Перейти на главную страницу
Поиск по сайту

Authorization required перевод

Виктор Чумачев — известный московский художник, который сотрудничает с «Системным authorization required перевод уже несколько лет. Именно его забавные и воздушные, как ИТ, иллюстрации украшают многие серьезные статьи в журнале. Работы Виктора Чумачева хорошо знакомы читателям в России «Комсомольская правда», «Известия», «Московские новости», Коммерсант и др. Каждый раз, получая новый рисунок Виктора, мы authorization required перевод редакции улыбаемся. А улыбка, как известно, смягчает душу. Поэтому смотрите на его рисунки — и пусть у вас будет хорошее настроение! Красть или не красть? О пиратском ПО как о российском феномене Тема контрафактного ПО и защиты авторских прав сегодня актуальна как никогда. Жизнь под дамокловым мечом Политические события как катализатор возникновения уязвимости Законодательная инициатива Государственной Думы и силовых структур. Так уж устроен человек, что взгляд его обращен чаще всего в Будущее. Сервер трансляции сетевых адресов NAT создаёт серьёзные препятствия нормальной работе с Authorization required перевод. Как решается проблема NAT в сетях IP-телефонии на базе протокола SIP? Как бороться с угрозами безопасности в таких сетях? Ответы на эти вопросы вы узнаете из заключительной части статьи. Проблема обхода NAT Вряд ли стоит долго объяснять, почему NAT является проблемой для голосового трафика. Достаточно уже того факта, что голосовой трафик обособлен от сигнализации использует динамически назначенные номера портов. А IP-адреса и номера портов, помещаемые находящимся за NAT-пользовательским агентом в поля заголовков Contact и Via, а также в SDP-сообщение, не маршрутизируемы. Маршрутизатор с поддержкой NAT-транспортного уровня модели OSI, а SIP-заголовки формируются на уровне приложения. Следовательно такое authorization required перевод не может проанализировать заголовки и SDP-сообщение и переопределить анонсированные там IP-адреса и номера портов а также открыть обратный канал для маршрутизации входящего трафика к пользовательскому агентуравно как и не может знать, к какому SIP-диалогу относится тот или иной медиапоток. Как результат, каждый не понаслышке знакомый с IP-телефонией человек сталкивался с явлениями односторонней слышимости или вовсе отсутствия звукового потока. Сразу следует заметить, что «серебряной пули» здесь нет: все решения этой проблемы в большей или меньшей степени частные. Впрочем, проблема обхода NAT медиатрафиком — это лишь одна сторона медали. Вначале мы рассмотрим, какие препятствия создаёт NAT для сигнальных сообщений и какие расширения SIP были разработаны для их преодоления. Обход NAT SIP-сигнализацией При использовании протоколов транспортного уровня без гарантии доставки отправка ответа на SIP-запрос производится на тот IP-адрес, с которого запрос был получен. Этот IP-адрес транспортный уровень протокола SIP заносит в параметр received заголовка Via перед передачей сообщения вышележащим уровням. Номер же порта для отправки извлекается из заголовка Via. В случае применения NAT — это порт, на котором ожидает ответа находящийся за NAT пользовательский агент, а не тот порт, через который происходит NAT-трансляция и на котором NAT authorization required перевод поступления ответа; следовательно, ответ не может достичь адресата. При этом сам порт заносится в специальный параметр rport-заголовка Via. Таким образом, прокси-сервер отсылает ответное сообщение на порт и IP-адрес, с которых пришёл запрос. Это позволяет ответу найти соответствие в таблице трансляции NAT и достичь целевого узла. Этот метод называется симметричной маршрутизацией ответов. Вторая проблема authorization required перевод в необходимости корректной маршрутизации входящих SIP-запросов. SIP не обеспечивает механизма, который бы позволял отправлять новые запросы по тому соединению транспортного уровня, которое было образовано при регистрации пользователя. Записи в таблице трансляции NAT имеют ограниченное время жизни чтобы таблица не переполнялась в том числе и, чтобы входящие SIP-запросы могли authorization required перевод UA за NAT, записи в таблице трансляции NAT надо периодически обновлять. Это касается как протоколов без установления соединения, так и протоколов с установлением соединения. При необходимости отправки запроса данному UA, прокси-сервер отправляет сформированный запрос на IP-адрес и порт, взятые из заголовка Contact при регистрации. Этот же IP-адрес не маршрутизируем; следовательно, для корректной маршрутизации входящих запросов сервер регистрации должен сохранить в базе данных с информацией о местоположении пользователей IP-адрес и номер порта, с которых запрос был на самом деле получен, в качестве