Selamlar Yapmış Olduğum Araştırmalar Sonucunda Bu Konuyu Açmaya Karar Verdim, Kendim Öğrenirken Başkalarına da Öğretmeyi Hedefledim.
Bundan Önceki Konularımda VOIP Teknolojisini Anlatmıştım. İçinde SIP' de Geçiyordu. Bu Yüzden SIP' e Bir Ayrıcalık Yapıp Bu Konuyu Hazırlıyorum. Önceki Konumu incelemek isterseniz Alta link bırakıyorum.
SIP (Session Initiation Protocol),
VoIP teknolojisinin en temel protokollerinden biri olmakla birlikte, aynı özellik için kullanılan H323, MGCP, SCCP benzeri protokoller arasında en çok tercih edilen protokoldür. RFC 3261 dokümanlarında açıklanan bu protokol; IETF, ETSI gibi birçok uluslararası kuruluş tarafından da kabul görmektedir. Uygulama katmanında çalışan SIP, metin içerikli bir protokoldür; arayan ve aranan bilgisi, mesaj türü (davet, başlatma, bitirme), domain bilgisi gibi bilgileri içeriğinde barındırır. En çok karıştırıldığı RTP (Real-Time Transfer Protocol) protokolü ile kıyaslandığında, SIP in oturum başlatmak amaçlı kullanıldığı, RTPnin ise ses ve görüntünün taşınmasından sorumlu olduğu görülmektedir.
Web ile birlikte çalışabilmesi, beraberindeki uygulamalara kolayca entegre olabilmesi SIPin en önemli ve tercih edilmesine neden olan özelliklerinden biridir. Ayrıca kurulmuş olan oturuma video eklemesi de gerçekleştirebilmektedir. TCP desteği ile kullanıcılar arası handshaking (el sıkışma) yapılarak bağlantının kesin oluştuğundan emin olunur. UDP desteği ile de anlık ses iletimi için gerekli olan kesintisiz iletişim gerçekleştirilmektedir . Aynı zamanda ölçeklenebilir ve farklı mimarilere de rahatlıkla uygulanabilir.
TCP Handshake Örneği:
SIP'ın Temel Özellikleri Nelerdir ?
Aralarında oturum başlatılacak olan kullanıcıları tespit ederek bu bilgiyi içeriğinde sunmak
Bağlantıyı başlatmak, sonlandırmak, çağrı parametrelerini ayarlamak
Kullanıcı konum bilgilerini içermek
Çağrının yönetimini gerçekleştirmek
Çağrı özelliklerini değiştirmek: Sadece ses iletişimi yapılan bir görüşmeye video iletimi de eklenmesi.
Mobilite: Kullanıcı bağlantı sırasında konum değişikliği yapsa dahi bağlantı kopmaması.
Medya parametrelerini ayarlamak.
SIP protokolü ile oturum kurulabilmesi için kullanıcıların kaydolacağı bir SIP sunucusuna ihtiyaç duyulmaktadır. Bu sunucu bir SIP Proxy sunucusu olabileceği gibi register (kayıt) sunucusu da olabilir. Gelen isteklere bu sunucu cevap vermektedir . Bu sunucuya yapılabilecek olan olası bir saldırı ise tüm sistemi etkileyebilecek tehlikeli bir durum oluşturabilir. Ağa dâhil olan bir saldırgan iletişim halindeki iki kullanıcı arasındaki SIP mesaj içeriğini rahatlıkla dinleyebilir ve mesaj içeriğini değiştirebilir . Sosyal ve hizmet aksatma saldırıları ile de SIP haberleşmesi sabote edilebilir . Hizmet kesintisine neden olan ve en sık karşılaşılan saldırı, Denial of Service (DoS)dur. DoS saldırı türleri arasında ise, genellikle istem dışı başlatılan oturum sayısı ve sunucudan kaçak geçen paket sayısı gibi saldırılar bulunmaktadır . Kullanıcı sunucu haberleşmesinde genellikle yetkilendirme yapılarak, istekler yanıtlanır . Ayrıca SIP sunucularda TLS (Transport Layer Security) kullanımı ile de güvenli iletişim gerçekleşmesine olanak sağlanabilir. Yine güvenilir iletişim için S/MIME kullanımı ile de SIP mesajlarına güvenilirlik ve gizlilik katılmaktadır.
