Saludos, escribo el siguiente tema para realizar una consulta de seguridad.

Soy administrador de la red de mi empresa y disponemos de telefonía de VoIP con el protocolo SIP. Estoy intentando hacer un estudio sobre la seguridad que existe y quiero probar todas las posibles vulnerabilidades.

Una primera que me he dado cuenta que existe es la de suplantación de identidad, ya que es posible conectarse 2 IP's distintas a la misma extensión. Es decir, soy capaz, con un softphone conectado a la red con una IP X, de registrarme en la centralita con el número Y, que casualmente es el mismo número que usa un teléfono que tiene dirección IP Z (Z distinto de X, pero ambos tienen asociado la misma extensión).

Esto acarrea que cuando un tercer usuario externo llama al número Y, la llamada se recibe tanto en el softphone (con dirección IP X) como en el terminal telefónico (con dirección IP Z). Cuando esto pasa, la llamada la atiende el primero que descuelgue. Se da la curiosa circunstancia que el que atiende, incluso puede transferir de nuevo la llamada al otro, realizando un desvío al número Y.
Es decir: Entra una llamada externa al número Y, la llamada suena tanto en el softphone como en el terminal. La llamada la atiendo con el softphone (es el primero que descuelga) y posteriormente, el softphone puede desviar la llamada al terminal (haciendo un desvío al número Y).

Mi duda: ¿es posible desde el PC sniffar el tráfico RTP entre el terminal y el usuario externo?. No puedo hacer ARP spoofing, pues aunque no lo he dicho, hay que suponer que softphone y terminal estan en redes distintas, conectados a routers distintos, luego no estan en la misma LAN.

Pero repito mi duda, ¿hay opciones de que en una transferencia de llamada, el PC se quede a la escucha entre la llamada entre los otros 2 usuarios?

Sé que quizás es complejo esto que comento, pero si alguien se le ocurre alguna idea...