05 Кві, 2023

Протокол початку сеансу (SIP)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

Протокол початку сеансу (SIP) це текстовий протокол, який використовує запити та відповіді для встановлення, зміни та припинення мультимедійних сеансів по IP-мереж. Його можна використовувати для широкого спектру мультимедійних додатків, включаючи голосові і відеодзвінки, обмін миттєвими повідомленнями та інформацією про присутність.

Загальні порти SIP

Порт TCP/UDP 5060: Це порт за замовчуванням для SIP-трафіку. Кінцеві точки SIP використовують цей порт для встановлення сеансу зв'язку і управління ними.

Порт TCP/UDP 5061: Цей порт зазвичай використовується для захищеного SIP-трафіку (SIPS), який шифрується за допомогою системи безпеки транспортного рівня (TLS).

Порт TCP/UDP 5062: Цей порт використовується для трафіку протоколу опису сеансу (SDP), який використовується для опису характеристик мультимедійних сеансів.

Порт TCP/UDP 5063: Цей порт використовується для трафіку транспортного протоколу реального часу (RTP), який використовується для передачі аудіо - та відеоданих між кінцевими точками SIP.

Порт TCP/UDP 5080: Деякі реалізації SIP використовують цей порт в якості альтернативи порту 5060.

Стандартні команди від неавторизованих користувачів

Неавторизовані користувачі, що намагаються отримати доступ до інфраструктури протоколу ініціалізації сеансу (SIP), можуть використовувати кілька стандартних команд, щоб спробувати отримати доступ або перервати зв'язок. Ось деякі з найбільш поширених команд, які можуть спробувати використати неавторизовані користувачі:

INVITE: Ця команда використовується для ініціювання сеансу між двома кінцевими точками SIP. Неавторизований користувач може спробувати використовувати цю команду для встановлення з'єднання з SIP-сервера або інший кінцевою точкою.

REGISTER: Ця команда використовується для реєстрації кінцевої точки SIP на SIP-сервері. Неавторизований користувач може спробувати використовувати цю команду для реєстрації підробленої кінцевої точки або видати себе за існуючу кінцеву точку.

BYE: Ця команда використовується для завершення сеансу між двома кінцевими точками SIP. Неавторизований користувач може спробувати використовувати цю команду для порушення зв'язку або викликати атаки типу "відмова в обслуговуванні" (DoS).

CANCEL: Ця команда використовується для скасування раніше відправленого SIP-повідомлення. Неавторизований користувач може спробувати використовувати цю команду для порушення зв'язку або викликати DoS-атаку.

OPTIONS: Ця команда використовується для запиту кінцевої точки SIP або сервера про його можливості. Неавторизований користувач може спробувати використовувати цю команду для перевірки інфраструктури SIP на наявність вразливостей.

INFO: Ця команда використовується для відправки несуттєвої інформації між кінцевими точками SIP. Неавторизований користувач може спробувати використовувати цю команду для розсилки спаму або інших небажаних повідомлень.

Інструменти для використання протоколу SIP

Ручні Інструменти:

  • SIPVicious: Набір інструментів, який дозволяє зловмисникам сканувати пристрої та мережі на базі SIP, знімати відбитки пальців і експлуатувати їх. Він включає в себе інструменти для злому паролів, підробки SIP-повідомлень і проведення атак з подслушиванием.

  • SIPp: Інструмент для стрес-тестування пристроїв та мереж на базі SIP. Він може імітувати тисячі кінцевих точок SIP і генерувати трафік для тестування продуктивності і масштабованості інфраструктури.

  • SIP-Torture: Інструмент для тестування сумісності і відповідності пристроїв і мереж на базі SIP протоколу SIP. Він може тестувати різні сценарії SIP і генерувати звіти про результати.

  • SIPScan: Інструмент для сканування мереж на наявність SIP-пристроїв і перерахування їх можливостей і вразливостей. Він може виявляти відкриті SIP-порти, ідентифікувати SIP-серверів і клієнтів і отримувати інформацію з SIP-повідомлень.

  • SIPCrack: Інструмент для злому SIP-паролів з використанням словникових атак або методів грубої сили. Він використовує різні методи для прискорення процесу злому пароля, такі як паралельна обробка і прискорення графічного процесора.

  • SIPFuzz: Інструмент для поділу пристроїв і мереж на основі SIP для пошуку вразливостей і експлойтів. Він може генерувати і відправляти спотворені SIP-повідомлення для перевірки надійності та безпеки інфраструктури.