IPSEC uygulaması ile de SIP mesajları dışarıdan okunamaz hale getirilerek, güvenilirliği arttırılabilir .
SIP Saldırı Yöntemleri
SIP protokolü kullanarak başlatılan oturumlarda, kullanıcıya ve kaydolduğu sunucuya ait bilgiler şifrelenmeden gönderildiği için söz konusu bilgilerin ait olduğu cihaz ve sistemler saldırılara karşı da savunmasızdır. Bu güvenlik açığı nedeniyle birçok saldırı gerçekleştirilebilecek olup, bu saldırılar ile gerek hizmet kesintisi gerekse konuşmaların dinlenmesi gibi birçok istenmeyen sonuçlar doğabilir.
Ddos / Dos Saldırıları
DoS ya da DDoS ataklarında, mevcut SIP sunucusunun hizmetinin kesintiye uğratılması veya servis yanıltma amaçlanır. 2004 CSI/FBI raporuna göre hırsızlıktan bile daha fazla mali zarara neden olmaktadır.
Bu saldırıyı yapmak bazı toollara ihtiyacınız var.
Telekulak Saldırısı
Bu saldırıda ağa erişerek veri paketlerine erişim ve kişisel bilgilere ulaşılması amaçlanmaktadır. Saldırgan sistem üzerindeki zafiyet ve açıkları bulmak amacıyla da telekulak saldırısı gerçekleştirebilir. VoIP teknolojisinde, erişimin kolay olması nedeniyle IP ağına erişimi bulunan saldırgan iletilen paketleri görüntüleyebilir ve yakalayabilir. Bazı paket yakalama programları ile bu saldırı rahatlıkla gerçekleştirilebilmektedir. WireShark Bunun için ideal bir programdır.
Man İn The Middle Attack
Oturum başlatmak üzere ya da oturumu başlamış olan kullanıcıların iletişim kurmak üzere paylaştığı paketlerin, saldırgan tarafından ele geçirilerek, trafiğin kendi üzerinden geçecek şekilde ayarlanması ortadaki adam saldırısıdır. Bu yönlendirme ile gerekli olan bilgileri ele geçiren saldırgan ayrıca sistemde değişiklik yapma hakkına da sahip olur.
Oturumda kullanıcılar arasına giren saldırganı kullanıcılar fark etmeyebilir. Bağlantı için istek yapan kullanıcı ve yanıt veren kullanıcı arasına giren saldırgan istek yapan kullanıcının isteğini yanıtlar ve iletişim kurulacak olan kullanıcıya da saldırgan kendisi istekte bulunur. DiffieHellman anahtar değişimi ile iki farklı anahtar üreterek akış şifrelenir. Bu sayede her iki kullanıcı da herhangi bir sıkıntı sezmez. Diffie-Hellman değerleri yetkilendirilmediği sürece bu saldırının gerçekleşmesi mümkündür.
Kayıt Bilgilerinin Değiştirilmesi
Bu saldırı ile sistemdeki kullanıcıların kayıt bilgileri değiştirilerek, yapılan tüm isteklerin farklı bir sunucuya gitmesi sağlanarak istekler yönlendirilebilir. SIP mesaj içeriğinde bulunan, isteğin kimden yapıldığına dair bilgiler değiştirilerek sahte kullanıcı kayıtları yapılabilir. Kullanıcı veri bloğu iletişim kuralları (User Datagram Protocol - UDP) mesajlarının kontrolsüz olması sebebi ile saldırgan hem kendini sisteme kaydedebilir hem de sistemdeki aktif kullanıcıları kendine yönlendirebilir. Birçok SIP tabanlı sistemde herhangi bir yetkilendirme istenmediği için bu saldırı rahatlıkla gerçekleştirilebilmektedir. Bu saldırıyı başarıyla gerçekleştirdikten sonra ortadaki adam saldırısı gerçekleştirmek de daha kolay bir hal almaktadır. Yetkilendirme yapılarak söz konusu saldırının önüne geçilebilir
Tekrarlama Saldırıları
SIP mesajlarının ele geçirilmesi ve belli bir süre sonra aynı mesajların geri gönderilmesi ile gerçekleşir. Genelde yetkili bir kullanıcının bilgilerinin çalınması ve onun yerine geçilmesi ile gerçekleştirilir . Bu saldırı ile tek bir arama için oturum başlatılacakken birden çok oturum başlatılması ile birden çok arama gerçekleştirilmiş olur bu da gerek sistemi meşgul etmesi gerekse maddi açıdan kayıp oluşturması nedeni ile önlem alınması gereken bir durumdur. Yine aynı şekilde yetkilendirme ve şifreleme senaryoları ile bu saldırı türü engellenebilir.
