Seguridad en SIP

Aplicaciones Distribuidas AvanzadasDoctorado Ingeniería Telemática

Antonio GuerreroJunio 2003

Jun 20032

1. Introducción a SIP

2. Amenazas

3. Mecanismos de protección

4. Conclusiones

CONTENIDO

Jun 20033

1. BREVE INTRODUCCIÓN A SIP

Jun 20034

Telefonía IP: Protocolos

Jun 20035

SIP: Session Initiation Protocol

Estándar del IETF (RFC 3261)

Protocolo de establecimiento de sesiones multimedia

Interoperable con anteriores VoIP

Diseñado para Internet: similar a HTTP

Escalable y muy flexible– Permite rápido desarrollo de nuevos servicios

Jun 20036

Ejemplo Operación

Flujo MultimediaUAC UAS

Jun 20037

Mensajes SIP

Petición Respuesta

(INVITE – ACK – BYE – CANCEL – OPTIONS – REGISTER – INFO – COMET - …)

Línea de

ComienzoCabeceras

Cuerpo del

mensaje

Jun 20038

2. AMENAZAS

Jun 20039

Ataques

Suplantación de identidad– Cabecera “From:”– Permite anonimato

Denegación del Servicio (DoS):– Un tercero envía mensajes CANCEL, BYE, errores (4xx, 5xx,

6xx)

Reencaminamiento de la comunicación– Un tercero envía mensaje ACK o de Redirección (3xx)

Jun 200310

Ataques (cont.)

Registros ilegales– Un tercero registra mi alias con su dirección

Modificación de sesiones activas– Nuevos parámetros de sesión

Información de localización– Servidores de localización ofreciendo información sensible

Análisis de tráfico y escucha– A quién llamo, qué sesión MM establezco

Jun 200311

3. MECANISMOS DE PROTECCIÓN - BASIC AUTHENTICATION- DIGEST AUTHENTICATION- EXTENDED AUTHENTICATION- PGP- S/MIME- HOP BY HOP

Jun 200312

BASIC AUTHENTICATION (RFC2616)

SIP/2.0 401 Unauthorized

…

WWW-Authenticate: Basic realm=“ESCUELA"

…

Authorization: Basic QWRZaW46Zm9vYmFY

…

BASE64(usuario:contraseña)

INVITE sip:alice.wonderland@example.com SIP/2.0

UACServidor

SIP

o

UAS

Jun 200313

DIGEST AUTHENTICATION (RFC1321)

SIP/2.0 401 Unauthorized

…

WWW-Authenticate: Digest realm=“ESCUELA", … ,

nonce="84e0a095c…", algorithm=MD5, …

…

Authorization: Digest RZcfd25153b2e4014aW46

…MD5(usuario:contraseña:nonce)

NONCE´único para cada request

MD5 no reversible

Resto de cosas van en claro, podrían ser modificadas

INVITE sip:alice.wonderland@example.com SIP/2.0

UACServidor

SIP

O

UAS

Jun 200314

SIP Digest

Draft que extiende el método HTTP WWW-Authenticate

Incluyendo una firma digital del mensaje

Se firman también las cabeceras inmutables y los datos

Se autentifica mensaje del llamante ante proxies y destinatarios

Se autentifica mensaje del llamado ante proxies y llamante

Jun 200315

SIP Digest

Jun 200316

PGP Authentication

SIP/2.0 401 Unauthorized

…

WWW-Authenticate: pgp ;version="5.0" ;realm=“WonderLand" ;algorithm=md5 ;nonce="933082051"

Authorization: pgp version="5.0" ;realm=“WonderLand" ;nonce="933082051" ;signature="iQB1Aw…"

+ cabecera “Response-Key” (envío de clave pública)

INVITE sip:alice.wonderland@example.com SIP/2.0

Servidor

SIP

O

UAS

UAC

Jun 200317

PGP Encryption

Otras cabeceras variables: record route, contact

Jun 200318

S/MIME

Para cualquier protocolo que utilice datos MIME– HTTP, E-Mail, y SIP

Ofrece cifrado y firma de los datos

Tipo MIME

Datos MIME

Jun 200319

HOP-BY-HOP Protection

Mensajes SIP PUEDEN protegerse al nivel de red o de transporte

No hay recomendaciones explícitas. Algunos mecanismos:– IPSec– TLS

Ofrecen autenticación y cifrado

Normalmente especificados FUERA DE BANDA

RFC 3329 propone un mecanismo para negociar protección: PGP, TLS, IPSec, etc.– Mediante nuevas cabeceras SIP

(HOP-BY-HOP requiere confianza transitiva)

Jun 200320

Otros problemas

-Privacidad de las respuestas-Cabeceras que iban cifradas DEBERÍAN devolverse cifradas

-Se recomienda incluir la clave de sesión en las peticiones

-Privacidad del usuario llamado-Los servicios de localización pueden ofrecer a un solicitante información sensible

-Las implementaciones DEBERÍAN poder restringir la información de localización y disponibilidad para cada usuario

Jun 200321

CONCLUSIONES

SIP es vulnerable y necesita ser protegido

Ataques: suplantación, escucha, DoS, otros

Pueden combinarse varias técnicas para ofrecer modelos de seguridad más completos

SIP es sólo una parte de un conjunto de protocolos

Seguridad SIP todavía en desarrollo