- •Глава 18. Ip-телефония
- •18.1. Протокол sip
- •18.1.1.Упрощенный пример сети на базе протокола sip
- •18.1.2. Cетевые компоненты протокола sip
- •18.1.3. Сообщения sip
- •18.1.3.1. Поля заголовка сообщения при регистрации sip
- •18.1.3.2. Транзакции и диалоги sip
- •18.1.3.3. Маршрутизация сообщений sip
- •18.1.4. Протокол sip-t
- •18.2. Информационная безопасность sip
- •18.2.1. Угрозы иб
- •18.2.1.2. Подмена сервера
- •18.2.1.4. Прерывание сеанса связи
- •18.2.1.5. Отказ в обслуживании
- •18.2.2. Требования к способам обеспечения иб в сети sip
- •18.2.3. Механизмы обеспечения иб
- •18.2.3.1. Механизм иб sip-сети на базе протокола ipSec
- •18.2.3.2. Механизм иб sip-сети на базе протокола tls
- •18.2.3.3. Механизм иб sip-сети на базе протокола s/mime
- •18.2.3.4. Механизм аутентификации пользователя в sip-сети на базе протокола http Digest
- •18.2.3.5. Аутентификация идентификатора пользователя
- •18.3. Транспортировка данных в сети sip
- •18.3.1. Протоколы транспортировки данных
- •18.3.2. Обеспечение иб при транспортировке данных
18.2.2. Требования к способам обеспечения иб в сети sip
В настоящем разделе приводятся изложенные в стандарте RFC 3261 [57] основные требования к способам обеспечения ИБ в сетях SIP. Эти требования сводятся к следующим способам ИБ сигнальных сообщений.
Конфиденциальность сообщений. Запросы и ответы SIP содержат информацию, которая в открытом виде по сети SIP передаваться не должна. Следует учесть, что невозможно обеспечить сквозное шифрование всего заголовка сообщения SIP из конца в конец, так как в них содержатся необходимые для маршрутизации поля адресации (Rout, Request-URI, Via). Передача этих данных в открытом виде представляет так же, как и в примере шифрования в сети передачи данных (глава 2, раздел 5) угрозу анализа трафика. Поэтому должно производиться канальное шифрование/дешифрование, т.е. между ретрансляторами (hop-by-hop). Обратите внимание на отличие от канального шифрования в сети передачи данных в главе 2, которое вызвано различием архитектур выполнения функций сигнализации. В сети SIP используется выделенная сеть сигнализации. Поэтому ИБ рассматривается отдельно для сети сигнализации и для медиапотока. В сети SIP некоторые поля адресации изменяются в транзитных пунктах прокси-серверов, а в приведенном примере сети передачи данных адрес пункта назначения остается неизменным. Тело сообщения SIP может быть зашифровано из конца в конец. В составе тела сообщения с помощью цифрового конверта может быть передан общий ключ шифрования сеанса связи (глава 13).
Аутентификация участников сеанса. Должна быть проверена подлинность взаимодействующих пользователей сеанса связи и прокси-серверов. Для SDP-тела требуется отдельный механизм взаимной аутентификации.
Целостность сообщений.
Защита от атак повтора сообщений.
Защита от атак фальсификации сообщений.
Защита от атак DoS.
Отдельного внимания требует обеспечение конфиденциальности, целостности и аутентификация данных в составе тела заголовков сообщений SIP, требующее сквозного обеспечения информационной безопасности между пользователями сеанса связи.
Все механизмы обеспечения ИБ сети SIP в соответствии со стандартом RFC 3261 можно разделить на средства, базирующиеся на протоколы ИБ прикладного, транспортного и сетевого уровней IP-сети.
К таким протоколам прикладного уровня, протоколы ИБ которых используются для защиты от угроз в IP-сети, относятся:
протокол аутентификации при передаче гипертекста HTTP (Hypertext Transfer Protocol);
протокол ИБ электронной почты S/MIME (Security/Multipurpouse Internet Mail Extention, стандарты RFC 2632-2634). Этот протокол используется в сети SIP в соответствии с положениями последней версии стандарта по SIP RFC 3261;
протокол ИБ электронной почты PGP, описание которого приведено в главе 13. Этот протокол использовался в сети SIP в соответствии с положениями предыдущей версии стандарта по SIP (RFC 2543 [58]).
В главе 13 приведено описание протоколов ИБ сетевого уровня IPSec и протокола ИБ транспортного уровня TLS.