Oturum Bozma Saldırıları
Var olan bir sinyalleşme ya da oturumu kesmek amacıyla gerçekleştirilir. İletişim halinde bulunan kullanıcılar arasına saldırganın girmesi ve aradaki bağlantıyı, BYE mesajı yollayarak bitirmesi ile sonuçlanır. HTTP Digest Authentication kullanılmış olsa dahi saldırgan zararlı ACK ya da CANCEL istekleri ile oturumların düşmesine neden olabilir. Güvenli oturum kurulması sağlanarak ve gerekli yetkilendirmeler yapılarak oturuma dâhil olunması engellenebilir ve bu sayede de oturumun devamlılığı sağlanabilir.
SIP Güvenlik Yöntemleri
SIP tabanlı iletişimin birçok saldırı türüne açık olması sebebi ile çeşitli güvenlik önlemlerinin alınması gerekmektedir. Paketlerin açık bir şekilde şifrelenmeden yollanması, kötü niyetli kişiler tarafından bu paketlerin yakalanarak, oluşturulan tüm oturumların dinlenmesine sebebiyet verebilmektedir.
Güvenlik Gereksinimleri Olarak
Gizlilik: Bilginin ya da kaynakların gizlenmesi olarak tanımlanır. SIP mesaj içeriğinin ve SIP başlığının gizli olması gerekir.
Bütünlük: SIP mesajları yetkili olmayan kişilerce değiştirilememeli veya başka bir SIP mesajını yanıltmamalıdır.
Erişilebilirlik: SIP mesajlarının rahatlıkla iletilmesi için kullanıcıların kayıtlı olduğu sunucunun sürekli erişilir olması gerekmektedir.
Reddetmeme: Alıcının iletişimin gerçekten gerçekleştiğini ve veriyi yollayan kişinin kimliği hakkında bilgi sahibi olduğunu ön görmektedir.
Sunucu Doğrulama: Kullanıcı verilen sunucu kimliğine güvenmelidir. Arayan ve aranan bilgileri SIP mesajında tutulur ve aranan kullanıcı arayan kullanıcının kimlik bilgilerine güvenir.
Kullanıcı dostu olması: Kullanıcılar SIP ve SIP güvenliği hakkında bilgi sahibi olmayabilir. Bu durumda bile kullanıcının güvenliğini sağlamak esastır.
HTTP Digest Authentication (Özet Doğrulama)
SIP protokol yapısının HTTP yapısına benzemesinden dolayı, HTTP güvenliğinde kullanılan özet doğrulama teknolojisi kullanılmaktadır. Kullanıcı isteği yaparken sunucuya kullanıcı adı ve şifre gönderir, fakat sunucu bu bilgileri direkt olarak algılamaz, talebi yapan kullanıcıya anlık bir değer göndererek sorgular, kullanıcı çeşitli bilgileri içeren toplam bir değer hesaplar ve sunucuya geri gönderir. Sunucu da iletilen bilgiyi doğrular. Fakat bu süreçte araya kötü niyetli kullanıcı ya da saldırganlar girmesi ile iletilen mesajlar değiştirilebilir. Bunun önüne geçmek için doğrulamaya ve dolayısı ile mesaj bütünlüğünün korunmasına ihtiyaç duyulmaktadır. Hashlenmiş olan şifrenin ağ üzerinde iletilmesi ile paketlerin ve şifrelerin yakalanması zorlaşmış olur, böylece telekulak ve tekrarlama saldırılarını gerçekleştirmek de zorlaşır. Doğrulama ve tekrarlama koruması sağlamasına karşın bu teknoloji, gizlilik ve bütünlük prensiplerini sağlayamaz. RFC 3261 e göre sadece bu güvenlik önlemi ile ortadaki adam saldırılarına karşı savunmasız kalınabilir.
