SIP Digest Authentication und Absender fälschen

[VoIP_Security]

Hi Leute ich habe da mal ne Frage zur SIP Digest Authentication.

Ich habe jetzt in zahlreichen Lektüren gelesen, dass bei der Digest Auth. die SIP URI, die Methode, und der MessageBody authentifiziert wird.

Die Frage jetzt,m ist ob in der authentifizierten SIP URI der Absender und der Empfänger gesichert wird, oder nur der Empfänger.

Mir geht es darum einen wirksamen Schutz gegen Anrufe unter Falscher identität zu finden. Soweit ich recherchiert habe, bietet ja SIP Digest das nicht. Allerdings verstehe ich nicht wieso...

 

[Phoner]

Ganz einfach ausgedrückt: Dein SIP-Provider (oder eine PBX wie Asterisk) erstellt eine Zufallsfolge (Nonce) und schickt dir diese zu. Diese Zufallsfolge wird nun mit diversen Elementen "verhasht" (MD5), wie in deinem Beitrag richtig beschrieben. Zusätzlich wird eben noch das Passwort "verhasht". Diese neue Zeichenfolge schickt der Client dem Server zurück. Der Server macht auf seiner seite nun genau das Gleiche und vergleicht dann die beiden zeichenfolgen. Sind die gleich, so ist der Client authentifiziert.
Bis auf das Kennwort ist alles bekannt, womit man den Hash bildet. Wer also das Kennwort kennt, kannt sich auch authentifizieren.

Bei SIP erfolgt üblicherweise nur eine Client-Authentifizierung (der Server überprüft den Client) - andersherum gilt das nicht.

 

[VoIP_Security]

Ah. Danke für die schnelle Antwort.

Also das Prinzip wie die authentifizierung funktioniert ist mir schon klar.

meine frage ziehlte eher darauf ab, ob es einem authentifizierten benutzer möglich ist, unter falschen absendernamen einen anruf zu initiieren.

Ich schreibe gerade an meiner Diplomarbeit, über den flächendeckenden Einstz von VoIP im Unternehmensumfeld.
Und ein wichtiger Punkt der mir vorgegeben wurde, ist dass niemand unter falschem Absender Anrufe absetzen kann.

Szenario: Person X ruft bei der Personalabteilung an, um "im Auftrag" der Person Y an Informationen zu gelangen. Beim Anruf in der Personalabteilung erscheint Person Y auf dem Display als Anrufer. Daraufhin gibt die Personalabteilung kritische infos raus, da si annimmt das alles seine Richtigkeit hat.

Die Frage ist also ob es möglich ist, in eine SIP Nachricht eine Falsche Absender URI einzufügen, bzw. welcher Mechanismus auser TLS dies verhindert?

grüße aus münchen

 

[stinkstiefel]

Auf der Suche nach Call-ID Spoofing oder Call-ID Header bist du noch nicht fündig geworden?

 

[VoIP_Security]

da finden sich aber nur berichte wie man die call id per isdn ändert, nicht aber wie ich verhindere dass jemand sip nachrichten dahingegend verändert.

 

[stinkstiefel]

Ich finde da nicht nur was zu ISDN sondern auch zu SIP [1]. Wenn man weiss wie jemand die Call-ID faken kann kommt man sicher auch zu geeigneten Gegenmaßnahmen.

[1] http://ucon.thebugmagazine.org/materials/Exploiting_VoIP_networks.pdf

 

[VoIP_Security]

danke, aber da steht leider nur dass man dazu die invite massage bearbeiten muss...

das weiss ich ja schon lange. ich will ja nur wissen, ob bei der sip digest auth auch sichergestellt ist dass die absender uri authentifizier ist, und nicht nur die empfänger uri.

 

[stinkstiefel]

Was sagt denn rfc3261 dazu?

 

[FrankIT]

Ich würde sagen, zu der Fragestellung passt eher RFC 3325.

Die SIP-Authentifizierung sorgt zunächst nur dafür, dass der SIP-Proxy sicher sein kann, mit welchem Benutzer er es zu tun hat. Die Absender-Identität selbst ist nicht Teil der Authentifizierung. Der SIP-Proxy kann aber abhängig vom authentifizierten Benutzer entscheiden, welche Absender-Identität(en) er zulässt und ggf. als vertrauenswürdig kennzeichnet.