  • SIPDump: Інструмент для збору і аналізу SIP-трафіку в мережі. Він може декодувати і відображати SIP-повідомлення, вилучати з них інформацію та генерувати статистику трафіку.

  • SIPAuthCrack: Інструмент для злому облікових даних SIP-аутентифікації з використанням методів грубої сили. Його можна використовувати для перевірки надійності SIP-паролів і виявлення слабких паролів, які можна легко зламати.

Автоматизовані інструменти:

  • Metasploit: Популярний фреймворк для розробки і виконання експлойтів проти різних цілей, включаючи пристрої та мережі на базі протоколу SIP. Він включає в себе набір модулів для використання вразливостей SIP і проведення атак.

  • Nmap: Засіб мережевого сканування, яка може використовуватися для виявлення SIP-пристроїв і служб у мережі. Він може ідентифікувати відкриті порти SIP, визначати операційну систему і версію пристроїв і отримувати іншу інформацію з повідомлень SIP.

  • SIPVader: Автоматизований інструмент для виявлення і використання вразливостей SIP. Він включає в себе базу даних відомих вразливостей і експлойтів SIP і може використовуватися для запуску автоматичних атак на пристрої та мережі на базі протоколу SIP.

  • SIPArmyKnife: Універсальний інструмент для тестування та експлуатації пристроїв і мереж на базі SIP. Він включає в себе різні модулі для сканування, зняття відбитків пальців, використання і тестування інфраструктури SIP.

  • SIPRider: Автоматизований інструмент для виявлення і використання вразливостей SIP. Він може сканувати мережі на наявність SIP-пристроїв, отримувати інформацію з SIP-повідомлень і запускати автоматичні атаки на вразливі пристрою.

  • SIPProxy: Автоматизований інструмент для перехоплення і зміни SIP-трафіку в мережі. Він може бути використаний для тестування безпеки і надійності інфраструктури SIP, а також для проведення атак з подслушиванием і модифікацією.

  • SIPVampire: Автоматизований інструмент для виявлення і використання вразливостей SIP. Він може сканувати мережі на наявність SIP-пристроїв, ідентифікувати відкриті порти і служби і запускати автоматичні атаки на вразливі пристрою.

  • SIPpScenario: Автоматизований інструмент для генерації сценаріїв SIP-трафіку. Він може бути використаний для стрес-тестування інфраструктури SIP, а також для тестування функціональності та відповідності вимогам пристроїв і мереж на базі SIP.

Плагіни для браузера:

  • SIP Inspector: Плагін для браузера для перевірки і налагодження SIP-трафіку в режимі реального часу. Він може захоплювати і відображати SIP-повідомлення, декодувати і аналізувати їх зміст, а також надавати інформацію про поведінку пристроїв і мереж на базі SIP.

  • SIP Workbench: Плагін для браузера для тестування і налагодження додатків на основі SIP. Він включає в себе різні інструменти для створення і відправки SIP-повідомлень, аналізу їх відповідей і налагодження проблем в програмах на основі SIP.

  • SIP Tester: Плагін для браузера для тестування та усунення несправностей пристроїв і мереж на базі SIP. Він може генерувати і відправляти SIP-повідомлення, емулювати різні сценарії SIP і надавати детальні звіти про результати.

  • SIP Debug: Плагін для браузера для налагодження та усунення неполадок додатків на основі SIP. Він може захоплювати і відображати SIP-повідомлення, аналізувати їх зміст і надавати інформацію про поведінку пристроїв і мереж на базі SIP.

Останні п'ять відомих CVE для SIP

CVE-2023-28099 – OpenSIPS - це серверна реалізація протоколу ініціювання сеансу (SIP). До версій 3.1.9 і 3.2.6, якщо `ds_is_in_list()` використовується з неприпустимою рядком IP-адреси (`NULL` - неправильний ввід), OpenSIPS спробує надрукувати рядок з випадкового адреси (сміття стека), що може призвести до збою. Всі користувачі `ds_is_in_list()` без змінної `$si` в якості 1-го параметра можуть бути порушені цією уразливістю більшою, меншою мірою або взагалі без неї, залежно від того, чи є дані, що передаються функції, допустимої рядком адреси IPv4 або IPv6 чи ні. Виправлення будуть доступні, починаючи з молодших випусків 3.1.9 і 3.2.6. Відомих обхідних шляхів не існує. 

