- •Глава 18. Ip-телефония
- •18.1. Протокол sip
- •18.1.1.Упрощенный пример сети на базе протокола sip
- •18.1.2. Cетевые компоненты протокола sip
- •18.1.3. Сообщения sip
- •18.1.3.1. Поля заголовка сообщения при регистрации sip
- •18.1.3.2. Транзакции и диалоги sip
- •18.1.3.3. Маршрутизация сообщений sip
- •18.1.4. Протокол sip-t
- •18.2. Информационная безопасность sip
- •18.2.1. Угрозы иб
- •18.2.1.2. Подмена сервера
- •18.2.1.4. Прерывание сеанса связи
- •18.2.1.5. Отказ в обслуживании
- •18.2.2. Требования к способам обеспечения иб в сети sip
- •18.2.3. Механизмы обеспечения иб
- •18.2.3.1. Механизм иб sip-сети на базе протокола ipSec
- •18.2.3.2. Механизм иб sip-сети на базе протокола tls
- •18.2.3.3. Механизм иб sip-сети на базе протокола s/mime
- •18.2.3.4. Механизм аутентификации пользователя в sip-сети на базе протокола http Digest
- •18.2.3.5. Аутентификация идентификатора пользователя
- •18.3. Транспортировка данных в сети sip
- •18.3.1. Протоколы транспортировки данных
- •18.3.2. Обеспечение иб при транспортировке данных
18.2. Информационная безопасность sip
18.2.1. Угрозы иб
В настоящем разделе приводятся изложенные в стандарте RFC 3261 [57] примеры некоторых угроз ИБ в сетях SIP. Эти угрозы являются общими для большинства сетей SIP.
18.2.1.1. Угрозы с использованием регистрации
Регистрация может производится не только самим пользователем терминала, но и нарушителем. В этом случае в заголовках From и To запроса REGISTER установлены одинаковые адреса. Злоумышленник может пожелать, чтобы соединения других пользователей устанавливались с ним. Для этого он перерегистрирует всех легитимных пользователей, а затем регистрирует свое устройство. В результате при отсутствии защиты, гарантирующего подлинность источника требования SIP, вызовы от других пользователей поступают злоумышленнику. Этот пример показывает необходимость аутентификации источника запроса SIP.
18.2.1.2. Подмена сервера
Имя домена, к которому должен поступить запрос SIP установлен в поле Request-URI заголовка запроса. UAC в этом домене связан непосредственно с сервером, которому передает запрос. Возможна угроза ИБ путем подмены легитимного сервера. В результате фиктивный сервер переправляет запрос на другой домен. При регистрации пользователя все запросы к нему будут направляться в ложный сервер. Этот пример показывает необходимость защиты с помощью механизма аутентификации сервера (т.е. взаимная аутентификация).
18.2.1.3. Изменение содержания тела заголовка
В сети SIP требуется обеспечить конфиденциальность некоторых данных в сообщениях сигнализации. Это относится, например, к инкапсулированным данным ОКС№7 в тело заголовка. Это требование вызвано угрозой злоумышленно изменить тело заголовка c целью прослушивания переговоров по установленному соединению. Этот пример показывает необходимость предоставить возможность шифрования/дешифрования некоторых данных тела заголовка, целостность и аутентификацию.
18.2.1.4. Прерывание сеанса связи
После установления соединения последующие запросы могут быть отправлены для изменения состояния диалога и/или сеанса. Важно, чтобы пользователи были уверены в том, что эти запросы не подделаны злоумышленниками. Злоумышленник может узнать некоторые параметры во время первоначального установления сеанса (поля заголовка To, From и др.), а затем передать ложный запрос INVITE. Последний запрос видоизменяет сеанс (например, переправляет медиапотоки для атаки прослушивания разговоров). Этот пример, также как и предыдущий, показывает необходимость предоставить возможность шифрования/дешифрования некоторых данных, обеспечения их целостности и аутентификации.
18.2.1.5. Отказ в обслуживании
Атака отказ в обслуживании (DoS) нацелена на перевод сетевого элемента в состояние неработоспособности (неготовности). R таким угрозам и обычно относят направление чрезмерно большого трафика на его интерфейсы. Распределенная DDoS (Distributed Denial of Service) атака позволяет одному пользователю сети SIP воздействовать на много сетевых узлов с тем, чтобы они передавали очень большой сетевой трафик на определенный узел сети («затопили» его). Во многих архитектурах прокси-серверы сети SIP взаимодействуют с публичной сетью Интернет, к которой подключено множество IP-терминалов. В результате, сеть SIP предоставляет возможность для DDoS атак, что должно быть учтено разработчиками и операторами сетей SIP.
Злоумышленники могут создавать поддельные запросы, содержащие фальсифицированные IP-адреса источника и соответствующее поле заголовка Via. Эти параметры идентифицируют ложный источник этих запросов, на который затем через агента пользователя или прокси-сервер SIP генерируется трафик, приводящий к DoS.
Аналогично злоумышленник может использовать фальсифицированные значения заголовка Route. Этот заголовок служит для принудительной маршрутизации запроса в соответствии со списком прокси-серверов. Фальсифицированные значения в составе этого заголовка поступают на прокси-серверы. Далее запросы размножаются и увеличенный поток поступает по указанному адресу.
Возможность создания злоумышленником таких атак DoS имеет место, если при запросе регистрации сервер регистрации не производит достаточно надежную аутентификацию пользователя. Использование многоадресной (multicusting) передачи запросов также может предоставить злоумышленнику возможность в создании таких атак DoS.
Другая причина атаки DoS может иметь место в сети SIP-T, когда на участке сети связи ТфОП/ISDN злоумышленником отправляются ложные сообщения управления сетью сигнализацией подсистемы ОКС№7. К числу таких сообщений относятся сообщение о полной перегрузке (сообщение управление переносом - TFC, Transfer control) и сообщение об ограниченной перегрузке (TFR, Transfer restricted). Эти сообщения направляются в адрес шлюза сигнализации MGC и приводят к нарушению маршрутизации. Результатом является полное или частичное прекращение возможности установления сеанса связи через указанные в этих сообщениях пункты сигнализации. Указанные два ложных сообщения в адрес MGC являются не единственными, которые могут привеcти к таким последствиям. К таким сообщениям относятся также и другие, выполняющие функции управления сетью сигнализации ОКС№7, которые подлежат рассмотрению ниже в главах 19 и 22:
- функция MTP вынужденная ремаршрутизация (сообщение TFP);
- функция MTP управление потоком сигнального трафика подсистемы MTP3 (сообщение UPU);
- функция MTP управляемая маршрутизация (сообщение TFA);
- функция перезапуск MTP;
- функция MTP перевод трафика на резервное звено сигнализации (сообщение COO);
- функция MTP восстановление трафика на исходное звено сигнализации сообщение (COA).