контакта пользователя. Маршрутизация входящих запросов Но запись в таблице трансляции NAT удаляется после истечения определенного промежутка времени чаще всего — несколько минут. Проблема актуальна не только в период после регистрации пользователя: во время SIP-диалогов новые сообщения также могут не поступать authorization required перевод течение длительного промежутка времени, чего достаточно authorization required перевод того, чтобы запись из таблицы трансляции была удалена. Имеющиеся SIP-стеки решают эту проблему путём периодической посылки SIP-запросов re-INVITE, OPTIONS, INFO, NOTIFY или при использовании UDP дейтаграмм, не содержащих полезной нагрузки. Остановимся на ней подробнее. При регистрации пользователя регистратор сохраняет данные о транспортном соединении, через которое был получен запрос. Два специальных параметра instance-id и reg-id заголовка Contact позволяют найти в базе данных сервера регистрации данные о соединении и направить входящий запрос к UA по тому соединению транспортного уровня, через которое был получен запрос регистрации. Также authorization required перевод черновике описаны механизмы для постоянного обновления записей таблицы трансляции NAT. Подытожим сказанное небольшим примером регистрации пользователя, находящегося за NAT использующего UDP см. Обход NAT SIP-сигнализацией Запрос REGISTER содержит параметр заголовка Via rport, информирующий UAS о поддержке RFC 3581, а также authorization required перевод reg-id и +sip. Заметьте, что IP-адрес и порт, с которых был получен запрос, прокси-сервер заносит authorization required перевод параметры received и rport заголовка Via. На них же и производится отправка ответа в соответствии с RFC 3261 и RFC 3581. Причём ответ должен быть отправлен authorization required перевод с того же IP-адреса и порта, на котором был получен запрос, чтобы ответ был опознан NAT-транслятором, как принадлежащий к установленному соединению. Обход NAT медиатрафиком Решение проблемы обхода NAT медиатрафиком требует более сложных изменений, поскольку необходимо заменить IP-адрес и номер порта, анонсированные в SDP-сообщении, таковыми, что обеспечат доставку потоков нужному адресату за NAT см. В контексте SIP нас интересует возможность определения пользовательским агентом публичного IP-адреса NAT и записей в таблице трансляции с помощью STUN. Но вначале напомню специфику разных типов NAT. Full Cone NAT — такой NAT транслирует все запросы от одного и того же внутреннего IP-адреса в один и тот же внешний IP-адрес и один authorization required перевод тот же номер порта. Отправка пакетов хосту, находящемуся за NAT такого типа, извне, легко осуществима — проверяются только транспортный протокол, адрес назначения и порт назначения, адрес и порт источника значения не имеют. Приложению нужно лишь слушать на том же IP-адресе и порту, с которых оно отправляет запросы. Restricted Cone NAT — от предыдущего типа он отличается тем, что выполняется проверка адреса источника. Иными словами, хосту, находящемуся за NAT такого типа, хост с IP-адресом X сможет отправить пакет только в том случае, если перед этим внутренний хост уже отправлял пакеты на IP-адрес Port Restricted Cone NAT — в дополнение к проверке адреса источника здесь также выполняется проверка порта источника. Хост с IP-адресом X, отправляющий пакеты с порта P, сможет «достучаться» до authorization required перевод за NAT такого типа только в том случае, если перед этим внутренний хост уже отправлял пакеты на IP-адрес X и порт Symmetric NAT — все запросы от одного и того же внутреннего IP-адреса и направленные на один и тот же IP-адрес и порт транслируются в один и тот же внешний IP-адрес и один и тот же порт. При изменении IP-адреса или порта назначения создается новая запись в таблице трансляции. При отправке пакетов хосту, находящемуся за NAT такого типа, проверяется транспортный протокол, адрес и порт назначения, а также адрес и порт источника. Алгоритм работы STUN следующий. Клиент STUN встроенный в UA отправляет на расположенный снаружи NAT STUN-сервер зондирующие сообщения. STUN-сервер анализирует это сообщение информирует клиента о том, какие IP-адрес и порт были использованы NAT cм. Эти IP-адрес и порт клиент и помещает в SDP-часть SIP-запроса а также поля заголовков Via и Contact. Путём отправки специальной последовательности запросов authorization required перевод может точно определить тип NAT. STUN Наконец, мы подошли к главному. STUN не решает проблему обхода NAT в SIP в общем случае. Да, он работает в сценариях Port Restricted Cone NAT, а иногда — и в Restricted Cone NAT, но наиболее распространенным типом NAT был и остается симметричный, и здесь STUN бесполезен. К тому же не все UA даже в случае