S/MIME
SIP mesajlarının şifrelenmesi ve bütünlüğünün korunması amacıyla kullanılan S/MIME, aslında e-posta iletilerine çeşitli içeriklerin eklenmesine olanak sağlayan ve bunu şifreleyerek yapan bir teknoloji olarak üretilmiştir. Doğrulama, gizlilik, bütünlük ve tekrar etmeme özelliklerini sağlaması ile mesajın kendisine koruma sağlamaktadır. SIP mesajı S/MIME gövdesi ile tünellenir ve MIME gövdesi ayrı bir imza ile imzalanır.
Orijinal mesaj contenttype: message: SIP bilgisi altında tünellenmiş halde bulunur. Açık anahtar yapısı ve sertifikalar kullanılması son kullanıcılar açısından zorluk olarak görülebilmektedir ve karmaşık gelebilmektedir.
TLS
RFC 2246 tarafından tanımlanan TLS, OSI iletim katmanında çalışan bir protokoldür. Tamamen güvenlik amacıyla oluşturulmuş olup, bağlantı yönelimli ve güvenilir iletim gerektirdiğinden sadece TCP ile çalışır UDP ile çalışmaz. Mesajın gizliliğini, doğrulamayı ve mesaj bütünlüğünü sağlamaktadır. TLS bağlantısı kurmak için kullanıcılar birbirlerine belirli mesajlar gönderirler ve alım bittikten sonra güvenli oturum kurulmuş olur. TLS iki protokol kullanmaktadır; kayıt protokolü ve el sıkışma protokolü. Kayıt protokolünde, kullanıcılar simetrik/asimetrik anahtarlı şifreleme kullanır. El sıkışma protokolünde ise kullanıcı ve sunucu arasında algoritmalara ve kullanılacak olan anahtara karar verilir. TLS bağlantısı kurulması üç aşama ile gerçekleşir. İlk olarak kullanıcılar desteklenen şifreleme algoritmalarını belirler. Sonrasında kullanıcılar arasında anahtar değişimi gerçekleşir ve birbirlerini doğrularlar. Son aşamada ise mesajları şifrelemek için bu anahtarları kullanırlar ve iletişim kurarlar. Bağımsız ve kendine yeten bir güvenlik protokolü olması sebebiyle TLS şifreleme için en çok kullanılan teknolojilerden biridir.
Güvenlik Duvarı ve Nat Kullanımı
Doğrulanmayan erişim ve zararlı trafik için oluşturulan ilk korumacı cihaz güvenlik duvarıdır (firewall). Genellikle iç ağ ve dış Internet trafiği arasına konumlandırılarak tüm gelen ve giden paketlerin buradan geçmesi sağlanır. Üzerinden gelen paketleri kabul edip etmeyeceğini belli kurallara göre yapan bu cihaz, IP ve port numarası bilgileri girilerek kural tanımlanmasına olanak sağlar. Güvenlik duvarlarında yüksek bağlantı noktası aralıkları açılmaz, çünkü bu durum yetkisiz bağlantılara da izin verir. NAT ise IP adresini korumak için kullanılır.
Konuyu Burda Bitirmek İstiyorum. Yeterince Uzun oldu , Aslında Eklemek İstediğim 2 Kısım Daha Vardı. Fakat Sıkıcı Olmasını İstemiyorum Onları Başka Konu da Anlatmayı Düşünüyorum.
Umarım okurken keyif almışsınızdır. Aklınıza takılan bir yer olursa yorum atabilirsiniz.
