SIPS identifica significa letteralmente “Session Initiation Ptotocol Secure”. TLS e SRTP sono le terminologie utilizzate per definire la tecnologia VoIP SIP che fa uso della crittografia per garantire i più elevati standard di sicurezza. Ma come funziona il mondo del SIP Sicuro ?
La telefonia Voice over IP con standard SIP impiega, come sappiamo diversi protocolli al fine di stabilita una comunicazione telefonica. In particolare ricordiamo che, mentre il protocollo SIP (Session Initiation Ptococol) si occupa di avviare modificare e concludere la chiamata , il protocollo RTP (Real Time Transport Protocol) viene utilizzato come veicolo per trasferire l’audio e il video tra i due interlocutori.
Se dunque il protocollo SIP agisce di fatto come “regista” della comunicazione stabilendo i parametri per avviare la conversazione audio vera e propria, Il protocollo RTP si occupa di trasportare l’audio tra due specifici interlocutori sulla base degli indirizzi IP, delle porte di comunicazione, dei codec e dei parametri specificati all’interno della sezione SDP (Session Description Protocol) contenuta nella sezione “body” del messaggio SIP.
IL SIP Sicuro con TLS
Le criticità a livello di sicurezza e privacy del messaggio SIP sono date dal fatto che i messaggi SIP e i flussi RTP possono essere intercettati e letti/ascoltati da chiunque abbia accesso alla rete Ethernet locale a possieda una conoscenza di base del funzionamento del protocollo SIP. Gli stessi strumenti che vengono utilizzati nel campo della diagnostica tecnica VoIP, come ad es. Wireshark, consentono di tracciare, isolare e leggere sia il messaggio SIP che la conversazione audio.
Per le ragioni appena esposte, le criticità più importanti a livello di riservatezza del protocollo SIP, riguardano gli ambiti locali (LAN) più che la sezione Internet pubblica.
Per superare i difetti di sicurezza di SIP e RTP ed effettuare chiamate sicure tramite Internet, sono state sviluppate versioni crittografate di entrambi i protocolli.
Con l’acronimo SIPS si indica il SIP Secure. Si tratta di un protocollo SIP esteso con con TLS (Transport Layer Security). Attraverso TLS, è possibile stabilire una connessione sicura tra IP PBX e telefono VoIP utilizzando un approccio di tipo handshake.
Il protocollo SIPS è stato definito nel 2004 dall’IETF (Internet Engineering Task Force) come RFC 3711.
SRTP
il protocollo SRTP (Secure RTP) trasporta la voce in pacchetti IP crittografati e li trasporta attraverso Internet dal chiamante (sistema telefonico IP) aal chiamato (telefono IP o softphone), solo dopo che SIPS ha avviato una connessione sicura. Per consentire al destinatario di decrittografare i pacchetti, viene inviata una chiave tramite SIPS, quando la connessione viene avviata nel passaggio precedente.
la funzione principale del protocollo SRTP è quella di evitare l’intercettazione audio delle chiamate telefoniche tra gli interlocutori. Ciò consente di garantire la pricacy e di fare in modo che le chiamata non possano essere riprodotte e ascoltate anche in caso di intercettazione del flusso dati.
L’algoritmo di cifratura di base utilizzato di default per SRTP è l’AES (Advanced Encryption Standard) ma lo standard RTP è piuttosto flessibile e consente di accogliere persino eventuali nuovi algortmi di cifratura attraferso la definizione di una nuova RFC integrativa di specifica.
La combinazione SIPS/SRTP
Utilizzando SIPS/SRTP, viene utilizzata una connessione peer to peer sicura non solo per proteggere l’audio ma anche la connessione che viene stabilita in precedenza. Ciò significa che non solo l’audio è crittografato, ma anche i dettagli della connessione (il numero del mittente e del destinatario ecc).
Per utilizzare la versione crittografata dell’intero complesso della trasmissione SIP/RTP, tutti dispositivi coinvolti devono supportare sia SIPS (TLS) che SRTP. Se un peer non supporta questi protocolli, non è possibile stabilire una connessione sicura. E’ consigliabile utilizzare SIPS e SRTP negli scenari in cui sono possibili attacchi e manipolazione del protocollo da parte del mondo esterno . Ciò è valido ad esempio per i centralini in cloud con interni locali quando non sia disponibile un layer di sicurezza aggiuntiva, quale ad esempio una VPN.
Un ultimo vantaggio indiretto offerto dall’uso della crittografica riguarda l’utilizzo del protocollo SIP in quegli ambiti nei quali siano presenti protocolli di ispezione SIP ALG oppure algoritmi di analisi dei pacchetti che possono alterare o filtrare la comunicazione SIP, creando spesso problemi di funzionamento. In questi casi SIPS garantisce l’integrità del messaggio SIP evitando problemi quali la caduta della conversazione per questioni di SIP timer oppure la monodirezionalità o l’assenza di audio dovute alla modifica discrezionale degli indirizzi IP presenti nel messaggi SIP, da parte si SIP ALG o SIP Helper.