более дружественных типов NAT хорошо «дружат» с STUN, а в более старых устройствах поддержка STUN не была широко распространена. Ещё одна «ложка дёгтя» — в существующих реализациях STUN не работает с SIP поверх TCP, поскольку authorization required перевод отслеживает должным образом состояние открытых TCP-сессий. Traversal Using Relay NAT TURN Дальнейшим развитием STUN является протокол TURN Traversal Using Relay NAT. TURN позволяет клиенту получить маршрутизируемый IP-адрес для общения с одним внешним узлом и не пригодный authorization required перевод чего либо еще. TURN-сервер, обычно располагаемый DMZ абонентской сети или в сети сервис-провайдера, имитирует поведение Restricted Cone NAT: он транслирует пакеты с внешнего IP-адреса к клиенту только в том случае, если клиент ранее authorization required перевод отправлял пакеты на внешний узел через TURN-сервер. Таким образом, TURN-сервер служит транзитным узлом прокси-сервером для всего последующего сигнального и медиатрафика см. При этом он приемлемо работает даже с клиентами за симметричным NAT. Для выделения IP-адреса и отправки пакетов в спецификации протокола определены специальные запросы Allocate и Send; в остальном же структура протокола аналогична STUN. В качестве транспортных протоколов для сигнального и медиатрафика TURN поддерживает TCP и UDP. Обход NAT SIP-сигнализацией Недостаток данного метода очевиден: authorization required перевод проксирования всего трафика увеличивается односторонняя задержка и повышается вероятность потери пакетов. По этой причине TURN рекомендуется использовать лишь в тех случаях, когда менее «дорогие» методы обхода NAT бессильны. Interactive Connectivity Establishment ICE TURN-сервер проксирует весь RTP-трафик даже тогда, когда authorization required перевод STUN было бы достаточно для обхода NAT. С целью выбора наименее «дорогого» метода обхода NAT путем проведения согласования возможных опций authorization required перевод конечными точками ассоциация IETF предложила инфраструктуру ICE Interactive Connectivity Establishment. Это не протокол в привычном смысле этого слова; ICE называют инфраструктурой frameworkи базируется он на существующих протоколах STUN и TURN и расширениях SIP. Механизм работы ICE следующий. Пользовательские агенты производят authorization required перевод возможных маршрутов между собой. Каждый UA для начала диалога может использовать либо IP-адрес одного из локальных сетевых authorization required перевод, либо определённый с помощью STUN или UPnP, Universal Plug and Play маршрутизируемый Authorization required перевод, либо же IP-адрес TURN-сервера. Список маршрутов-кандидатов образуют пары — все возможные комбинации транспортных адресов одного пользовательского агента с транспортными адресами другого. В списке маршрутов-кандидатов наивысший приоритет получают маршруты без задействования STUN, более низкий — маршруты с задействованием STUN, и наиболее низкий — authorization required перевод с проксированием медиатрафика через TURN-сервер. Изложение здесь намеренно усложнено: на самом authorization required перевод гибкая система приоритетов позволяет учитывать топологию сети, данные о задержке и вариации задержки, требования к безопасности и т. В итоге каждый маршрут получает уникальное значение приоритета. Затем проверяется их работоспособность достижимость противоположной стороны. Из маршрутов, прошедших проверку, выбирается один с наивысшим приоритетом. К слову, если в результате использования STUN или TURN, назначение для RTCP-порта с номером на единицу большим, чем у порта, выделенного для RTP-трафика, невозможно, специальный атрибут rtcp в SDP-части RFC 3605 может содержать произвольный номер порта и IP-адрес, на котором UA готов принимать RTCP-сообщения. Словом, спецификация ICE выглядит весьма многообещающе, и это решение находит поддержку VoIP-индустрии. Проксирование медиатрафика Один пример с проксированием как SIP-сигнализации, так и медиатрафика, мы уже видели — это TURN. Рассмотрим, каким образом можно реализовать проксирование одного лишь медиатрафика при помощи RTP-прокси-сервера и B2BUA «Back-to-back user agent» — SIP-узел, состоящий из двух SIP UA, которые общаются между собой строго на прикладном уровне. Критерием для определения факта присутствия NAT чаще всего служит наличие немаршрутизируемого IP-адреса в поле заголовка Contact. Далее, нам известно, authorization required перевод для того, чтобы RTP-трафик достиг UA authorization required перевод NAT, в качестве адреса и порта назначения следует использовать IP-адрес NAT-устройства и порт, анонсированный в определении медиапотока в SDP части. Следовательно, когда факт присутствия NAT установлен, B2BUA «запоминает» IP-адрес, с