Bundan Önceki Konularımda VOIP Teknolojisini Anlatmıştım. İçinde SIP' de Geçiyordu. Bu Yüzden SIP' e Bir Ayrıcalık Yapıp Bu Konuyu Hazırlıyorum. Önceki Konumu incelemek isterseniz Alta link bırakıyorum.
Kod:
[URL="https://www.turkhackteam.org/web-server-guvenligi-ve-zafiyetler/1966741-voip-nedir-voip-hakkinda-bilinmesi-gerekenler.html"]https://www.turkhackteam.org/web-server-guvenligi-ve-zafiyetler/1966741-voip-nedir-voip-hakkinda-bilinmesi-gerekenler.html[/URL]SIP (Session Initiation Protocol),
VoIP teknolojisinin en temel protokollerinden biri olmakla birlikte, aynı özellik için kullanılan H323, MGCP, SCCP benzeri protokoller arasında en çok tercih edilen protokoldür. RFC 3261 dokümanlarında açıklanan bu protokol; IETF, ETSI gibi birçok uluslararası kuruluş tarafından da kabul görmektedir. Uygulama katmanında çalışan SIP, metin içerikli bir protokoldür; arayan ve aranan bilgisi, mesaj türü (davet, başlatma, bitirme), domain bilgisi gibi bilgileri içeriğinde barındırır. En çok karıştırıldığı RTP (Real-Time Transfer Protocol) protokolü ile kıyaslandığında, SIP in oturum başlatmak amaçlı kullanıldığı, RTPnin ise ses ve görüntünün taşınmasından sorumlu olduğu görülmektedir.
Web ile birlikte çalışabilmesi, beraberindeki uygulamalara kolayca entegre olabilmesi SIPin en önemli ve tercih edilmesine neden olan özelliklerinden biridir. Ayrıca kurulmuş olan oturuma video eklemesi de gerçekleştirebilmektedir. TCP desteği ile kullanıcılar arası handshaking (el sıkışma) yapılarak bağlantının kesin oluştuğundan emin olunur. UDP desteği ile de anlık ses iletimi için gerekli olan kesintisiz iletişim gerçekleştirilmektedir . Aynı zamanda ölçeklenebilir ve farklı mimarilere de rahatlıkla uygulanabilir.
TCP Handshake Örneği:
SIP'ın Temel Özellikleri Nelerdir ?
Aralarında oturum başlatılacak olan kullanıcıları tespit ederek bu bilgiyi içeriğinde sunmak
Bağlantıyı başlatmak, sonlandırmak, çağrı parametrelerini ayarlamak
Kullanıcı konum bilgilerini içermek
Çağrının yönetimini gerçekleştirmek
Çağrı özelliklerini değiştirmek: Sadece ses iletişimi yapılan bir görüşmeye video iletimi de eklenmesi.
Mobilite: Kullanıcı bağlantı sırasında konum değişikliği yapsa dahi bağlantı kopmaması.
Medya parametrelerini ayarlamak.
SIP protokolü ile oturum kurulabilmesi için kullanıcıların kaydolacağı bir SIP sunucusuna ihtiyaç duyulmaktadır. Bu sunucu bir SIP Proxy sunucusu olabileceği gibi register (kayıt) sunucusu da olabilir. Gelen isteklere bu sunucu cevap vermektedir . Bu sunucuya yapılabilecek olan olası bir saldırı ise tüm sistemi etkileyebilecek tehlikeli bir durum oluşturabilir. Ağa dâhil olan bir saldırgan iletişim halindeki iki kullanıcı arasındaki SIP mesaj içeriğini rahatlıkla dinleyebilir ve mesaj içeriğini değiştirebilir . Sosyal ve hizmet aksatma saldırıları ile de SIP haberleşmesi sabote edilebilir . Hizmet kesintisine neden olan ve en sık karşılaşılan saldırı, Denial of Service (DoS)dur. DoS saldırı türleri arasında ise, genellikle istem dışı başlatılan oturum sayısı ve sunucudan kaçak geçen paket sayısı gibi saldırılar bulunmaktadır . Kullanıcı sunucu haberleşmesinde genellikle yetkilendirme yapılarak, istekler yanıtlanır . Ayrıca SIP sunucularda TLS (Transport Layer Security) kullanımı ile de güvenli iletişim gerçekleşmesine olanak sağlanabilir. Yine güvenilir iletişim için S/MIME kullanımı ile de SIP mesajlarına güvenilirlik ve gizlilik katılmaktadır.
