Ssl SIP:IPSEC与TLS

Ssl SIP:IPSEC与TLS,ssl,sip,voip,ipsec,Ssl,Sip,Voip,Ipsec,我不熟悉VOIP的概念。我刚上了一门关于VOIP的课程。我对使用TLS、IPSEC和Digest实现SIP也感兴趣 我想看看SIP信令是否使用IPSEC而不是TLS,它会如何影响性能,信令是否会更耗时?它会增加安全性还是降低安全性 我正在寻找一款同时具有TLS/IPSEC机制的软电话,这样我就可以在wireshark上分析这两个数据包,但我没有遇到任何问题。有什么建议吗 提前感谢 软电话不明确支持IPSEC,因为它是一种网络层协议。SIP RFC中处理的最低级别是传输层,它提供了三种备选方案,即

我不熟悉VOIP的概念。我刚上了一门关于VOIP的课程。我对使用TLS、IPSEC和Digest实现SIP也感兴趣

我想看看SIP信令是否使用IPSEC而不是TLS,它会如何影响性能,信令是否会更耗时?它会增加安全性还是降低安全性

我正在寻找一款同时具有TLS/IPSEC机制的软电话,这样我就可以在wireshark上分析这两个数据包,但我没有遇到任何问题。有什么建议吗


提前感谢

软电话不明确支持IPSEC,因为它是一种网络层协议。SIP RFC中处理的最低级别是传输层,它提供了三种备选方案,即UDP、TCP和TLS


SIP信令可以在IPSEC上正常工作,因为它对时间不敏感。即使SIP请求和响应延迟1或2秒,也几乎不会引起注意。但是,如果引入额外的延迟,则承载呼叫介质的RTP流量可能会受到影响

假设您必须保护端点(软电话或硬件)和呼叫控制引擎之间的SIP信令,还假设端点和呼叫控制位于同一校园、LAN或专用网络内。 正确的选择是在端点和呼叫控制引擎之间使用TLS,大多数端点的实现(固件或软件)都支持TLS。无论如何,同样的情况也适用于移动工作者(他们通过互联网建立TLS,并在公司内部的DMZ中放置经过验证的前端);TLS非常适合那些需要非附加客户端安装的场景

另一方面,要在IPSec中保护SIP,您需要在笔记本电脑(SIP客户端所在的位置)上安装IPSec客户端。首先,IPSec客户端通过公司中的IPSec网关建立安全性(管理起来更复杂、更昂贵)。简言之,IPSec非常适合于那些需要在跨公共网络的LAN之间进行隐私访问的扫描环境(IPSec网关之间设置了IPSec隧道模式)

当您使用TLS或IPSec谈论SIP时,您不能忽略RTP。 要使SecureRTP就位,可以选择TLS协议。在会话设置期间,SIP实体交换SDP主体内的TLS参数(例如用于保护RTP的chiper套件),请查看日志以查看SIP内的SDP。在交换结束时,SIP实体能够保护RTP通信,因为它们同意使用公共会话加密密钥(是从密钥交换协议派生的simmetric密钥)

与IPSec不同的是,SDP或SIP消息中没有交换IPSec信息。首先设置IPSec隧道,然后在隧道内发送流量,该流量也可以是SIP和RTP。请注意,在IPSec隧道模式下,原始数据包封装在新的IP数据包上(有一个外部IP报头),因此会产生更多的开销和处理

总结如下: 使用TLS和IPSec确保SIP安全,考虑您的环境。我会尽可能多地考虑TLS。 通过TLS保护RTP是可能的,它被称为SecureRTP(加密、消息身份验证和完整性,以及对RTP数据的重放攻击保护)。 使用IPSec保护RTP\SIP需要更多的努力。当您需要比SIP\RTP更多的保护时,考虑IPSec隧道。 当您决定在语音\视频中使用IPSec并遍历NAT设备时,请查看NAT遍历功能