которого был получен запрос, и сообщает пару «IP-адрес : номер порта» устройству RTP-прокси, чтобы тот использовал эти данные для отправки трафика инициатору вызова в дальнейшем. RTP-прокси создаёт новый сеанс, выделяет новую пару IP-адрес: порт для медиа-потока и сообщает её B2BUA. Тот подставляет полученные маршрутизируемый IP-адрес и порт в SDP-сообщение перед пересылкой запроса адресату. Аналогичные манипуляции выполняются c SDP-сообщением адресата. В результате весь медиатрафик протекает через RTP-прокси. Для функционирования этого механизма принципиально важным authorization required перевод свойство симметричности authorization required перевод агента: использование для передачи и приёма одного и authorization required перевод же порта UA должен отправлять медиа-поток с того порта, который он анонсировал в SDP. Но такой подход идеален authorization required перевод смысле точности данных: не требуется ничего, кроме собственно пакета, и поскольку пакет приходит на тот порт, с которого будет посылаться встречный поток — решаются проблемы со всеми видами NAT. В таком прокси-сервере можно реализовать любую дополнительную функциональность, связанную с модификацией SDP-части. В то же время это вносит дополнительную задержку в сеанс, повышает нагрузку на прокси-сервер и расходы сервис-провайдера. Ведь пользовательский агент, находящийся за любым видом NAT, может успешно слать RTP-пакеты другому агенту с маршрутизируемым IP-адресом, а тот, в свою очередь, может достичь инициатора этого трафика по IP-адресу и номеру порта, с которых был получен первый RTP-пакет при условии, что первый пользовательский агент симметричен. Рассмотрим, как это работает в случае обоюдной поддержки COMEDIA сторонами. Затем UAS должен слать RTP-трафик на IP-адрес и порт, с которых пришёл первый медиапакет, вместо анонсированных в первом SDP-предложении authorization required перевод. После authorization required перевод версии данного документа он был принят как RFC 4145 — TCP-Based Media Transport in SDP и касается теперь лишь передачи медиатрафика поверх TCP. На моей памяти множество случаев, когда применение COMEDIA вызывало потерю аудио при сопровождаемом переводе или разветвлении вызова: фактически маршрутизатор продолжал посылать медиапоток на пару IP-адресов: порт, полученную в первом SDP-предложении, упорно игнорируя все последующие. Причём решить проблему помогало именно отключение! Посему применять COMEDIA в вышеназванных сценариях следует с долей осторожности. Другие технологии Нередко в качестве решения предлагается применять шлюзы уровня приложений Application Layer Gateway, ALGобрабатывающие как заголовки пакета IP, так и его информационное наполнение. Функции ALG могут выполнять пограничные контроллеры соединений Session Border Controller, SBC или маршрутизаторы, транслирующие управляющие сообщения SIP. К сожалению, обработка каждого пакета требует высокой производительности и повышает стоимость решения. К тому же новые модификации протокола требуют, чтобы ПО SIP ALG постоянно обновлялось, а его производитель следил за всеми изменениями, реализуемыми поставщиками устройств SIP. «Нечестный» SIP ALG может повлиять на нормальное функционирование находящихся за ним устройств. Технология UPnP Universal Plug and Play чаще применяется в сегменте SOHO и малых инсталляциях. Впрочем, она не является специфичной для VoIP и к тому же и так неплохо освещена в Сети. Безопасность SIP Authorization required перевод рабочей группы IETF SIP Working Group разработали исчерпывающий набор базисных элементов защиты, предотвращающих прослушивание, перехват сессий и активные атаки SIP-систем, а также позволяющих убедиться в подлинности authorization required перевод. Оставшаяся часть статьи посвящена рассмотрению этих элементов. Аутентификация Аутентификация в SIP принимает две формы. Первая — это аутентификация прокси-сервером, сервером переадресации или сервером регистрации пользовательского агента. Вторая — это аутентификация одним пользовательским агентом другого. Аутентификация пользовательского агента прокси-сервером нужна для проверки законности доступа к определённой услуге или функции. К примеру, прокси-сервер может потребовать аутентификацию перед пересылкой полученного INVITE адресату или предоставлением любой другой услуги. Сервер регистрации может потребовать authorization required перевод для предотвращения регистрации не легитимного клиента и перехвата им входящих вызовов. Взаимная аутентификация пользовательских агентов имеет смысл для проверки того, что каждый из них на самом деле тот, за кого он себя выдаёт, ведь заголовок From содержимое которого отображается пользовательскими агентами в качестве номера имени вызывающего абонента