IPSEC uygulaması ile de SIP mesajları dışarıdan okunamaz hale getirilerek, güvenilirliği arttırılabilir .
SIP Saldırı Yöntemleri
SIP protokolü kullanarak başlatılan oturumlarda, kullanıcıya ve kaydolduğu sunucuya ait bilgiler şifrelenmeden gönderildiği için söz konusu bilgilerin ait olduğu cihaz ve sistemler saldırılara karşı da savunmasızdır. Bu güvenlik açığı nedeniyle birçok saldırı gerçekleştirilebilecek olup, bu saldırılar ile gerek hizmet kesintisi gerekse konuşmaların dinlenmesi gibi birçok istenmeyen sonuçlar doğabilir.
Ddos / Dos Saldırıları
DoS ya da DDoS ataklarında, mevcut SIP sunucusunun hizmetinin kesintiye uğratılması veya servis yanıltma amaçlanır. 2004 CSI/FBI raporuna göre hırsızlıktan bile daha fazla mali zarara neden olmaktadır.
Bu saldırıyı yapmak bazı toollara ihtiyacınız var.
Kod:
[URL="https://github.com/meliht/Mr.SIP"]https://github.com/meliht/Mr.SIP[/URL]Telekulak Saldırısı
Bu saldırıda ağa erişerek veri paketlerine erişim ve kişisel bilgilere ulaşılması amaçlanmaktadır. Saldırgan sistem üzerindeki zafiyet ve açıkları bulmak amacıyla da telekulak saldırısı gerçekleştirebilir. VoIP teknolojisinde, erişimin kolay olması nedeniyle IP ağına erişimi bulunan saldırgan iletilen paketleri görüntüleyebilir ve yakalayabilir. Bazı paket yakalama programları ile bu saldırı rahatlıkla gerçekleştirilebilmektedir. WireShark Bunun için ideal bir programdır.
Man İn The Middle Attack
Oturum başlatmak üzere ya da oturumu başlamış olan kullanıcıların iletişim kurmak üzere paylaştığı paketlerin, saldırgan tarafından ele geçirilerek, trafiğin kendi üzerinden geçecek şekilde ayarlanması ortadaki adam saldırısıdır. Bu yönlendirme ile gerekli olan bilgileri ele geçiren saldırgan ayrıca sistemde değişiklik yapma hakkına da sahip olur.
Oturumda kullanıcılar arasına giren saldırganı kullanıcılar fark etmeyebilir. Bağlantı için istek yapan kullanıcı ve yanıt veren kullanıcı arasına giren saldırgan istek yapan kullanıcının isteğini yanıtlar ve iletişim kurulacak olan kullanıcıya da saldırgan kendisi istekte bulunur. DiffieHellman anahtar değişimi ile iki farklı anahtar üreterek akış şifrelenir. Bu sayede her iki kullanıcı da herhangi bir sıkıntı sezmez. Diffie-Hellman değerleri yetkilendirilmediği sürece bu saldırının gerçekleşmesi mümkündür.
