Nếu như chính sách của proxy khơng chấp nhận bản tin INVITE, thì nó gửi trả lại với đáp ứng 421 (Extension Require: yêu cầu mở rộng) với header Security-Server mà ghi với giá trị là Ipsec-IKE và TLS. Khi mà UAC hỗ trợ Ipsec-IKE, nó thực hiện đổi khóa và thiết lập liên kết đảm bảo với proxy.
Bản tin INVITE thứ 2 (4) và ACK (8) chứa header Security-Verify có giá trị giống với header Security-Verify mà nó nhận trong đáp ứng 421. Bản tin INVITE (4), đáp ứng 200 OK (7), và ACK (8) được gửi dùng kết hợp bảo mật mà đã thiết lập.
Thỏa thuận bảo mật có thể bị tấn cơng bởi các khả năng:
• Kẻ tấn cơng có thể tìm cách chỉnh sửa danh sách kỹ thuật bảo mật của server trong đáp ứng đầu tiên. Điều này có thể ảnh hưởng tới server khi mà client gửi trả danh sách kỹ thuật bảo mật dùng mà nhận được.
• Kẻ tấn cơng có thể chỉnh sửa danh sách lặp lại trong yêu cầu thứ hai của client. Tuy nhiên, nếu như chọn kỹ thuật bảo mật dùng mã hóa, thì khó tấn cơng hơn.
Và nếu như được dùng trong tồn bộ q trình bảo mật, thì bất kỳ sự thay đổi nào cũng sẽ bị server phát hiện.
• Người tấn cơng có thể sửa đổi danh sách bảo mật trong bản tin đầu tiên. Client chọn kỹ thuật bảo mật dựa trên khả năng của nó và danh sách của server, do đó lựa chọn của client có thể khơng bị ảnh hưởng bởi việc sửa đổi nào. Tuy nhiên, lựa chọn của server vẫn có thể bị ảnh hưởng. Nếu sự sửa đổi làm ảnh hưởng tới việc lựa chọn của server. Server và client có thể kết thúc lựa chọn các kỹ thuật bảo mật khác nhau trong bước 3 và 4. Khi đó nó khơng thể giao tiếp với các phần tử khác, đây là một trong những khả năng bị tấn cơng. Client này có thể hoặc là thử lại hoặc là từ bỏ trong trường hợp này. Nếu việc sửa đổi không làm ảnh hưởng tới sự lựa chọn của server, thì tấn cơng khơng có tác dụng.
3.4 Các vấn đề trong kỹ thuật bảo mật trong SIP3.4.1 Nhận thực 3.4.1 Nhận thực
Nhận thực đảm bảo một bản tin đã được tạo và gửi đi bởi nguồn yêu cầu. Nhận thực bao hàm cả việc bảo vệ chống sửa đổi, trễ, chạy lại và ra lệnh lại.
SIP cung cấp kỹ thuật dựa trên thay đổi trạng thái để nhận thực. Nhận thực bảo vệ toàn bộ các yêu cầu và đáp ứng.
Nhóm phát triển SIP của IETF khơng phát triển kỹ thuật nhận thực mới, họ sử dụng giản đồ nhận thực như sử dụng trong HTTP. Một điểm khác biệt đó là đó là khai báo tên miền bảo vệ, với HTTP nó được khai báo với thơng số realm và URL. SIP khai báo thông tin người dùng, phần host và cổng của Request-URI.
3.4.2 Tính nguyên vẹn
Tính nguyên vẹn bản tin đảm bảo chỉ các thành viên được ủy quyền mới có thể chỉnh sửa bản tin. Trong hầu hết các trường hợp bảo vệ tính nguyên vẹn chỉ được áp dụng cho phần đặc biệt của bản tin, có nghĩa là những phần khơng được phép chỉnh sửa.
Khó khăn trong việc bảo vệ tính ngun vẹn trong SIP đó là các bản tin được phép thay đổi bởi các phần tử mạng trung gian. Điều đó có nghĩa là các phần mà cho phép thay đổi thì khơng được tính đến trong việc bảo vệ tính nguyên vẹn.
SIP đưa ra phần kí hiệu của bản tin mà không bị thay đổi bởi các phần tử trung gian trong mạng. Ký hiệu là một trong những cách để đảm bảo tính nguyên vẹn bản tin bằng cách dùng hàm băm (chuẩn RFC 2543 cho SIP). Hiện nay việc bảo vệ tính nguyên vẹn trong SIP được đưa ra bởi kỹ thuật nhận thực Digest. Khơng có bảo vệ
tính ngun vẹn tồn bộ bản tin. S/MIME cũng được dùng để bảo vệ tính nguyên vẹn của thân bản tin.
Mặc dù khơng có sự bảo vệ nguyên vẹn cho toàn bộ bản tin SIP, nhưng trong các khuyến nghị của IETF, đầu cuối SIP được hỗ trợ TLS, IPSec luôn được đưa ra để cung cấp bảo vệ tính nguyên vẹn.
3.4.3 Tính đảm bảo
Với bản tin đảm bảo thì chỉ các thành viên được trao quyền mới có thể đọc được
nội dung bản tin. Trong SIP, mã hóa được dùng để cung cấp tính đảm bảo bản tin. Vấn đề với việc mã hóa tồn trình trong SIP đó là các phần tử trung gian trong mạng cần phải quan sát được một số phần của bản tin có thể thực hiện nhiệm vụ của chúng. Các phần tử này có thể rất nhạy cảm với người dùng, điều đó cũng có nghĩa là mất hết tính ưu việt của việc dùng mã hóa.
3.5 Các kỹ thuật bảo mật được đề xuất trong SIP3.5.1 HTTP Digest 3.5.1 HTTP Digest
Hai chuẩn kỹ thuật nhận thực trong HTTP có tên là Basic và Digest. Kỹ thuật thứ nhất là phương pháp cũ và khơng an tồn, bởi vì nó gửi các ủy nhiệm của client trong dạng hiển thị text. Nhận thực Digest thì đảm bảo hơn do kỹ thuật nhận thực này dùng kiểm tra tổng cho những ủy nhiệm. Mặc dù nó khơng phải là giải pháp hồn hảo cho việc đảm bảo nhận thực, nhưng nó ngăn chặn hầu hết các lỗ hổng trong nhận thực Basic. SIP sử dụng kỹ thuật nhận thực Digest cho hoạt động nhận thực. Và cơ chế nhận thực ở đây là sử dụng hàm băm.