.2 Khởi tạo thỏa thuận bảo mật phía client

Một phần của tài liệu an toàn trong báo hiệu sip (Trang 82 - 84)

Một client thỏa thuận kỹ thuật bảo mật được dùng với proxy cận nó mà khơng cần biết trước kỹ thuật có được proxy hỗ trợ hay khơng (nếu khơng hỡ trợ thì client sẽ bị từ chới). Chỉ thị OPTIONS có thể được dùng để yêu cầu khả năng bảo mật của proxy.

Thí dụ các bản tin tham gia là (ở đây chỉ đưa ra một số header để minh họa) (1) OPTIONS sip: lopvt1.com SIP/2.0

Security-Client: tls Security-Client: digest Require: sec-agree

(2) SIP/2.0 494 Security Agreement Required Security-Server: ipsec-ike;q=0.1

Security-Server: tls;q=0.2

(3) INVITE sip: lopvt1.com SIP/2.0 Security-Verify: ipsec-ike;q=0.1 Security-Verify: tls;q=0.2

Route: sip: phuong@qtdn.com Require: sec-agree

Proxy-Require: sec-agree

UAC gửi yêu cầu OPTIONS tới proxy cận nó, chỉ ra trong cùng thời gian các kỹ thuật nào được dùng và nó hỗ trợ TLS và HTTP Digest (1).

Proxy cận nó đáp trả lại UAC với đáp ứng 494 (Security Agreement Required: các thỏa thuận bảo mật được yêu cầu) chứa danh sách kỹ thuật bảo mật của nó là Ipsec và TLS. Kỹ thuật bảo mật chung giữa client và proxy là TLS, và do đó chúng thiết lập kết nối TLS (2). Khi mà kết nối đã được thiết lập thành công, UAC gửi một yêu cầu INVITE qua kết nối TLS vừa mới được thiết lập (3). Yêu cầu INVITE này chứa danh sách bảo mật của server. Server kiểm tra lại bản tin INVITE, và sau đó nó tìm trong danh sách của nó, nó xử lý bản tin INVITE này và chuyển bản tin tới bước tiếp theo.

Nếu như trong thí dụ này mà khơng có header Security-Verify trong bước 2, UAC không biết loại bảo mật và những đặc điểm được hỗ trợ.

Nguy hiểm hơn nữa đó là, nếu như header Sercurity-Verify bị bỏ qua trong bước 3, thì tồn bộ q trình xử lý có thể bị kể tấn cơng kiểm sốt. Kẻ tấn cơng có thể làm giả bản tin “ICMP Port Unreachable” để thăm dò, hoặc là gỡ bỏ phần bảo mật trong header ở bước 1, và do đó làm giảm tính bảo mật.

Đáp ứng 200 OK (6) cho INVITE và ACK (7) cũng được gửi qua kết nối TLS. ACK sẽ chứa cùng header Security-Verify giống như là INVITE (3).

3.2.2.2 Server khởi tạo thỏa thuận bảo mật

Trong thí dụ này client gửi một bản tin INVITE tới đối tượng được gọi đi qua proxy. Bản tin INVITE này không chứa bất kỳ một header Require nào.

Thí dụ: (có các header minh họa)

(2) SIP/2.0 421 Extension Required Security-Server: ipsec-ike;q=0.1 Security-Server: tls;q=0.2

(4) INVITE sip: thuphuong.qtdn.vn SIP/2.0 Security-Verify: ipsec-ike;q=0.1

Security-Verify: tls;q=0.2

Một phần của tài liệu an toàn trong báo hiệu sip (Trang 82 - 84)

Tải bản đầy đủ (DOC)

(119 trang)
w