Kayıt Bilgilerinin Değiştirilmesi
Bu saldırı ile sistemdeki kullanıcıların kayıt bilgileri değiştirilerek, yapılan tüm isteklerin farklı bir sunucuya gitmesi sağlanarak istekler yönlendirilebilir. SIP mesaj içeriğinde bulunan, isteğin kimden yapıldığına dair bilgiler değiştirilerek sahte kullanıcı kayıtları yapılabilir. Kullanıcı veri bloğu iletişim kuralları (User Datagram Protocol - UDP) mesajlarının kontrolsüz olması sebebi ile saldırgan hem kendini sisteme kaydedebilir hem de sistemdeki aktif kullanıcıları kendine yönlendirebilir. Birçok SIP tabanlı sistemde herhangi bir yetkilendirme istenmediği için bu saldırı rahatlıkla gerçekleştirilebilmektedir. Bu saldırıyı başarıyla gerçekleştirdikten sonra ortadaki adam saldırısı gerçekleştirmek de daha kolay bir hal almaktadır. Yetkilendirme yapılarak söz konusu saldırının önüne geçilebilir
Tekrarlama Saldırıları
SIP mesajlarının ele geçirilmesi ve belli bir süre sonra aynı mesajların geri gönderilmesi ile gerçekleşir. Genelde yetkili bir kullanıcının bilgilerinin çalınması ve onun yerine geçilmesi ile gerçekleştirilir . Bu saldırı ile tek bir arama için oturum başlatılacakken birden çok oturum başlatılması ile birden çok arama gerçekleştirilmiş olur bu da gerek sistemi meşgul etmesi gerekse maddi açıdan kayıp oluşturması nedeni ile önlem alınması gereken bir durumdur. Yine aynı şekilde yetkilendirme ve şifreleme senaryoları ile bu saldırı türü engellenebilir.
Oturum Bozma Saldırıları
Var olan bir sinyalleşme ya da oturumu kesmek amacıyla gerçekleştirilir. İletişim halinde bulunan kullanıcılar arasına saldırganın girmesi ve aradaki bağlantıyı, BYE mesajı yollayarak bitirmesi ile sonuçlanır. HTTP Digest Authentication kullanılmış olsa dahi saldırgan zararlı ACK ya da CANCEL istekleri ile oturumların düşmesine neden olabilir. Güvenli oturum kurulması sağlanarak ve gerekli yetkilendirmeler yapılarak oturuma dâhil olunması engellenebilir ve bu sayede de oturumun devamlılığı sağlanabilir.
SIP Güvenlik Yöntemleri
SIP tabanlı iletişimin birçok saldırı türüne açık olması sebebi ile çeşitli güvenlik önlemlerinin alınması gerekmektedir. Paketlerin açık bir şekilde şifrelenmeden yollanması, kötü niyetli kişiler tarafından bu paketlerin yakalanarak, oluşturulan tüm oturumların dinlenmesine sebebiyet verebilmektedir.
Güvenlik Gereksinimleri Olarak
Gizlilik: Bilginin ya da kaynakların gizlenmesi olarak tanımlanır. SIP mesaj içeriğinin ve SIP başlığının gizli olması gerekir.
Bütünlük: SIP mesajları yetkili olmayan kişilerce değiştirilememeli veya başka bir SIP mesajını yanıltmamalıdır.
Erişilebilirlik: SIP mesajlarının rahatlıkla iletilmesi için kullanıcıların kayıtlı olduğu sunucunun sürekli erişilir olması gerekmektedir.
Reddetmeme: Alıcının iletişimin gerçekten gerçekleştiğini ve veriyi yollayan kişinin kimliği hakkında bilgi sahibi olduğunu ön görmektedir.
Sunucu Doğrulama: Kullanıcı verilen sunucu kimliğine güvenmelidir. Arayan ve aranan bilgileri SIP mesajında tutulur ve aranan kullanıcı arayan kullanıcının kimlik bilgilerine güvenir.
Kullanıcı dostu olması: Kullanıcılar SIP ve SIP güvenliği hakkında bilgi sahibi olmayabilir. Bu durumda bile kullanıcının güvenliğini sağlamak esastır.
HTTP Digest Authentication (Özet Doğrulama)
SIP protokol yapısının HTTP yapısına benzemesinden dolayı, HTTP güvenliğinde kullanılan özet doğrulama teknolojisi kullanılmaktadır. Kullanıcı isteği yaparken sunucuya kullanıcı adı ve şifre gönderir, fakat sunucu bu bilgileri direkt olarak algılamaz, talebi yapan kullanıcıya anlık bir değer göndererek sorgular, kullanıcı çeşitli bilgileri içeren toplam bir değer hesaplar ve sunucuya geri gönderir. Sunucu da iletilen bilgiyi doğrular. Fakat bu süreçte araya kötü niyetli kullanıcı ya da saldırganlar girmesi ile iletilen mesajlar değiştirilebilir. Bunun önüne geçmek için doğrulamaya ve dolayısı ile mesaj bütünlüğünün korunmasına ihtiyaç duyulmaktadır. Hashlenmiş olan şifrenin ağ üzerinde iletilmesi ile paketlerin ve şifrelerin yakalanması zorlaşmış olur, böylece telekulak ve tekrarlama saldırılarını gerçekleştirmek de zorlaşır. Doğrulama ve tekrarlama koruması sağlamasına karşın bu teknoloji, gizlilik ve bütünlük prensiplerini sağlayamaz. RFC 3261 e göre sadece bu güvenlik önlemi ile ortadaki adam saldırılarına karşı savunmasız kalınabilir.
