Sélectionnez l'assistant « Basique » et configurez-le à l'aide des données de l'interface Web. Ça devrait ressembler à ça: 
Plus loin dans les paramètres généraux de CSipSimple dans la section " Médias -> Codecs audio"Vous devez sélectionner vos codecs préférés. Pour les appels via 3G, je recommande d'utiliser SILK, OPUS, iLBC, G729. Puisque les paramètres sont dans l'interface serveur et dans l'interface client doit correspondre, et sur le serveur j'ai sélectionné SILK et G729, puis dans la liste des codecs audio CSipSimple je coche uniquement les cases à côté de ces codecs, et décoche le reste.
Dans l'espace client" Réseau -> Protocole sécurisé"vous devez sélectionner les paramètres de cryptage souhaités. J'active uniquement ZRTP. Je laisse le reste désactivé. Si vous le souhaitez, vous pouvez utiliser SIP\TLS - vous devez tenir compte du fait que le serveur attend des connexions TLS sur le port 443. Ceci a été réalisé spécifiquement pour les opérateurs mobiles trop intelligents qui bloquent les ports VoIP standards.
Vous devez également prendre en compte que SRTP et ZRTP ne sont pas toujours compatibles et il est fortement conseillé de n'en sélectionner qu'un seul dans le client.
Passer des appels avec ZRTP
Une fois tous les paramètres terminés, nous effectuerons plusieurs appels pour démontrer comment CSipSimple fonctionne dans les appels entre utilisateurs avec des paramètres de sécurité différents.Immédiatement après avoir suivi les instructions, l'appel SIP de l'utilisateur 1001 à l'utilisateur 1000 ressemblera à ceci. 
CSipSimple montre que l'appel implique un serveur MitM auquel les deux clients sont connectés. EC25 signifie que le protocole Elliptic Curve Diffie-Hellman est utilisé avec un paramètre de 256 bits. AES-256 est l'algorithme de cryptage symétrique utilisé. Le statut ZRTP - Vérifié signifie que la chaîne de contrôle SAS a été vérifiée par l'utilisateur.
Modifions le mode de transfert multimédia dans les paramètres ppbbxx pour les deux clients. Le réglage de direct media = yes vous permettra de transmettre la voix directement. Dans ce cas, les parties voient les mêmes chaînes SAS, l'algorithme de cryptage symétrique Twofish-256 est utilisé. L'utilisation de ZRTP dans ce mode nécessite une compatibilité beaucoup plus grande de la part des clients et est moins fiable en termes d'établissement de communications, puisque le serveur n'intervient pas dans le transfert de données. Il est obligatoire d'utiliser les mêmes codecs audio sur tous les clients et de s'assurer du bon fonctionnement du NAT.
Si l'utilisateur SIP 1001 n'a pas de cryptage installé, alors que 1000 utilise ZRTP, alors le deuxième client montrera que la transmission vocale cryptée n'a lieu que jusqu'au serveur (Fin à MitM).