当SIP和H.323暴露在互联网上时，主要问题和最佳实践安全控制是什么？

Question

在将SIP和H.323暴露到Internet上时，主要问题和建议控制是什么(可能是用于语音、视频和即时消息通信流量或这三者)？

具体来说，我正在寻找防火墙/DMZ体系结构中的最佳实践，以及部署SIP和H.323网关时任何其他推荐的安全控制。

Answer 1

阿瓦亚的快速两页清单基本上与供应商无关。主要的初步步骤包括：

• H.235.5用于H.323信令加密
• 用于H.323 / SIP媒体加密(每包10字节开销)的SRTP*
  • 单独的AES加密也可以用于H.323媒体加密

• 用于SIP信令加密的TLS
• 用于语音邮件交互的SRTP
• 用于辅助通信的TLS
• 用于配置备份的AES加密
• 注意，可以创建网络区域来将不支持加密的电话从能够加密的电话中分割出来。

为了将其设置为维护安全性和QoS，您将需要一个能够感知H.323/SIP的防火墙集。来自这张无纸：

与H.323套件一起使用的许多协议使用随机端口，通过防火墙造成安全问题，但可以通过使用直接路由呼叫来减轻。由于未设置H.323所需的端口，过滤防火墙必须保留所有可能需要的端口。因此，防火墙需要知道H.323允许通信，而不对其他流量开放防火墙。需要有状态防火墙和/或应用程序防火墙，以确保连接特性的一致性。

没有大量的防火墙能够很好地支持SIP/H.323，但像Juniper、Cisco和Palo这样的常见的有状态企业防火墙似乎可以工作。