SIP URIスキーム

SIP URIスキームは、マルチメディア通信プロトコルであるセッション開始プロトコル（SIP）の Uniform Resource Identifier（URI）スキームです。SIPアドレスは、 VoIPシステム上の特定の電話内線番号を指すURIです。このような番号は、構内交換機や、特定のゲートウェイを介してダイヤルされるE.164電話番号などです。このスキームは RFC 3261で定義されています。

手術

SIPアドレスは、電子メールアドレスと同様に、user@domain.tld形式で記述されます。次のようなアドレスは、

SIP:1-999-123-4567@voip-provider.example.net

SIPクライアントに、NAPTRおよびSRVスキームを使用して、 DNS名voip-provider.example.netに関連付けられたSIPサーバーを検索し、そのサーバーに接続するように指示します。これらのレコードが見つからないが、名前がIPアドレスに関連付けられている場合、クライアントは、デフォルトではUDPトランスポートプロトコルを使用して、ポート5060のそのIPアドレスにあるSIPサーバーに直接接続します。^{[ 1 ]}サーバー（ゲートウェイの場合もあります）に対して、宛先ユーザー1-999-123-4567に接続するように要求します。ゲートウェイは、この通話を行う前に、ユーザーにSIPを使用した登録を要求する場合があります。宛先ポートがSIP URIの一部として提供されている場合、NAPTR/SRV検索は使用されず、クライアントは指定されたホストとポートに直接接続します。

SIPアドレスは電子メールアドレスと同様にテキストであるため、数字以外の文字が含まれる場合があります。クライアントはSIPフォンや、電話のような数字キーパッドのみを備えたその他のデバイスである可能性があるため、公開されているSIPアドレスに完全に数字の識別子を関連付ける様々な方式が存在します。これらの方式には、iNum Initiative（E.164形式の番号を発行し、対応するSIPアドレスは「@sip.inum.net」という番号です）、SIP Brokerスタイルのサービス（SIPドメイン名に数字の*プレフィックスを関連付けます）、e164.orgおよびe164.arpaドメインネームサーバー（DNS逆引き検索として番号を1つずつアドレスに変換します）などがあります。

SIPアドレスは、設定ファイル（例えばAsterisk（PBX）システム）で直接使用することも、VoIPゲートウェイプロバイダーのWebインターフェース（通常は転送先またはアドレス帳のエントリとして）で指定することもできます。垂直サービスコードを使用してユーザーのアドレス帳からスピードダイヤルを可能にするシステムでは、短い数字コード（例えば*75xx）を、事前に保存された英数字のSIPアドレスに変換できる場合があります。

スパムとセキュリティの問題

理論上、SIP対応の電話機の所有者は、SIPアドレスを公開することで、世界中どこからでも自由に直接連絡を取ることができます。これは、SMTPメールの受信者がどこからでも、メッセージ送信者にほぼ無料で連絡を取ることができるのとほぼ同じです。ブロードバンド接続があれば、誰でもソフトフォン（ Ekigaなど）をインストールして、これらのSIPアドレスに無料で電話をかけることができます。

実際には、さまざまな形態のネットワークの悪用により、公開可能な SIP アドレスの作成と公開が妨げられています。

SMTPを「スパムメール転送プロトコル」と化したスパムは、公開されているsip:番号がVoIPスパム（通常は自動アナウンス装置から録音された広告）で溢れかえり、使用不能に陥る可能性を秘めています。mailto:とは異なり、sip:は音声通話を確立しますが、その際に電話の呼び出し音が鳴ることで、人間の受信者にリアルタイムで割り込んできます。
SIP は、表示される名前と番号が電子メールの返信先アドレスと同様に送信者によって提供され、認証されていないため、発信者 ID のなりすましに対して脆弱です。
着信 SIP をサポートするサーバー: 接続は、ランダムな数字のユーザー名とパスワードを使用した不正な REGISTER 試行、つまりローカル PBX 上の個々のオフプレミス内線を偽装することを目的としたブルートフォース攻撃によって定期的に標的にされます。
着信 SIP: 接続をサポートするサーバーは、通常、海外の発信者負担の通話時間モバイル交換機などのプレミアム料金の宛先である外部の番号に到達しようとする迷惑な試みの標的にもなります。

サーバーログでは次のようになります。

[10月23日 15:04:02] 通知[4539]: chan_sip.c:21614 handle_request_invite: コンテキスト「default」に内線が見つからないため、'' から内線「011972599950423」への通話が拒否されました。

[10月23日 15:04:04] 通知[4539]: chan_sip.c:21614 handle_request_invite: コンテキスト「default」に内線が見つからないため、'' から内線「9011972599950423」への通話が拒否されました。

[10月23日 15:04:07] 通知[4539]: chan_sip.c:21614 handle_request_invite: コンテキスト「default」に内線が見つからないため、'' から内線「7011972599950423」への通話が拒否されました。

[10月23日 15:04:08] 通知[4539]: chan_sip.c:21614 handle_request_invite: コンテキスト「default」に内線が見つからないため、'' から内線「972599950423」への通話が拒否されました。

パレスチナの携帯電話（イスラエル、国番号+972）に電話をかける試み。9-（オフィスPBXの外線によく使われる番号）、011-（北米番号計画における海外通話プレフィックス）、そして7-（PBXが外線に9-ではなく7-を使用している場合の可能性）をランダムに試す。そのため、ファイアウォールやfail2banなどのセキュリティツールを導入し、不正な外線発信を防ぐ必要がある。また、多くのVoIPプロバイダーは、加入者が明示的に許可した国以外への海外通話を無効にしている。

SIPS URIスキーム

SIPS URIスキームはSIP URIの構文に準拠しており、スキームがでsipsはなくである点のみが異なりますsip。SIPSのデフォルトのインターネットポートアドレスは、URIで明示的に指定されない限り、5061です。

SIPSは、リソースが安全にアクセスする必要があることを指定します。SIPSでは、リクエストがターゲットドメインまで転送される各ホップはTLSで保護されなければなりません。ターゲットドメインのプロキシからユーザーエージェントまでの最後のホップは、ローカルポリシーに従って保護されなければなりません。

SIPSは、シグナリングリンクを盗聴しようとする攻撃者から保護します。ただし、暗号化はホップバイホップであり、中間プロキシはすべて信頼する必要があるため、真のエンドツーエンドのセキュリティは提供されません。

参照

参考文献

^セッション開始プロトコル（SIP）：SIPサーバーの検索。doi ：10.17487 / RFC3263。RFC 3263。

[1] セッション開始プロトコル（SIP）：SIPサーバーの検索。doi ：10.17487 / RFC3263。RFC 3263。

[ 1 ]