Передача речи (телефонных сообщений) по сетям с коммутацией пакетов на основе протокола IP (IP-телефония) – это технология для организации голосовой связи и мультимедийных сеансов по сетям IP, например Интернет. В настоящее время IP-телефония основывается на стандартном протоколе инициирования сеанса связи (SIP). SIP – это протокол прикладного уровня для создания, изменения и завершения сеанса связи с одним или несколькими участниками [1].

Широкая популярность IP-телефонии и ее использование в больших масштабах увеличивает уязвимость и проблемы безопасности, решение которых должны быть обеспечены при предоставлении услуг.

КЛАССИФИКАЦИЯ АТАК НА ПРОТОКОЛ SIP

Элементы и сообщения SIP могут подвергаться различным угрозам безопасности и атакам, основными из которых являются: DoS-атака на SIP, атака потока сообщений, атака фальшивыми ответами, лавинная атака SIP, лавинная атака аутентификации [2].

DoS-АТАКА НА SIP

DoS-атаки на SIP различаются в зависимости от типа атаки: некоторые атаки используют уязвимости в реализации протокола SIP, другие потребляют ресурсы, такие как пропускная способность сети или производительность агента SIP. DoS-атаки SIP можно разделить на три категории.

Атаки потоков сообщений: во время установления вызова агенты SIP обмениваются сообщениями, злоумышленник может выдавать себя за легитимного клиента SIP, чтобы изменять, отклонять или перехватывать вызовы IP-телефонии.

Лавинная атака: основывается на отправке пакетов SIP в таком большом объёме, что целевая система настолько занята обработкой запросов, что не может обрабатывать что-либо еще.

Атаки искаженным сообщением: основаны на отправке большого количества искаженных сообщений на сервер приложений SIP.

АТАКА ПОТОКА СООБЩЕНИЙ

SIP использует методы обмена запросами/ответами для установления сеанса связи. Данные сообщения являются текстовыми и в большинстве случаев передаются в открытом виде, следовательно, они могут быть изменены, подделаны или перехвачены для выполнения атак.

Атака отмены регистрации SIP: злоумышленник анализирует сетевой трафик, находит сообщение о регистрации, создает поддельное сообщение, идентичное найденному, за исключением того, что поле истечения срока действия установлено в ноль, а затем направляет его на сервер. В результате сервер удаляет запись клиента, при этом у клиента нет информации, что он не зарегистрирована на сервере.

Атака запросом отмены SIP: запрос CANCEL используется для отмены предыдущего запроса, отправленного клиентом, сервер которого еще не дал окончательного ответа. Злоумышленник анализирует сетевой трафик на предмет новых вызовов, а затем завершает каждый вызов запросом отмены.

Атака запросом BYE SIP: вызовы IP-телефонии завершаются одним из участников вызова, отправляющим запрос BYE. Многие серверы и клиенты приложений IP-телефонии обрабатывают запрос BYE без аутентификации. Это означает, что легко создать запрос BYE и отправить его на сервер приложений, который затем завершит вызовы.

АТАКА ФАЛЬШИВЫМИ ОТВЕТАМИ

Аутентификация SIP применяется только к SIP-сообщениям от клиента к серверам, а сообщения в обратном направлении остаются незащищенными. Злоумышленник может использовать эту уязвимость, чтобы отправить клиенту фальшивый ответ, не позволяя ему совершать звонки, или перенаправить звонок другому вызываемому абоненту.

Атака «Перехват вызова»: относится к ситуации, когда одна из предполагаемых конечных точек разговора обменивается со злоумышленником. После перехвата вызова его просто перенаправить исходному вызываемому абоненту, таким образом, реализуя атаку «человек посередине».

Атака запросом Invite: злоумышленник анализирует сетевой трафик в поисках запроса INVITE, похищает информацию аутентификации, восстанавливает поддельный запрос INVITE и затем перенаправляет его вызываемому абоненту или серверу SIP.

Атака с использованием RTP-вставки: злоумышленник анализирует SIP-трафик, знает одну или обе конечные точки, затем вводит альтернативный поток RTP, отправляя последовательность пакетов RTP на соответствующий IP-адрес и порт, таким образом, конечная точка будет получать введенный поток RTP, а не легитимный разговор.

ЛАВИННАЯ АТАКА SIP

Большое количество поддельных SIP-сообщений потребует выделения вычислительных ресурсов для их декодирования и интерпретации. Поскольку система занята обработкой поддельных сообщений, истинные будут обрабатываться гораздо медленнее, и общая производительность снизится.

Лавинная атака запросами регистрации SIP: все устройства SIP отправляют запросы REGISTER при запуске и через определенные промежутки времени после этого. В сетях с большим количеством телефонов вычислительная нагрузка, налагаемая на серверы приложений, может легко достичь уровня, когда сервер приложений будет слишком занят обработкой запросов REGISTER для обработки новых вызовов.

Лавинная атака запросами Invite: данная атака аналогична предыдущей, но атакуется не сервер приложений, а SIP-сервер.

ЛАВИННАЯ АТАКА АУТЕНТИФИКАЦИИ

SIP включает механизм аутентификации, основанный на механизме классификации HTTP. Этот механизм аутентификации использует модель запрос-ответ. Когда сервер приложений получает ответ клиента, он проверяет этот ответ, повторяя вычисление, используя его сохраненное значение для пароля пользователя. Злоумышленник может использовать это для проведения DoS-атаки. Злоумышленник может генерировать большое количество запросов и отвечать на каждый вызов случайным или фиксированным ответом.

ВЛИЯНИЕ АТАК НА ПРОТОКОЛ SIP

Рассмотренные уязвимости и угрозы протокола SIP оказывают большое влияние на проблему безопасности системы IP-телефонии. В таблице 1 представлены угрозы SIP, проблемы безопасности, которые они создают в системе IP-телефонии, и возможные пути их решения [2]. Различные атаки по-разному влияют на SIP в зависимости от применяемого подхода к атаке на систему.

Таблица 1. Атаки SIP и проблемы безопасности в системе IP-телефонии

ЗАКЛЮЧЕНИЕ

Защита протокола SIP является одной из основных задач для реализации безопасной сети IP-телефонии. Анализ безопасности протокола SIP показывает, что существуют различные угрозы для протокола SIP. Для обеспечения безопасности IP-телефонии на основе протокола SIP необходимо использовать различные дополнительные инструменты, к которым относится применение шифрования и аутентификации.