Nexpert SIP - Security
Overview
원문은 이곳<ref>https://www.nexpert.net/276</ref>에서 확인이 가능하다.
다양한 SIP 보안 방법
SIP 에서 제공하는 보안을 위한 방법들은 다음과 같다.
- Digest Authentication (발신자 인증)
- 같은 도메인 내에서 적용되어 발신자를 인증하기 위해 사용하는 방식으로 가장 많이 사용한다. HTTP에서 사용되는 인증방식으로 재사용 공격 방지와 인증을 제공한다.
- TLS/IPSec
- Hop by Hop 또는 End-to-End 로 Signalling 에 대한 기밀성과 무결성을 보장한다.
- S/MIME(Secure / Multipurpose Internet Mail Extension)
- SIP 메시지 바디는 MIME으로 구성되어 있으며, 이 메시지를 암호화하여 기밀성 및 무결성을 제공한다.
- Network Asserted Identity(NAI)
- 같은 도메인 내의 사용자를 식별한다.
- SIP Identity
- NAI 가 같은 도메인 내에서 발신측을 식별하였다면, SIP Identity 는 도메인과 도메인같에 발신측을 인증한다.
- SIP Privacy
- 외부 도메인에 대해 메시지의 특정 부분을 보호한다.
SIP Digest Authentication
SIP Digest은 INVITE, REGISTER 등과 같은 요청에 대해 서버는 NONCE 라고 하는 난수 물자열을 생성하여 전송한다. UAC는 사용자 이름, 암호 및 NONCE 를 포함하는 MD5 Hash 로 응답한다. 주고 받는 메시지 내에서 사용자 이름과 암호를 확인하기 어렵기 때문에 발신자에 대한 인증과 재사용(Replay) 공격을 방지할 수 있다. 이 인증 방법은 HTTP Digest Authentication 을 기반으로 하여 RFC 2617 에 자세히 나와 있다. 여기서, 사용자 이름과 암호는 고유하며, 쌍방간에 사전에 교환되었음을 가정한다. 따라서, 신뢰할 수 있는 도메인 내에서만 사용되는 것이다.
Alice -> SIP Proxy Bigbox 10 INVITE sip:audrey@atlanta.com SIP/2.0 Via: SIP/2.0/TCP pc33.atlanta.com;branch=z9hG4bK74b43 Max-Forwards: 70 From: Alice <sip:alice@atlanta.com>;tag=9fxced76sl To: Audrey <sip:audrey@atlanta.com> Call-ID: 3848276298220188511@pc33.atlanta.com CSeq: 31862 INVITE Contact: <sip:alice@atlanta.com> Content-Type: application/sdp Content-Length: 151 (Alice's SDP not shown) SIP Proxy Bigbox 10 -> Alice SIP/2.0 407 Proxy Authorization Required Via: SIP/2.0/TLS pc33.atlanta.com ;branch=z9hG4bK74b43 ;received=10.1.3.33 From: Alice <sips:alice@atlanta.com> ;tag=9fxced76sl To: Audrey <sips:audrey@atlanta.com> ;tag=3flal12sf Call-ID: 3848276298220188511@pc33.atlanta.com CSeq: 31862 INVITE Proxy-Authenticate: Digestr realm="atlanta.com", qop="auth", nonce="f84f1cec41e6cbe5aea9c8e88d359", opaque="", stale=FALSE, algorithm=MD5 Content=Length:0
See also
References
<references />