Способы подключения по SIP протоколу и вопросы безопасности. SIP терминалы и SIP узлы – в чем разница?

infoats.ru > IP АТС > Способы подключения по SIP протоколу и вопросы… Автор: Sakhrano   ‡   Дата: 22 мая 2012   ‡   Рубрика: IP АТС   ‡   Метки: ip атс, ip телефон, sip, операторы связи

Основные характеристики и отличия SIP терминалов и узлов. Принципы подключения SIP устройств и вопросы безопасности такого подключения

IP телефония всё активнее проникает в нашу жизнь. На сегодняшний день многие компании используют ее или частично (например для подключения внешних линий) или даже целиком перевели телефонную инфраструктуру на IP технологии. В качестве основного протокола чаще всего используется SIP (Session Initial Protocol). Универсальность протокола может вызывать путаницу – с его помощью могут быть подключены как обычные абонентские терминалы (SIP телефоны, SIP-адаптеры, софтфоны и т.д.), так и VoIP узлы (IP АТС, шлюзы).

Терминал и узел выполняют различные функции в сети VoIP и обладают различными свойствами. Рассмотрим основные характеристики и отличия SIP терминалов и узлов.

Тип подключения (SIP транк или абонентская линия SIP) напрямую зависит от роли SIP устройства в сети, клиентские устройства могут выполнять функции терминала или узла.

Терминал

Терминал – это оконечное устройство, при помощи которого пользователь принимает или совершает вызовы, например, SIP-телефон, ATA-адаптер (шлюз к которому подключается обычный аналоговый телефон) или софтфон.

Свойства SIP терминалов

Абонентская линия SIP обладает свойствами, аналогичными традиционной абонентской линии. Например, один терминал вряд ли сможет принять более двух вызовов одновременно.

Мобильность
В отличие от традиционной аналоговой медной линии, которая физически привязана к определенному месту, например, квартире или офису, абонентская линия SIP мобильна – для того что бы позвонить, достаточно иметь подключение к Интернет, соответствующее определенным требованиям по пропускной способности канала для качественной передачи голоса.

При включении терминала, он посылает специальный регистрационный пакет, в котором содержатся все необходимые данные для идентификации и авторизации телефонной линии. При помощи этого пакета терминал сообщает IP адрес линии SIP серверу, находящемуся на стороне провайдера IP телефонии. Теперь при поступлении входящих звонков сервер «знает» куда направлять вызов, адресованный этой линии. Через определенный промежуток времени терминал обновляет регистрацию, в случае, если меняется IP адрес, через который устройство регистрируется, информация на SIP сервере обновляется. Каждый раз при совершении исходящего вызова, SIP сервер запрашивает данные для авторизации (имя пользователя, логин и пароль).

Из этого свойства вытекает определенная проблема с безопасностью, которая будет рассмотрена ниже

Малый объем трафика с терминала
Обычно терминал может принять не более двух одновременных вызовов, так как маловероятно, что пользователю SIP-телефона потребуется принимать больше одновременных вызовов. Хотя во многих топовых SIP телефонах предусмотрена регистрации нескольких SIP аккаунтов, количество одновременных вызовов тем не менее ограничено.

Потребность в дополнительных сервисах
Так как терминал является оконечным устройством, для абонентской линии SIP могут быть реализованы дополнительные сервисы. Например, через web-страницу на сервере IP телефонии пользователь может настроить такие услуги, как переадресация, голосовая почта, “Fax-to-email” и прочее.

Итак, общие свойства терминала:

  • мобильность и, как следствие, необходимость регистрации;
  • в общем случае, до двух одновременных вызовов с линии;
  • часто потребность в дополнительных сервисах.

Для подключения абонентской линии по SIP нужна логическая учетная запись на сервере IP телефонии и соответствующие данные, которые записываются в конфигурацию терминала. Эту запись называют учетной записью SIP или SIP аккаунтом (SIP account).

Узел

Это IP АТС или иное устройство VoIP, которое служит промежуточным звеном в сети VoIP и не является оконечным устройством, например IP АТС – узел к которому подключаются вышеописанные терминалы (например SIP телефоны) в офисе.

