Схемы SIP URI
Схема SIP URI представляет собой схему универсального идентификатора ресурса (URI) для протокола мультимедийной связи протокола инициирования сеанса (SIP). — SIP-адрес это URI, который обращается к определенному добавочному номеру телефона в системе передачи голоса по IP . Таким номером может быть частная телефонная станция или телефонный номер E.164, набранный через определенный шлюз. Схема была определена в РФК 3261 .
Операция
[ редактировать ]SIP-адрес записывается в формате [email protected] аналогично адресу электронной почты . Адрес типа:
инструктирует SIP-клиента использовать схемы NAPTR и SRV для поиска SIP-сервера, связанного с DNS- именем voip-provider.example.net, и подключения к этому серверу. Если эти записи не найдены, но имя связано с IP-адресом, клиент напрямую свяжется с SIP-сервером по этому IP-адресу через порт 5060, по умолчанию используя транспортный протокол UDP . [1] Он попросит сервер (который может быть шлюзом) подключиться к конечному пользователю по номеру 1-999-123-4567. Шлюз может потребовать от пользователя ЗАРЕГИСТРИРОВАТЬСЯ с использованием SIP перед выполнением этого вызова. Если порт назначения указан как часть SIP URI, поиск NAPTR/SRV не используется; скорее, клиент напрямую подключается к указанному хосту и порту.
Поскольку SIP-адрес представляет собой текст, как и адрес электронной почты, он может содержать нечисловые символы. Поскольку клиентом может быть SIP-телефон или другое устройство только с цифровой телефонной клавиатурой, существуют различные схемы для связывания полностью числового идентификатора с общедоступным SIP-адресом. К ним относятся инициатива iNum (которая выдает номера в формате E.164, где соответствующий SIP-адрес представляет собой номер «@sip.inum.net»), услуги в стиле SIP Broker (которые связывают числовой префикс * с доменным именем SIP). ) и серверы доменных имен e164.org и e164.arpa (которые преобразуют числа в адреса один за другим в ходе обратного поиска DNS).
SIP-адреса могут использоваться непосредственно в файлах конфигурации (например, в установках Asterisk (PBX) ) или указываться через веб-интерфейс провайдера шлюза передачи голоса по IP (обычно в качестве пункта назначения для переадресации вызовов или записи адресной книги). Системы, которые позволяют быстрый набор из адресной книги пользователя с использованием вертикального кода услуги, могут позволять преобразовывать короткий цифровой код (например, * 75xx) в заранее сохраненный буквенно-цифровой SIP-адрес.
Спам и проблемы безопасности
[ редактировать ]Теоретически владелец телефонной трубки с поддержкой SIP может опубликовать SIP-адрес, с которого к нему можно будет свободно и напрямую обращаться по всему миру, почти так же, как с получателями электронной почты SMTP можно связаться из любого места практически бесплатно для отправитель сообщения. Любой, у кого есть широкополосное соединение, мог установить программный телефон (например, Ekiga ) и бесплатно звонить на любой из этих SIP-адресов.
На практике различные формы сетевых злоупотреблений препятствуют созданию и публикации общедоступных SIP-адресов:
- Спам , который превратил SMTP в «протокол транспортировки спам-почты», потенциально может сделать опубликованные номера sip: непригодными для использования, поскольку номера забиты спамом VoIP , обычно автоматическими устройствами объявлений, доставляющими заранее записанные рекламные объявления. В отличие от mailto:, sip: устанавливает голосовой вызов, который в реальном времени прерывает человека-получателя звонком телефона.
- SIP уязвим для подделки идентификатора вызывающего абонента, поскольку отображаемые имя и номер, как и обратный адрес в электронной почте, предоставляются отправителем и не проходят проверку подлинности.
- Серверы, поддерживающие входящий sip: соединения регулярно подвергаются несанкционированным попыткам ЗАРЕГИСТРИРОВАТЬСЯ со случайными числовыми именами пользователей и паролями, атакой методом перебора, предназначенной для выдачи себя за отдельные внешние расширения на локальной АТС.
- Серверы, поддерживающие входящие sip-соединения, также подвергаются нежелательным попыткам связаться с внешними номерами, обычно с повышенными тарифами, такими как мобильные коммутаторы с оплатой звонящего за эфирное время в зарубежных странах.
В логах сервера это выглядит так:
- [23 октября, 15:04:02] NOTICE[4539]: chan_sip.c:21614 handle_request_invite: Вызов от '' к добавочному номеру '011972599950423' отклонен, поскольку расширение не найдено в контексте 'по умолчанию'.
- [23 октября, 15:04:04] NOTICE[4539]: chan_sip.c:21614 handle_request_invite: Вызов от '' к добавочному номеру '9011972599950423' отклонен, поскольку расширение не найдено в контексте 'по умолчанию'.
- [23 октября, 15:04:07] NOTICE[4539]: chan_sip.c:21614 handle_request_invite: Вызов от '' к добавочному номеру '7011972599950423' отклонен, поскольку расширение не найдено в контексте 'по умолчанию'.
- [23 октября, 15:04:08] NOTICE[4539]: chan_sip.c:21614 handle_request_invite: Вызов от '' к добавочному номеру '972599950423' отклонен, поскольку расширение не найдено в контексте 'по умолчанию'.
попытка позвонить на палестинский мобильный телефон (Израиль, код страны +972), случайно попробовав 9- (общий код для внешней линии офисной АТС), 011- (префикс для звонков за границу в Североамериканском плане нумерации ) и 7- (на случай, если АТС использует его вместо 9- для внешней линии). инструменты безопасности, такие как межсетевые экраны или Fail2ban, Поэтому необходимо использовать для предотвращения попыток несанкционированного внешнего вызова; многие провайдеры VoIP также отключают звонки за границу во все страны, кроме стран, специально запрошенных абонентом.
Схема URI SIPS
[ редактировать ]Схема SIPS URI придерживается синтаксиса SIP URI , отличаясь только тем, что схема sips
скорее, чем sip
. Адрес интернет-порта по умолчанию для SIPS — 5061, если явно не указано в URI.
SIPS позволяет ресурсам указать, что доступ к ним должен быть безопасным. Он требует, чтобы каждый переход, по которому запрос пересылается в целевой домен, был защищен с помощью TLS . Последний переход от прокси-сервера целевого домена к пользовательскому агенту должен быть защищен в соответствии с локальными политиками.
SIPS защищает от злоумышленников, которые пытаются прослушать сигнальный канал. Он не обеспечивает реальной сквозной безопасности, поскольку шифрование осуществляется только поэтапно, и каждому отдельному промежуточному прокси-серверу необходимо доверять.
См. также
[ редактировать ]- Объединенное сопоставление VoIP и телефонных номеров
- e164.arpa
- Описания безопасности для SDP
- Майки Метод обмена ключами
- ZRTP Предложение по сквозному обмену ключами