- •Глава 18. Ip-телефония
- •18.1. Протокол sip
- •18.1.1.Упрощенный пример сети на базе протокола sip
- •18.1.2. Cетевые компоненты протокола sip
- •18.1.3. Сообщения sip
- •18.1.3.1. Поля заголовка сообщения при регистрации sip
- •18.1.3.2. Транзакции и диалоги sip
- •18.1.3.3. Маршрутизация сообщений sip
- •18.1.4. Протокол sip-t
- •18.2. Информационная безопасность sip
- •18.2.1. Угрозы иб
- •18.2.1.1. Угрозы с использованием регистрации
- •18.2.1.2. Подмена сервера
- •18.2.1.3. Изменение содержания тела заголовка
- •18.2.1.4. Угрозы подслушивания
- •Угрозы установления или прерывания сеанса связи
- •18.2.1.6. Атака DoS
- •18.2.1.6. Угрозы фрода
- •18.2.2. Требования к способам обеспечения иб в сети sip
- •18.2.3. Механизмы обеспечения иб
- •18. Механизм иб sip-сети на базе протокола ipSec
- •18.2.3.2. Механизм иб sip-сети на базе протокола tls
- •18.2.3.3. Механизм иб sip-сети на базе протокола s/mime
- •18.2.3.4. Механизм аутентификации пользователя в sip-сети на базе протокола http Digest
- •18.2.3.5. Аутентификация идентификатора пользователя
- •18.3. Информационная безопасность при использовании протокола sip-t
- •18.4. Транспортировка данных в сети sip
- •18.4.1. Протоколы транспортировки данных
- •18.3.2. Обеспечение иб при транспортировке данных
18.2. Информационная безопасность sip
18.2.1. Угрозы иб
В настоящем разделе приводятся изложенные в стандарте RFC 3261 [57] примеры некоторых угроз ИБ в сетях SIP. Эти угрозы являются общими для большинства сетей SIP.
18.2.1.1. Угрозы с использованием регистрации
Регистрация может производится не только самим пользователем терминала, но и нарушителем. В заголовках From и To запроса REGISTER установлены адреса. Злоумышленник может пожелать, чтобы соединения других пользователей устанавливались с ним. Для этого он перерегистрирует всех легитимных пользователей, а затем регистрирует свое устройство. В результате при отсутствии защиты, гарантирующего подлинность источника требования SIP, вызовы от других пользователей поступают злоумышленнику. Этот пример показывает необходимость аутентификации источника запроса SIP.
18.2.1.2. Подмена сервера
Имя домена, к которому должен поступить запрос SIP установлен в поле Request-URI заголовка запроса. UAC в этом домене связан непосредственно с сервером, которому передает запрос. Возможна угроза ИБ путем подмены легитимного сервера. В результате фиктивный сервер переправляет запрос на другой домен. При регистрации пользователя все запросы к нему будут направляться в ложный сервер. Этот пример показывает необходимость защиты с помощью механизма аутентификации сервера (т.е. взаимная аутентификация).
18.2.1.3. Изменение содержания тела заголовка
В сети SIP требуется обеспечить конфиденциальность некоторых данных в сообщениях сигнализации. Это относится, например, к инкапсулированным данным ОКС№7 в тело заголовка. Это требование вызвано угрозой злоумышленно изменить тело заголовка c целью прослушивания переговоров по установленному соединению. Этот пример показывает необходимость предоставить возможность шифрования/дешифрования некоторых данных тела заголовка, целостность и аутентификацию.
18.2.1.4. Угрозы подслушивания
После установления соединения последующие запросы могут быть отправлены для изменения состояния диалога и/или сеанса. Важно, чтобы пользователи были уверены в том, что эти запросы не подделаны злоумышленниками. Злоумышленник может узнать некоторые параметры во время первоначального установления сеанса (поля заголовка To, From и др.), а затем передать ложный запрос INVITE. Последний запрос видоизменяет сеанс (например, переправляет медиапотоки для атаки прослушивания разговоров). Этот пример, также как и предыдущий, показывает необходимость предоставить возможность шифрования/дешифрования некоторых данных, обеспечения их целостности и аутентификации.
Угрозы установления или прерывания сеанса связи
Примерами угроз установления или прерывания сеанса связи сообщениями могут быть фиктивные запросы CANSEL, BUY а также фиктивные ответы об ошибках в ходе установления соединения.
18.2.1.6. Атака DoS
Атака отказ в обслуживании (DoS) нацелена на перевод сетевого элемента в состояние неработоспособности (неготовности). К таким угрозам и обычно относят направление чрезмерно большого потока атак, реализуемые посредством передачи большого количества сообщений сигнализации или медиа-сообщений (в зарубежной литературе для обозначения данного вида DoS атаки используются термины «flood attacks» - флуд-атака, «depletion attacks», «brute force attacks»). Примером такой атаки DoS может быть отправка сообщений инициации соединения INVITE или сообщений REGISTER.
Оборудование операторов связи, как правило, имеет ограничения по количеству одновременных соединений. Это может быть продиктовано ограничениями конструктивными (например, количеством цифровых потоков E1), административными (конечное число соединительных линий, как правило, определяется межоператорским договором о присоединении сетей) и/или лицензионными (производитель или поставщик аппаратного и программного обеспечения устанавливает ограничение на количество одновременных соединений). Количество инициированных вызовов и установленных соединений может превысить существующие ограничения и создать перегрузку на данном направлении, создав атаку DoS.
Злоумышленники могут создавать поддельные запросы, содержащие фальсифицированные IP-адреса источника и соответствующее поле заголовка Via. Эти параметры идентифицируют ложный источник этих запросов, на который затем через агента пользователя или прокси-сервер SIP генерируется трафик, приводящий к DoS.
Аналогично злоумышленник может использовать фальсифицированные значения заголовка Route. Этот заголовок служит для принудительной маршрутизации запроса в соответствии со списком прокси-серверов. Фальсифицированные значения в составе этого заголовка поступают на прокси-серверы. Далее запросы размножаются и увеличенный поток поступает по указанному адресу. Возможность создания злоумышленником таких атак DoS имеет место, если при запросе регистрации сервер регистрации не производит достаточно надежную аутентификацию пользователя. Использование многоадресной (multicusting) передачи запросов также может предоставить злоумышленнику возможность в создании таких атак DoS.
Другая причина атаки DoS может иметь место в сети SIP-T, когда на участке сети связи ТфОП/ISDN злоумышленником отправляются ложные сообщения управления сетью сигнализацией подсистемы ОКС-7. Анализ этих угроз и механизмов защиты приводится в последующих главах.
В сети VoIP пути прохождения сигнальных сообщений и медиаданных различаются. В то время как сигнальные сообщения замыкаются на программном коммутаторе, который реализует функции обработки сигнализации и управления соединениями, медиаданные передаются между участниками соединения медиашлюзами напрямую.
Медиашлюз реализует функции кодирования медиаданных, их трансляции между IP-сетью и абонентом, а также между IP-сетью и сетью ТфОП. Для организации медиапотока в рамках каждой сессии на медиашлюзе динамически определяются параметры медиасессии, такие как тип медиаданных, используемый кодек и др. Выделяется транспортный адрес, состоящий из пары «IP-адрес и UDP/TCP-порт». Эти значения медиашлюз с помощью сообщений сигнализации передает предполагаемому участнику устанавливаемой сессии.
Существует угроза DoS-атаки на медиашлюз по каналам медиаданных, которая обусловлена тем, что злоумышленнику известен транспортный адрес медиашлюза (IP-адрес и UDP/TCP-порт), на который медиашлюз готов принимать медиаданные.