Свойства SIP узлов:

Стационарность
Обычно IP АТС имеет статический (публичный или локальный) IP адрес, который не меняется. Поэтому начальный уровень безопасности можно обеспечить разрешением входящих и исходящих вызов для IP адреса узла, при условии что в сообщениях SIP будет правильно передаваться вызывающий (CallerID) и вызываемый номера. Так как IP адрес узла никогда не меняется, можно обойтись без регистрации на SIP сервере, вместо этого на сервере создается статическая запись. Часто для надежности применяют дополнительную авторизацию по паролю для входящих и исходящих вызовов – это существенно повышает безопасность.

Реализация всех дополнительных сервисов на узле
Обычно для подключения узла клиенту не нужны никакие дополнительные сервисы и услуги , потому что все они реализуются на самом узле (IP АТС), к которому подключаются терминалы. Терминалы (SIP-телефоны) в свою очередь пользуются сервисами, предоставляемыми узлом.

Большое количество вызовов между узлом и сервером IP телефонии
Так как узел не оконечное устройство, то за ним может находиться большое число терминалов Типичный пример – офисная IP АТС с внутренними абонентами. Все они в конечном итоге генерируют большой объем трафика, поэтому потребность может составлять десятки или сотни одновременных вызов через такой узел.

Итак, общие свойства узла:

  • стационарность;
  • все дополнительные услуги реализуются на узле клиента, а не на стороне провайдера IP телефонии;
  • генерация большого объема вызовов (телефонного трафика), потребность узла может составлять десятки или сотни одновременных вызовов.

Такие подключения узла к сети называются SIP Транк (SIP Trunk). Иными словами SIP транк представляет собой логическую запись на оборудовании провайдера IP телефонии и соответствующие настройки, которые он передает клиенту для записи их в конфигурацию узла.

Особенности регистрации SIP устройств и вопросы безопасности

Регистрация по SIP реализована значительно проще, нежели по другому протоколу IP телефонии – H.323. SIP подключение не использует даже MAC-адрес, тем более не использует IP-адрес. Все зависит только от текстовых строк ID-аутентификации и пароля, которые отправляются с SIP телефона на SIP сервер в сообщение REGISTER протокола SIP. Когда эта пара строк согласуется с запрограммированными в SIP сервере настройками, SIP сервер распознает терминал, который имеет данные номер ID-аутентификации и пароль как своего внутреннего абонента.

Эта особенность регистрации SIP устройств создает интересную ситуацию.

С любого SIP софтфона на любом ПК, или с любого аппаратного SIP телефона, можно успешно установить соединение с тем же внутренним номером (с SIP сервером провайдера или с офисной IP АТС), если используются корректные ID-аутентификации и пароль. Все крайне просто.

Но эти преимущества регистрации SIP терминалов могут оказаться и их недостатком с точки зрения процесса аутентификации со стороны SIP сервера или IP АТС. Если ID-аутентификации и пароль похищены, то любой злоумышленник может зарегистрироваться и получить доступ к системе вместо вас.

Также не следует забывать что стандарт SIP не использует криптографию и шифрование, и передает информацию ID-аутентификации как обычный текст. К счастью пароль передается в зашифрованном виде (code MD5)

Это безусловно лучше, чем просто открытый текст, но MD5 не является хорошо защищенным кодом. К сожалению, анализировать код MD5 сегодня не трудно, и это широко известно. Если кто-либо намеревается похитить ваш ID и пароль, то сделать это очень просто, если злоумышленник захватит IP пакеты, cкажем с помощью программы wireshark, либо ее аналогами.

Во избежание таких рисков строго рекомендуется чаще менять ID и пароль.

Если ваш SIP телефон подключен к SIP серверу (IP АТС) в удаленном офисе через Интернет, то сеть должна иметь VPN (Virtual Private Network — виртуальная частная сеть) с использованием кодов криптографии для передаваемых данных. Иначе, рано или поздно можно получить большой счет от провайдера за звонки куда-нибудь в Зимбабве.

 




Понравился пост? Подпишитесь на обновления блога по RSS    rss    или Email    email

Кроме того, интересно почитать:


К записи есть 1 комментарий

Сип-терминал можно применять в маленьких предприятиях, а вот большое, с большим количеством операторов необходимо подключать к узлу. У нас стоит панасониковское оборудование, и мини АТС со всеми комплектующими и сами дект телефоны, кстати почти все проводные, пожелание (читай: распоряжение) директора, чтоб по зданию не бегали, а на своих местах сидели. Декты используем KX-UT123RU-B, а вот переносные трубы у начальников отделов KX-TGP500.


Оставить комментарий или два



Отправить в сервисы закладок