ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2012 245
Протоколом SIP предусмотрена процедура аутентификации, осно-
ванная на использовании пары идентификатор пользователя — пароль в
целях аутентификации легитимного пользователя. Такая процедура мо-
жет применяться для аутентификации любого запроса, поступающего
от пользователя. Однако, во-первых, данный механизм согласно прото-
колу не является обязательным, а во-вторых, механизм содержит ряд
уязвимостей. В частности механизм не защищен от подбора пары иден-
тификатор пользователя — пароль по методу полного перебора (Brute
Force Attack). В работе [14] описан вариант реализации атаки методом
полного перебора на SIP-сервер, а в работе [15] — более сложный метод
преодоления механизма аутентификации злоумышленником путем ма-
нипулирования SIP-запросами пользователя-жертвы.
Из приведенных примеров следует, что большинство основных
форм фрода могут быть результатом угроз в сети SIP. Это показывает
актуальность задачи защиты от этих угроз.
Формы фрода и примеры угроз фрода в сети SIP Российской
Федерации.
Приведем примеры возможных угроз фрода в сети SIP
Российской Федерации, защита от которых с точки зрения потерь до-
хода провайдера является первостепенной задачей. Это относится как
к угрозам, приведенным выше, так и к предлагаемым к рассмотрению
вариантам угроз.
1.
Наиболее распространенная схема организации связи с использо-
ванием протокола SIP в сетях операторов связи предполагает
наличие
нескольких софтсвичей
,
являющихся оконечными транзитными стан-
циями местной или зоновой связи и реализующих функции SIP-proxy с
точки зрения протокола SIP. Такая схема обеспечивает обслуживание
как местных вызовов SIP-абонентов, так и доступ SIP-абонентов к услу-
гам междугородной или международной связи.
Упрощенная схема маршрута междугородного или международ-
ного вызова от SIP-пользователя приведена на рис. 3. Запрос на уста-
новление соединения от SIP-абонента поступает на софтсвич город-
ской телефонной станции (ГТС), на котором реализованы функции
аутентификации абонента. Проведя аутентификацию пользователя,
софтсвич ГТС направляет SIP-запрос на организацию сеанса связи на
софтсвич опорно-транзитной станции (ОПТС) или зонового транзит-
ного узла. Софтсвич ОПТС транслирует поступивший вызов в
направлении междугородной телефонной сети (МГТС).
По ряду объективных причин на софтсвиче ОПТС (зоновый тран-
зитный узел) не может быть реализован, предусмотренный SIP-
механизм аутентификации SIP-запросов (для реализации такого ме-
ханизма на зоновом транзитном узле потребовалось бы хранить базу
учетных записей всех SIP-абонентов, для которых выполняется тран-
зит-вызовов через данный узел). Отсутствие аутентификации на
участке ГТС — ОПТС создает угрозу фрода эмуляции легитимного
пользователя, при которой фродстер направляет запрос на установ-
ление соединения непосредственно на софтсвич ОПТС.