SIP URI 방식
SIP URI schemeSIP URI 스킴은 Session Initiation Protocol(SIP) 멀티미디어 통신 프로토콜용 Uniform Resource Identifier(URI) 스킴입니다.SIP 주소는 Voice over IP 시스템의 특정 전화 내선번호를 지정하는 URI입니다.이러한 번호는, 구내 교환기 또는 특정의 게이트웨이를 개입시켜 다이얼 된 E.164 전화 번호입니다.이 스킴은 에서 정의되었습니다. RFC3261.
작동
SIP 주소는 전자 메일주소와 같은 방법으로 user@domain.tld 형식으로 작성됩니다.주소:
- sip:1-999-123-4567@voip-provider.example.net
는 NAPTR 및 SRV 방식을 사용하여 DNS 이름 voip-provider.example.net에 관련되어 있는SIP 서버를 검색하여 해당 서버에 접속하도록 SIP 클라이언트에 지시합니다.이러한 레코드를 찾을 수 없지만 이름이 IP 주소와 관련되어 있는 경우 클라이언트는 기본적으로 UDP [1]트랜스포트 프로토콜을 사용하여 포트 5060의 해당 IP 주소로 SIP 서버에 직접 연결합니다.서버(게이트웨이일 가능성이 있음)에 1-999-123-4567 의 행선지 유저에의 접속을 요구합니다.게이트웨이는 이 콜을 발신하기 전에 SIP를 사용하는 사용자 REGISTER를 요구할 수 있습니다.행선지 포토가 SIP URI 의 일부로서 제공되고 있는 경우, NAPTR/SRV 룩업은 사용되지 않고, 클라이언트는 지정된 호스트 및 포토에 직접 접속합니다.
SIP 주소는 전자 메일주소와 마찬가지로 텍스트이므로 숫자가 아닌 문자를 포함할 수 있습니다.클라이언트는 숫자와 같은 키패드만을 갖춘 SIP 전화기 또는 기타 디바이스일 수 있기 때문에 완전히 숫자 ID를 퍼블릭 도달 가능한SIP 주소에 관련짓는 다양한 방식이 존재합니다.여기에는 iNum Initiative(E.164 형식의 번호를 발행합니다.여기서 대응하는 SIP 주소는 '@sip.inum.net'입니다), SIP 브로커 스타일의 서비스(SIP 도메인 이름에 *sips를 관련짓습니다), e164.org 및 e164.arpa 도메인네임 서버(DNS 역룩업으로서 번호를 1개씩 주소로 변환합니다) 등이 있습니다.
SIP 주소는 컨피규레이션파일(Asterisk(PBX) 설치 등)에서 직접 사용하거나 Voice-over-IP 게이트웨이 프로바이더의 Web 인터페이스(통상은 콜 전송처 또는 주소록 엔트리로서)를 통해 지정할 수 있습니다.수직 서비스 코드를 사용하여 사용자의 주소록에서 단축 다이얼을 허용하는 시스템에서는 *75xx 등의 짧은 숫자 코드를 미리 저장된 영숫자 SIP 주소로 변환할 수 있습니다.
스팸 및 보안 문제
이론적으로 SIP 대응 전화기 핸드셋의 소유자는, SMTP 전자 메일의 수신자가 메시지 송신자에게 거의 무료로 연락할 수 있는 것과 같은 방법으로, SIP 주소를 전 세계에 자유롭게 직접 발신할 수 있습니다.브로드밴드 접속을 가진 사람은 누구나 소프트폰(Ekiga 등)을 설치하고 이들 SIP 주소 중 하나를 무료로 호출할 수 있습니다.
실제로는 다양한 형태의 네트워크 오용 때문에 공개적으로 도달 가능한SIP 주소의 작성 및 공개가 방해되고 있습니다.