S/MIME
SIP mesajlarının şifrelenmesi ve bütünlüğünün korunması amacıyla kullanılan S/MIME, aslında e-posta iletilerine çeşitli içeriklerin eklenmesine olanak sağlayan ve bunu şifreleyerek yapan bir teknoloji olarak üretilmiştir. Doğrulama, gizlilik, bütünlük ve tekrar etmeme özelliklerini sağlaması ile mesajın kendisine koruma sağlamaktadır. SIP mesajı S/MIME gövdesi ile tünellenir ve MIME gövdesi ayrı bir imza ile imzalanır.
Orijinal mesaj contenttype: message: SIP bilgisi altında tünellenmiş halde bulunur. Açık anahtar yapısı ve sertifikalar kullanılması son kullanıcılar açısından zorluk olarak görülebilmektedir ve karmaşık gelebilmektedir.
TLS
RFC 2246 tarafından tanımlanan TLS, OSI iletim katmanında çalışan bir protokoldür. Tamamen güvenlik amacıyla oluşturulmuş olup, bağlantı yönelimli ve güvenilir iletim gerektirdiğinden sadece TCP ile çalışır UDP ile çalışmaz. Mesajın gizliliğini, doğrulamayı ve mesaj bütünlüğünü sağlamaktadır. TLS bağlantısı kurmak için kullanıcılar birbirlerine belirli mesajlar gönderirler ve alım bittikten sonra güvenli oturum kurulmuş olur. TLS iki protokol kullanmaktadır; kayıt protokolü ve el sıkışma protokolü. Kayıt protokolünde, kullanıcılar simetrik/asimetrik anahtarlı şifreleme kullanır. El sıkışma protokolünde ise kullanıcı ve sunucu arasında algoritmalara ve kullanılacak olan anahtara karar verilir. TLS bağlantısı kurulması üç aşama ile gerçekleşir. İlk olarak kullanıcılar desteklenen şifreleme algoritmalarını belirler. Sonrasında kullanıcılar arasında anahtar değişimi gerçekleşir ve birbirlerini doğrularlar. Son aşamada ise mesajları şifrelemek için bu anahtarları kullanırlar ve iletişim kurarlar. Bağımsız ve kendine yeten bir güvenlik protokolü olması sebebiyle TLS şifreleme için en çok kullanılan teknolojilerden biridir.
Güvenlik Duvarı ve Nat Kullanımı
Doğrulanmayan erişim ve zararlı trafik için oluşturulan ilk korumacı cihaz güvenlik duvarıdır (firewall). Genellikle iç ağ ve dış Internet trafiği arasına konumlandırılarak tüm gelen ve giden paketlerin buradan geçmesi sağlanır. Üzerinden gelen paketleri kabul edip etmeyeceğini belli kurallara göre yapan bu cihaz, IP ve port numarası bilgileri girilerek kural tanımlanmasına olanak sağlar. Güvenlik duvarlarında yüksek bağlantı noktası aralıkları açılmaz, çünkü bu durum yetkisiz bağlantılara da izin verir. NAT ise IP adresini korumak için kullanılır.
Konuyu Burda Bitirmek İstiyorum. Yeterince Uzun oldu , Aslında Eklemek İstediğim 2 Kısım Daha Vardı. Fakat Sıkıcı Olmasını İstemiyorum Onları Başka Konu da Anlatmayı Düşünüyorum.
Umarım okurken keyif almışsınızdır. Aklınıza takılan bir yer olursa yorum atabilirsiniz.
Son düzenleme:
