Seguridad en SIP – Session Initiation Protocol

Posibles ataques

SIP no se diseñó teniendo como objetivo principal la seguridad, pese a lo cual, es posible conseguir niveles de seguridad satisfactorios utilizando diferentes mecanismos. Sin embargo conseguir estos niveles puede ser relativamente complejo debido al número de diferentes tecnologías involucradas, así como que los componentes que formen parte de una sesión SIP puedan no implementar todos estos mecanismos, lo cual hace que en algunos casos haya que reducir estos niveles.

En cualquier caso, al igual que en otras tecnologías, los puntos principales de ataque y donde hay que centrar los esfuerzos de seguridad, son en la autenticación y en la confidencialidad/integridad de los datos. En los puntos siguientes vamos a ver algunas de las formas de ataque de las que puede ser susceptible SIP, y veremos como mediante estas técnicas un atacante podría hacerse pasar por otro usuario, interceptar las comunicaciones, provocar caidas de servicio, etc…

Registration Hijacking

Este ataque se basa en que un atacante secuestra la información de registro de un usuario legítimo. Un atacante puede aprovecharse de que normalmente en los registros se utilizan mensajes UDP que son más fáciles de falsear que las conexiones TCP, de que a veces se utilizan autenticaciones básicas enviando los datos del usuario y la contraseña en texto plano, o de que aunque se envíe la contraseña encriptada, el atacante podría realizar un ataque por fuerza bruta basado en directorio para obtenerla, a partir de un intento de conexión escuchado, o bien conociendo el nombre de usuario y realizando intentos de conexión contra el servidor, ayudado por la inoperancia de algunos proveedores que no generan logs o si los generan no los controlan.

Como resultado el atacante podría pasar a tener el control de la conexión del usuario, impidiéndole las conexiones, cerrándoselas arbitráriamente, limitándose a escuchar en el medio…

Proxy Impersonation

Los proxys se comunican entre sí mediante mensajes UDP y normalmente por canales no seguros. Esta situación la podría aprovechar un atacante para situarse entre dos proxys mediante DNS Spoofing o ARP spoofing, tomando el control de todas las comunicaciones entre ellos.

Message Tampering

Este tipo de ataques se produce cuando un usuario consigue acceso a cualquiera de los componentes SIP, UAs, proxys…, por ejemplo mediante otro ataque tipo Registration Hijacking o Proxy Impersonation. El atacante podría interceptar estos mensajes y modificarlos, pudiendo inhabilitar las conexiones de los usuarios, cambiar las características de las conexiones, producir ataques DoS…

Session Tear Down

Consiste en el envío de mensajes BYE que provocan que se cierren las conexiones. Así por ejemplo, si un atacante conoce la existencia de un UA siempre activo, puede enviarle mensajes BYE para cerrar sus conexiones. Otra modalidad de ataque consiste en inundar los firewall o proxys con estos mensajes provocando un ataque DoS a la vez que la desconexión masiva de sesiones. Hay que tener en cuenta que la desconexión de un UA sin pasar por el proxy supone que la conexión se termine pero sin que el proxy se dé cuenta, por lo que su registro de llamadas, normalmente utilizado luego para la facturación, ya no sería consistente.

Hay otra variante de este tipo de ataque consistente en enviar mensajes RE-INVITE en vez de BYE para modificar las propiedades de la conexión, por ejemplo para enviar la información multimedia a un dirección de broadcast, produciendo un ataque DoS.

Denial of Service (DoS)

Mediante cualquier de los mecanismos anteriores un usuario malicioso podría provocar un ataque DoS. El principal problema es que al no ser seguras las comunicaciones, los componentes SIP se ven obligados a procesar todos los paquetes, incluso los de posibles atacantes. Los ataques DoS pueden provocarse mediante el envío de paquetes corruptos, manipulación de estados SIP o inundación por mensajes REGISTER o INVITE por ejemplo.