SIP es un protocolo de la capa de aplicacin

Basado en texto.
Basado en un modelo de solicitud-respuesta.
Los usuarios finales negociar detalles del flujo utilizando SDP.
Todos los clientes deben registrarse con un servidor de registro de
un dominio.
Principales Funciones
Invita a los usuarios a las sesiones.
Encontrar la ubicacin actual del usuario, que coincida con sus
capacidades y preferencias:
con el fin de entregar la invitacin
realizar descripciones de las sesiones Opaque
Modificacin de sesiones
Terminacin de las sesiones

Como definimos la autenticacin?

La identificacin de un objeto.
Sabiendo que la identidad de un objeto es lo mismo que
la demanda del objeto
Se utiliza para identificar los casos siguientes:
REGISTER
INVITE
Re-INVITE
BYE

Mecanismos
HTTP digest authentication (autenticacin implcita,
definido en el RFC 3261)
Autenticacin bsica
Mecanismo en la capa de transporte
Usando S/MIME para autenticacin

Algunas posibles ataques ante la ausencia de la

autenticacin SIP

Ataques repetidos
simples
repetir un mensaje de marca de tiempo (puede ser
detectado)
Repetir un mensaje que no lleg a destino (no se
puede detectar)
Registro de Secuestro (Hijacking)
Solicitud Spoofing (engao)
INVITE
BYE
CANCEL

SIP (HTTP) digest authentication

Ambos extremos utilizan la misma clave secreta compartida.

La clave se utiliza para cifrar cierta informacin como la
contrasea del usuario.
Originado de HTTP y, a menudo se llama HTTP digest.
El RFC 3261 describe cmo se aplica la autenticacin implcita
para SIP.

Mecanismo de la autenticacin implicita

Servidor recibe peticiones INVITE

El servidor enva una respuesta PAR contiene un campo realm,
algoritmo y un valor instantneo (nonce), entre otros campos.
Realm es el dominio asociado.
Nonce es un nmero aleatorio (evita la repeticin)
Algoritmo para ser utilizado para el clculo de resumen (por
ejemplo, MD5).
El Cliente calcula una respuesta utilizando el nonce y el
nombre de usuario y una contrasea secreta.
Se supone que la contrasea que se almacena en el servidor
tambin.
El Cliente devuelve la solicitud original con la respuesta
computarizada.

Otros componentes importantes de la cabecera son:

Nonce: podra ser un resumen de la direccin IP del cliente y
un sello de tiempo (time-stamp).
Previene los ataques de repeticin (el atacante debe utilizar la
direccin IP correcta antes de que expire la fecha y hora)
Cnonce (opcional): genera, almacena y enva al servidor por el
cliente:
El cliente puede modificar la entrada a este hash en lugar de
dejar que el servidor lo elija.
El Servidor debe incluirlo en respuesta
Nonce-count: servidor mantiene su propia copia de esta
cuenta:
Protegiendo contra ataques de repeticin
Qop (opcional): Calidad de la proteccin (autenticacin:
autenticacin auth-int: autenticacin e integridad)
Nombre de usuario y la contrasea: informacin nica
conocida slo por el cliente y el servidor

Request-digest = <> <KD (H (A1), unq (nonce-value)

: nc-value
: unq (cnonce-value)
: unq (qop-value)
: H (A2)
) <>
donde
A1 = unq (username-value) : unq (realm-value) : passwd
A2 = Metodo : digest-uri-value
KD (secret, data) = string obtenido mediante la aplicacin
del algoritmo de resumen de datos con secreto
H (data) = scadena obtiene aplicando el algoritmo de
checksum para los datos
unq (X) = valor de cadena X

 SIP REGISTER con DIGEST

Authentication

Proxy Server

User Agent

REGISTER <<AoR>> (sin credenciales)

407 Proxy Authentication Required

REGISTER <<AoR>> (contrasena encriptada con llave)

200 OK

 SIP INVITE con DIGEST

Authentication

UA

Proxy Server

UA

INVITE <<user1@domain1>> (sin credenciales)

407 Proxy Authentication Required

ACK

INVITE <<user1@domain1>> (con clave encriptada)

100 Trying
INVITE <<user1@domain1>> (clave removida)