- SMTP를 "스팸 메일 전송 프로토콜"로 만든 스팸(전자)으로 인해 게시된 sip: 번호가 VoIP 스팸(일반적으로 미리 녹음된 광고를 전달하는 자동 알림 장치)으로 넘쳐나기 때문에 해당 번호를 사용할 수 없게 될 수 있습니다.mailto: 와 달리 sip: 는 호출음이 울리는 전화기로 실시간으로 수신자를 중단시키는 음성 콜을 확립합니다.
- SIP 는, 전자 메일의 반송 주소와 같이, 발신자에 의해서 제공되어 인증되지 않기 때문에, 발신자 ID 스푸핑에 취약합니다.
- 착신 SIP를 지원하는 서버: 접속은 통상 랜덤한 숫자의 사용자 이름과 패스워드를 사용한 무허가 REGISTER 시행을 통해 타깃이 됩니다.이는 로컬 PBX 상의 개별 외부 내선번호를 가장하기 위한 공격입니다.
- 착신 SIP 를 서포트하고 있는 서버:접속은, 외부 번호(통상은 외국의 발신자 페이즈 에어 타임모바일 교환 등, 프리미엄 레이트의 행선지)에의 도달 시도도 대상으로 합니다.
서버 로그에는, 다음과 같이 표시됩니다.
- [ Oct 23 15 : 04 : 02 ]NOTY [ 4539 ]: chan _ sip . c : 21614 handle _ request _ invite :" 에서 내선번호 '011972599950423' 에 대한 호출이 컨텍스트 'default' 에서 발견되지 않아 거부되었습니다.
- [ Oct 23 15 : 04 : 04 ]NOTY [ 4539 ]: chan_sip . c : 21614 handle _ request _ invite :" 에서 내선번호 '9011972599950423' 에 대한 호출이 컨텍스트 'default' 에서 발견되지 않아 거부되었습니다.
- [ Oct 23 15 : 04 : 07 ]NOTY [ 4539 ]: chan_sip . c : 21614 handle _ request _ invite :" 에서 내선번호 7011972599950423" 에 대한 호출이 컨텍스트 'default' 에서 찾을 수 없기 때문에 거부되었습니다.
- [ Oct 23 15 : 04 : 08 ]NOTY [ 4539 ]: chan _ sip . c : 21614 handle _ request _ invite :" 에서 내선번호 '97259950423' 에 대한 콜이 컨텍스트 'default' 에서 발견되지 않아 거부되었습니다.
9-(사무실 PBX로부터의 외부 회선의 공통 코드), 011-(북미 번호 계획의 해외 통화 프리픽스) 및 7-(오프찬스에서는 PBX가 9- 대신에 외부 회선에 사용하고 있다)를 랜덤으로 시도함으로써 팔레스타인 휴대전화(이스라엘, 국가 코드 +972)에 전화를 걸려고 합니다.따라서 방화벽이나 fail2ban 등의 보안 툴을 도입하여 부정한 외부 콜의 시행을 방지해야 합니다.많은 VoIP 프로바이더는 가입자에 의해 특별히 요청된 국가를 제외한 모든 국가에 대한 해외 콜을 비활성화합니다.
SIPS URI 방식
SIPS URI 스킴은 SIPURI 구문에 준거하며 스킴이 다음과 같은 점만 다릅니다.sips보다는sipSIPS 기본 인터넷포트 주소는 URI에서 명시적으로 지정되어 있지 않은 한 5061 입니다.
SIPS를 사용하면 리소스에 안전하게 도달해야 함을 지정할 수 있습니다.이 명령어는 요구가 타깃도메인으로 전송되는 각 홉을 TLS로 보호해야 합니다.타깃 도메인의 프록시에서 사용자 에이전트로의 마지막 홉은 로컬정책에 따라 보호되어야 합니다.
SIPS는 시그널링 링크 상에서 수신을 시도하는 공격자로부터 보호합니다.암호화는 홉 바이 홉일 뿐이며 모든 중간 프록시를 신뢰할 필요가 있기 때문에 진정한 엔드 투 엔드 보안은 제공되지 않습니다.