• CVE-2023-28098 – OpenSIPS - це серверна реалізація протоколу ініціювання сеансу (SIP). До версій 3.1.7 і 3.2.4 спеціально створений заголовок авторизації приводив до збою OpenSIPS або несподіваного поведінці через помилки у функції `parse_param_name()` . Ця проблема була виявлена при виконанні керованого розмиття покриття функції parse_msg. Аналізатор адрес визначив, що проблема виникла у функції `q_memchr()`, яка викликається функцією `parse_param_name()`. Ця проблема може призвести до неправильної поведінки програми або збою сервера. Це впливає на конфігурації, що містять функції, які використовують порушене код, такі як функція `www_authorize()` . Версії 3.1.7 і 3.2.4 містять виправлення.

• CVE-2023-28097 – OpenSIPS - це серверна реалізація протоколу ініціювання сеансу (SIP). До версій 3.1.9 і 3.2.6 спотворене повідомлення SIP, що містить велике значення _Content-Length_ і спеціально створений URI запиту, викликало помилку сегментації OpenSIPS. Ця проблема виникає, коли OpenSIPS був виділений великий обсяг загальної пам'яті з використанням прапора `-m`, наприклад 10 ГБ оперативної пам'яті. У тестовій системі ця проблема виникала, коли загальна пам'ять була встановлена на `2362` або вище. Ця проблема виправлена у версії 3.1.9 і 3.2.6. Єдиний обхідний шлях - гарантувати, що значення довжини вмісту вхідних повідомлень ніколи не буде більше `2147483647`.

• CVE-2023-28096 – OpenSIPS, серверна реалізація протоколу ініціалізації сеансу (SIP), має витік пам'яті, починаючи з гілки 2.3 і priot до версій 3.1.8 і 3.2.5. Витік пам'яті була виявлена в функції `parse_mi_request` при виконанні фаззинга, керованого покриттям. Ця проблема може бути відтворена шляхом надсилання декількох запитів виду `{"jsonrpc": "2.0","метод": "log_le`. Це спотворене повідомлення було протестовано на примірнику OpenSIPS через транспортний рівень FIFO і, як було виявлено, збільшувало споживання пам'яті з плином часу. Щоб скористатися цією витоком пам'яті, зловмисникам необхідно отримати доступ до інтерфейсу керування (MI), який зазвичай повинен бути доступний тільки на довірених інтерфейсах. У випадках, коли MI підключений до Інтернету без аутентифікації, зловживання цією проблемою призведе до вичерпання пам'яті, що може вплинути на доступність базової системи. Для відтворення цієї проблеми зазвичай не потрібна автентифікація. З іншого боку, витоку пам'яті можуть відбуватися в інших областях OpenSIPS, де бібліотека cJSON використовується для синтаксичного аналізу об'єктів JSON. Проблема була виправлена у версії 3.1.8 і 3.2.5.

• CVE-2023-28095 – OpenSIPS - це серверна реалізація протоколу ініціювання сеансу (SIP). Версії до 3.1.7 і 3.2.4 мають потенційну проблему в `msg_translator.c: 2628`, яка може призвести до збою сервера. Ця проблема була виявлена при розмитті функції `build_res_buf_from_sip_req`, але її не вдалося відтворити в занедбаному примірнику OpenSIPS. Цю проблему не вдалося використати проти запущеного екземпляра OpenSIPS, оскільки не було виявлено ні однієї спільної функції, використовує цей уразливий код. Навіть у разі експлуатації з допомогою невідомих векторів вкрай малоймовірно, що ця проблема призведе до чого-небудь, крім відмови в обслуговуванні. Ця проблема була виправлена у версії 3.1.7 і 3.2.4.

Корисна інформація

– SIP - це сигнальний протокол, що використовується для ініціювання, підтримування і завершення мультимедійних сеансів по IP-мереж.

– Це відкритий стандартний протокол, розроблений Інженерної робочою групою по Інтернету (IETF).

– SIP використовується для організації голосових і відеодзвінків, обміну миттєвими повідомленнями, присутності і інших мультимедійних сервісів.

– SIP працює на прикладному рівні моделі OSI і використовує TCP або UDP в якості транспортного протоколу.

– SIP-повідомлення складаються з початкового рядка, набору заголовків і необов'язкового тіла повідомлення.

– SIP використовує протокол опису сеансу (SDP) для узгодження параметрів мультимедійного сеансу, таких як типи кодеків, формати мультимедіа і мережеві адреси.

– SIP підтримує декілька функцій управління викликами, таких як утримання виклику, передача виклику, переадресація виклику, конференц-зв'язок.

