Nexpert SIP - Security

From 탱이의 잡동사니
Jump to navigation Jump to search

Overview

원문은 이곳<ref>https://www.nexpert.net/276</ref>에서 확인이 가능하다.

다양한 SIP 보안 방법

SIP 에서 제공하는 보안을 위한 방법들은 다음과 같다.

  • Digest Authentication (발신자 인증)
같은 도메인 내에서 적용되어 발신자를 인증하기 위해 사용하는 방식으로 가장 많이 사용한다. HTTP에서 사용되는 인증방식으로 재사용 공격 방지와 인증을 제공한다.
  • TLS/IPSec
Hop by Hop 또는 End-to-End 로 Signalling 에 대한 기밀성과 무결성을 보장한다.
  • S/MIME(Secure / Multipurpose Internet Mail Extension)
SIP 메시지 바디는 MIME으로 구성되어 있으며, 이 메시지를 암호화하여 기밀성 및 무결성을 제공한다.
  • Network Asserted Identity(NAI)
같은 도메인 내의 사용자를 식별한다.
  • SIP Identity
NAI 가 같은 도메인 내에서 발신측을 식별하였다면, SIP Identity 는 도메인과 도메인같에 발신측을 인증한다.
  • SIP Privacy
외부 도메인에 대해 메시지의 특정 부분을 보호한다.

SIP Digest Authentication

SIP Digest은 INVITE, REGISTER 등과 같은 요청에 대해 서버는 NONCE 라고 하는 난수 물자열을 생성하여 전송한다. UAC는 사용자 이름, 암호 및 NONCE 를 포함하는 MD5 Hash 로 응답한다. 주고 받는 메시지 내에서 사용자 이름과 암호를 확인하기 어렵기 때문에 발신자에 대한 인증과 재사용(Replay) 공격을 방지할 수 있다. 이 인증 방법은 HTTP Digest Authentication 을 기반으로 하여 RFC 2617 에 자세히 나와 있다. 여기서, 사용자 이름과 암호는 고유하며, 쌍방간에 사전에 교환되었음을 가정한다. 따라서, 신뢰할 수 있는 도메인 내에서만 사용되는 것이다.

Alice -> SIP Proxy Bigbox 10

INVITE sip:audrey@atlanta.com SIP/2.0
Via: SIP/2.0/TCP pc33.atlanta.com;branch=z9hG4bK74b43
Max-Forwards: 70
From: Alice <sip:alice@atlanta.com>;tag=9fxced76sl
To: Audrey <sip:audrey@atlanta.com>
Call-ID: 3848276298220188511@pc33.atlanta.com
CSeq: 31862 INVITE
Contact: <sip:alice@atlanta.com>
Content-Type: application/sdp
Content-Length: 151

(Alice's SDP not shown)



SIP Proxy Bigbox 10 -> Alice

SIP/2.0 407 Proxy Authorization Required
Via: SIP/2.0/TLS pc33.atlanta.com ;branch=z9hG4bK74b43 ;received=10.1.3.33
From: Alice <sips:alice@atlanta.com> ;tag=9fxced76sl
To: Audrey <sips:audrey@atlanta.com> ;tag=3flal12sf
Call-ID: 3848276298220188511@pc33.atlanta.com
CSeq: 31862 INVITE
Proxy-Authenticate: Digestr realm="atlanta.com", qop="auth", nonce="f84f1cec41e6cbe5aea9c8e88d359", opaque="", stale=FALSE, algorithm=MD5
Content=Length:0

See also