Date post: | 23-Jan-2016 |
Category: |
Documents |
Upload: | gerardo-alarcon-lopez |
View: | 221 times |
Download: | 0 times |
Seguridad en SIP
Aplicaciones Distribuidas AvanzadasDoctorado Ingeniería Telemática
Antonio GuerreroJunio 2003
Jun 20032
1. Introducción a SIP
2. Amenazas
3. Mecanismos de protección
4. Conclusiones
CONTENIDO
Jun 20033
1. BREVE INTRODUCCIÓN A SIP
Jun 20034
Telefonía IP: Protocolos
Jun 20035
SIP: Session Initiation Protocol
Estándar del IETF (RFC 3261)
Protocolo de establecimiento de sesiones multimedia
Interoperable con anteriores VoIP
Diseñado para Internet: similar a HTTP
Escalable y muy flexible– Permite rápido desarrollo de nuevos servicios
Jun 20036
Ejemplo Operación
Flujo MultimediaUAC UAS
Jun 20037
Mensajes SIP
Petición Respuesta
(INVITE – ACK – BYE – CANCEL – OPTIONS – REGISTER – INFO – COMET - …)
Línea de
ComienzoCabeceras
Cuerpo del
mensaje
Jun 20038
2. AMENAZAS
Jun 20039
Ataques
Suplantación de identidad– Cabecera “From:”– Permite anonimato
Denegación del Servicio (DoS):– Un tercero envía mensajes CANCEL, BYE, errores (4xx, 5xx,
6xx)
Reencaminamiento de la comunicación– Un tercero envía mensaje ACK o de Redirección (3xx)
Jun 200310
Ataques (cont.)
Registros ilegales– Un tercero registra mi alias con su dirección
Modificación de sesiones activas– Nuevos parámetros de sesión
Información de localización– Servidores de localización ofreciendo información sensible
Análisis de tráfico y escucha– A quién llamo, qué sesión MM establezco
Jun 200311
3. MECANISMOS DE PROTECCIÓN - BASIC AUTHENTICATION- DIGEST AUTHENTICATION- EXTENDED AUTHENTICATION- PGP- S/MIME- HOP BY HOP
Jun 200312
BASIC AUTHENTICATION (RFC2616)
SIP/2.0 401 Unauthorized
…
WWW-Authenticate: Basic realm=“ESCUELA"
…
Authorization: Basic QWRZaW46Zm9vYmFY
…
BASE64(usuario:contraseña)
INVITE sip:[email protected] SIP/2.0
UACServidor
SIP
o
UAS
Jun 200313
DIGEST AUTHENTICATION (RFC1321)
SIP/2.0 401 Unauthorized
…
WWW-Authenticate: Digest realm=“ESCUELA", … ,
nonce="84e0a095c…", algorithm=MD5, …
…
Authorization: Digest RZcfd25153b2e4014aW46
…MD5(usuario:contraseña:nonce)
NONCE´único para cada request
MD5 no reversible
Resto de cosas van en claro, podrían ser modificadas
INVITE sip:[email protected] SIP/2.0
UACServidor
SIP
O
UAS
Jun 200314
SIP Digest
Draft que extiende el método HTTP WWW-Authenticate
Incluyendo una firma digital del mensaje
Se firman también las cabeceras inmutables y los datos
Se autentifica mensaje del llamante ante proxies y destinatarios
Se autentifica mensaje del llamado ante proxies y llamante
Jun 200315
SIP Digest
Jun 200316
PGP Authentication
SIP/2.0 401 Unauthorized
…
WWW-Authenticate: pgp ;version="5.0" ;realm=“WonderLand" ;algorithm=md5 ;nonce="933082051"
Authorization: pgp version="5.0" ;realm=“WonderLand" ;nonce="933082051" ;signature="iQB1Aw…"
+ cabecera “Response-Key” (envío de clave pública)
INVITE sip:[email protected] SIP/2.0
Servidor
SIP
O
UAS
UAC
Jun 200317
PGP Encryption
Otras cabeceras variables: record route, contact
Jun 200318
S/MIME
Para cualquier protocolo que utilice datos MIME– HTTP, E-Mail, y SIP
Ofrece cifrado y firma de los datos
Tipo MIME
Datos MIME
Jun 200319
HOP-BY-HOP Protection
Mensajes SIP PUEDEN protegerse al nivel de red o de transporte
No hay recomendaciones explícitas. Algunos mecanismos:– IPSec– TLS
Ofrecen autenticación y cifrado
Normalmente especificados FUERA DE BANDA
RFC 3329 propone un mecanismo para negociar protección: PGP, TLS, IPSec, etc.– Mediante nuevas cabeceras SIP
(HOP-BY-HOP requiere confianza transitiva)
Jun 200320
Otros problemas
-Privacidad de las respuestas-Cabeceras que iban cifradas DEBERÍAN devolverse cifradas
-Se recomienda incluir la clave de sesión en las peticiones
-Privacidad del usuario llamado-Los servicios de localización pueden ofrecer a un solicitante información sensible
-Las implementaciones DEBERÍAN poder restringir la información de localización y disponibilidad para cada usuario
Jun 200321
CONCLUSIONES
SIP es vulnerable y necesita ser protegido
Ataques: suplantación, escucha, DoS, otros
Pueden combinarse varias técnicas para ofrecer modelos de seguridad más completos
SIP es sólo una parte de un conjunto de protocolos
Seguridad SIP todavía en desarrollo