– SIP - це розширюваний протокол, що означає, що він може бути розширений для підтримки нових сервісів і функцій.

– SIP може використовуватися з різними VoIP протоколами, такими як H. 323, MGCP і RTP.

– SIP використовується кількома популярними програмами і службами VoIP, такими як Skype, Google і Microsoft Teams.

– SIP може бути уразливий для різних типів атак, таких як підміна, повінь, підслуховування і атаки типу "відмова в обслуговуванні" (DoS).

– SIP може бути захищений за допомогою декількох механізмів, таких як безпека транспортного рівня (TLS), захищений транспортний протокол реального часу (SRTP), а також механізми аутентифікації і авторизації.

– SIP використовується в декількох галузях, таких як телекомунікації, охорона здоров'я, освіта і фінанси.

– SIP широко використовується як у державному, так і приватному секторах і, як очікується, продовжить набирати популярність в найближчі роки.

– SIP має ряд переваг у порівнянні з традиційною телефонією з комутацією каналів, таких як більш низькі витрати, велика гнучкість і більш широкі можливості.

Відомі банери

"SIP/2.0" – Це найбільш поширений банер, використовуваний SIP-серверами і клієнтами для ідентифікації версії протоколу SIP.

"АТС Asterisk" – Цей банер використовується програмним забезпеченням Asterisk PBX з відкритим вихідним кодом, яке широко використовується для додатків VoIP.

"Вільний перемикач" – Цей банер використовується програмним забезпеченням FreeSWITCH з відкритим вихідним кодом, яке являє собою масштабовану і модульну платформу VoIP.

"OpenSIPS" (Відкриті файли) – Цей банер використовується програмним забезпеченням OpenSIPS з відкритим вихідним кодом, яке являє собою високопродуктивний SIP-сервер, який використовується для голосового та відеозв'язку.

"Камайлио" – Цей банер використовується програмним забезпеченням Kamailio з відкритим вихідним кодом, яке являє собою високопродуктивний SIP-сервер, який використовується для додатків зв'язку в реальному часі.

"SIP Експрес-маршрутизатор" – Цей банер використовується програмним забезпеченням SER з відкритим вихідним кодом, яке являє собою швидкий і масштабований SIP-сервер, який використовується для додатків VoIP.

"Cisco-CP7960G" – Цей банер використовується IP-телефони Cisco, які підтримують SIP, а також інші протоколи VoIP.

"Polycom SOUNDPOINTIP-SPIP" (Поликомсоундпоинт) – Цей банер використовується IP-телефонами Polycom, які підтримують SIP, а також інші протоколи VoIP.

"Офіс інтелектуальної власності Avaya" – Цей банер використовується IP-телефонами Avaya, які підтримують SIP, а також інші протоколи VoIP.

"Телефонна система 3CX" – Цей банер використовується телефонною системою 3CX, яка являє собою програмну УАТС, що використовується для додатків VoIP.

Книги для навчання SIP

Протокол початку сеансу: Повне керівництво по самооцінці автор: Джерардус Блокдик: Ця книга призначена для того, щоб допомогти окремим особам і організаціям оцінити своє розуміння протоколу ініціалізації сеансу (SIP) і пов'язаних з ним технологій. Вона включає в себе більше 700 запитань і відповідей, які охоплюють такі теми, як архітектура SIP, сигналізація SIP проксі сервери SIP, а також безпеку SIP.

SIP: Розуміння протоколу початку сеансу автор: Алан Б. Джонстон: Ця книга містить вичерпний огляд SIP і його додатків. У ньому розглядаються основи SIP, включаючи його архітектуру та компоненти, а потім розглядаються більш складні теми, такі як безпека SIP, SIP-транкінг.

КОВТОК Демистифицирован автор: Гонсало Камарильо: Ця книга являє собою керівництво для початківців по SIP, яке охоплює основи SIP і його застосування. Він включає докладні пояснення обміну повідомленнями по протоколу SIP, потоків викликів і установки дзвінків по протоколу SIP, а також інформацію про безпеку та функціональної сумісності SIP.

Безпека SIP автор Доргам Сисалем: Ця книга присвячена безпеки SIP і включає інформацію про різні загрози безпеки SIP і вразливості. В ньому розглядаються такі теми, як аутентифікації і шифрування по протоколу SIP, атаки типу "відмова в обслуговуванні" по протоколу SIP та шахрайство на основі SIP.

