- •Глава 18. Ip-телефония
- •18.1. Протокол sip
- •18.1.1.Упрощенный пример сети на базе протокола sip
- •18.1.2. Cетевые компоненты протокола sip
- •18.1.3. Сообщения sip
- •18.1.3.1. Поля заголовка сообщения при регистрации sip
- •18.1.3.2. Транзакции и диалоги sip
- •18.1.3.3. Маршрутизация сообщений sip
- •18.1.4. Протокол sip-t
- •18.2. Информационная безопасность sip
- •18.2.1. Угрозы иб
- •18.2.1.2. Подмена сервера
- •18.2.1.4. Прерывание сеанса связи
- •18.2.1.5. Отказ в обслуживании
- •18.2.2. Требования к способам обеспечения иб в сети sip
- •18.2.3. Механизмы обеспечения иб
- •18.2.3.1. Механизм иб sip-сети на базе протокола ipSec
- •18.2.3.2. Механизм иб sip-сети на базе протокола tls
- •18.2.3.3. Механизм иб sip-сети на базе протокола s/mime
- •18.2.3.4. Механизм аутентификации пользователя в sip-сети на базе протокола http Digest
- •18.2.3.5. Аутентификация идентификатора пользователя
- •18.3. Транспортировка данных в сети sip
- •18.3.1. Протоколы транспортировки данных
- •18.3.2. Обеспечение иб при транспортировке данных
18.2.3. Механизмы обеспечения иб
18.2.3.1. Механизм иб sip-сети на базе протокола ipSec
В предыдущей версии стандарта по SIP (RFC 2543) в качестве механизма ИБ протокол IPSec рассматривается:
для шифрования на каждом канальном участке сети SIP (hop-to-hop);
аутентификации заголовка (обеспечивая при этом его целостность и контроль доступа).
В последней версии стандарта по SIP (RFC 3261) протокол IPSec рассматривается как возможный вариант обеспечения ИБ:
для сети SIP в качестве дополнительного средства защиты прикладного уровня хостов;
для сервера агента пользователя UAS и взаимодействующего с ним первого ретранслирующего с ним прокси-сервера;
для обеспечения ИБ на каждом канальном участке сети SIP (hop-to-hop).
18.2.3.2. Механизм иб sip-сети на базе протокола tls
Протокол TLS обеспечивает аутентификацию, целостность сообщений и шифрование.
В соответствии с требованиями стандарта RFC 3261 прокси-серверы, серверы перенаправления и регистрации должны реализовывать протокол TLS и обеспечивать взаимную и одностороннюю аутентификацию. Строго рекомендуется, чтобы UAS могли также действовать как серверы TLS. Прокси-серверы, серверы перенаправления и регистрации должны содержать сертификаты своего хоста. Серверы агента пользователя могут иметь собственные сертификаты для взаимной аутентификации по протоколу TLS. Все элементы сети SIP, которые используют протокол TLS, должны иметь механизм для проверки достоверности сертификатов, полученных при обмене по протоколу TLS. Для этого необходимо обладать одним или несколькими корневыми сертификатами (предпочтительно одним или несколькими хорошо известными распределителями сертификационных сайтов, сравнимых с теми распределителями, которые выпускают корневые сертификаты для веб-браузеров).
В стандарте RFC 3261 отмечается, что протокол TLS наиболее пригоден для архитектуры, в которой ИБ между ретрансляторами (hop-by-hop), не была установлена доверительная связь. Например, Алис доверяет ее местному прокси-серверу. Этот прокси-сервер после обмена сертификатами доверяет местному прокси-серверу Боба, которому доверяет и Боб. Поэтому Боб и Алис взаимно аутентифицированы и могут безопасно общаться. TLS не является полностью независимым от приложения SIP. Необходимо, чтобы TLS в сетях SIP использовал как минимум (в соответствии с требованиями стандарта RFC 3261) протокол шифрования с открытым ключом RSA, протокол шифрования с общим ключом AES и длиной ключа 128 бит. Для совместимости требуется также поддержка протокола тройной DES. Могут использоваться и другие протоколы.
Схема с указанием в запросах и ответах sips, а не sip означает требование процедур обеспечения ИБ. Присутствие в поле заголовка Request-URI sips означает, что каждый ретрансляционный участок, через который посылается запрос, должен быть защищен с помощью протокола TLS. Как только запрос достигает локального домена вызываемого пользователя, вполне возможно он пересылается на последнем участке к серверу агента пользователя UAS c использованием протокола TLS. Должна быть подтверждена подлинность полученных в процессе аутентификации сертификатов с помощью корневых сертификатов, содержащихся у клиента. Отказ в подлинности сертификата служит основанием в отказе на запрос.