Керівництво по SIP: Сервіси, технології та безпека протоколу ініціювання сеансу автор : Сайед А. Ахсон і Мохаммад Ільяс: Ця книга являє собою всеосяжне керівництво по SIP та його додатків. У ньому розглядаються основи SIP, включаючи його архітектуру та компоненти, а також розширені теми, такі як безпека SIP і сервіси на основі SIP.

SIP - Транкінг Христина Хаттінг і Дерріл Сладден: Ця книга присвячена конкретно SIP-транкингу, який являє собою спосіб підключення телефонної системи організації до комутованої телефонної мережі загального користування (ТМЗК) з використанням SIP. В ньому розглядаються такі теми, як архітектура SIP-транкинга, постачальники SIP-транкинга і розгортання SIP-транкинга.

Побудова систем телефонії за допомогою OpenSIPS 1.6 автор : Флавіо Е. Гонсалвес: Ця книга присвячена створенню систем телефонії з використанням OpenSIPS, який представляє собою SIP-сервер з відкритим вихідним кодом. В ньому розглядаються такі теми, як архітектура OpenSIPS, обробка повідомлень SIP і побудова повноцінної телефонної системи з використанням OpenSIPS.

Список корисного навантаження для Протокол початку сеансу

  • INVITE – Ця корисна навантаження використовується для ініціювання сеансу між двома сторонами.

  • АКК – Ця корисна навантаження використовується для підтвердження успішного отримання SIP-повідомлення.

  • BYE – Ця корисна навантаження використовується для завершення сеансу між двома сторонами.

  • CANCEL – Ця корисна навантаження використовується для скасування очікує запрошення на сеанс.

  • REGISTER – Ця корисна навантаження використовується для реєстрації контактної інформації користувача на SIP-сервері.

  • OPTIONS – Ця корисна навантаження використовується для запиту можливостей віддаленого SIP-сервера або користувальницького агента.

  • UPDATE – Ця корисна навантаження використовується для зміни існуючого сеансу.

  • Повідомлення – Ця корисна навантаження використовується для надсилання текстових повідомлень між SIP-клієнтами.

  • INFO – Ця корисна навантаження використовується для передачі інформації, не пов'язаної з сеансом, під час сеансу.

  • PRACK – Ця корисна навантаження використовується для підтвердження надійного прийому попередньої відповіді.

  • SUBSCRIBE – Ця корисна навантаження використовується для запиту сповіщень про події з SIP-сервера.

  • NOTIFY – Ця корисна навантаження використовується для доставки повідомлень про події передплатнику.

  • REFER – Ця корисна навантаження використовується для сеансу передачі третій стороні.

  • PUBLISH – Ця корисна навантаження використовується для публікації стану користувача на SIP-сервері.

Пом'якшення наслідків

  1. Використовуйте надійні паролі і механізми автентифікації для запобігання несанкціонованого доступу до пристроїв і служб SIP.

  2. Використовуйте брандмауери для блокування несанкціонованого доступу до SIP-серверів і кінцевим точкам.

  3. Виконуйте регулярні оновлення програмного забезпечення і виправлення, щоб переконатися, що пристрої і служби SIP відповідають останнім виправлень і оновлень безпеки.

  4. Використовуйте шифрування для захисту SIP-комунікацій і запобігання підслуховування.

  5. Вбудуйте системи виявлення та запобігання вторгнень для моніторингу мережного трафіку, а також виявлення SIP-атак і реагування на них.

  6. Використовуйте сегментацію мережі, щоб відокремити трафік SIP VoIP від іншого мережевого трафіку.

  7. Обмежте кількість відкритих портів і служб, щоб звести до мінімуму поверхню атаки SIP-пристроїв і служб.

  8. Вимкніть непотрібні функції і служби SIP, які не потрібні для роботи організації.

Висновок

Протокол початку сеансу (SIP) це широко використовуваний протокол сигналізації для управління і сеансами зв'язку в реальному часі, такими як голос, відео і обмін миттєвими повідомленнями. Це протокол відкритого стандарту, який широко підтримується різними постачальниками та продуктами в телекомунікаційній галузі.

SIP надає гнучку і розширювану платформу для створення мультимедійних сеансів і управління ними. Це дозволяє встановлювати і змінювати сеанси, а також обмінюватися інформацією, пов'язаною з сеансом, між учасниками. SIP також може використовуватися з іншими протоколами, такими як транспортний протокол реального часу (RTP) і Захищений транспортний протокол реального часу (SRTP) для забезпечення безпечної і надійної зв'язку.

Інші Послуги

Готові до безпеки?

зв'язатися з нами