может быть сфальсифицирован. Дайджест-аутентификация При использовании дайджест-аутентификации в стиле HTTP прокси-сервер отвечает authorization required перевод INVITE ответом authorization required перевод Proxy Authorization Required, в котором присутствует поле заголовка Proxy-Authenticate, с данными для вычисления отклика аутентификации. После отправки сообщения ACK на 407 Proxy Authorization Required authorization required перевод агент может переслать INVITE, но на этот раз — с заголовком Proxy-Authorization, содержащим удостоверение пользователя см. Дайджест-аутентификация Рассмотрим выполнение дайджест-аутентификации на примере. Нужно отметить, что пользовательские агенты, серверы регистрации и переадресации вместо 407 Proxy Authorization Required используют ответ 401 Unauthorized, а заголовок с данными для вычисления отклика аутентификации в нём называется просто Authenticate. В ответ на него UA должен прислать INVITE с заголовком Authorization. Дайджест сообщения authorization required перевод это уникальная символьная строка фиксированного размера, она является результатом обработки данных зашифрованных имени пользователя authorization required перевод пароля с помощью односторонней хэш-функции MD5. Сервер SIP сравнивает данные заголовка Authorization с результатом применения той же хэш-функции к данным, хранящимся в базе. Заголовок Authentication-Info позволяет пользовательскому агенту аутентифицировать прокси-сервер, используя тот же механизм дайджест-аутентификации. Transport Layer Security TLS Как и в случае с HTTP, передача SIP-данных может осуществляться с помощью протокола защищённого канала Transport Layer Security TLS. SIP over TLS обеспечивает конфиденциальность и целостность информации authorization required перевод канале, осуществляет аутентификацию прокси-серверов с использованием сертификатов которыми, согласно RFC 3261, должны обладать прокси-серверы, серверы регистрации и серверы переадресации. В рамках модели SIP over TLS безопасность достигается на каждом участке по пути следования authorization required перевод сообщений см. TLS На пути от пользовательского агента до прокси-сервера применяется TLS, а сигнализация между серверами может быть защищена с помощью TLS или IPSec который считается опциональным, но более стойким. После успешной аутентификации прокси-серверы SIP дешифруют каждое сообщение на каждом участке пути применяется отдельный ключчто даёт им возможность «видеть» все заголовки и корректно выполнять маршрутизацию сообщений. Однако конечные абоненты должны безоговорочно «доверять» прокси-серверам. Среди слабых мест протокола TLS традиционно authorization required перевод подверженность атакам «человек посередине» Man-in-the-Middle. Есть и специфические для SIP проблемы: хотя TLS-соединение служит свидетельством аутентичности обеих сторон, этого мало для того, чтобы быть уверенным в аутентичности или обеспечить невозможность отречения от произвольного SIP-сообщения, передаваемого по этому каналу. TLS способен обеспечить эти цели в рамках протокола HTTPS, где появление иконки с изображением замка в браузере автоматически означает наличие безопасного канала между браузером и веб-сервером. SIP же гораздо более сложен. Представьте, например, TLS-соединение между двумя прокси-серверами: через него может передаваться трафик, принадлежащий разным транзакциям или диалогам. Следовательно, злоумышленник из одного домена может провести атаку с инжекцией трафика в другой домен, и это не будет обнаружено или предотвращено TLS-соединением. Корень проблемы в том, что конечные точки TLS-соединения не authorization required перевод со структурой передаваемых через них сообщений протокола SIP настолько, чтобы применить достаточно жёсткую политику безопасности. Наконец, формирование доверительных отношений в рамках TLS и даже установка TCP-соединений может стать настоящей проблемой для сервис-провайдера, обслуживающего уже несколько сотен тысяч абонентских устройств. Не нужно обладать богатой фантазией, чтобы представить, на что будет похож поток SYN-пакетов во время формирования TLS-соединений. Факт, что две стороны установили диалог. IP-адреса и номера портов, относящиеся к медиа-потоку, что делает возможным перехват медиаданных. Presence-информация: сведения о географическом положении сторон, их статусе, активности и т. Замечу, что в предыдущих authorization required перевод SIP RFC в качестве метода обеспечения аутентификации и секретности предлагался PGP, но сейчас его использование признано authorization required перевод. Рассмотрим, как она интегрируется authorization required перевод модель использования SIP. Эти сертификаты также ассоциируются с ключами шифрования. Тело сообщения подписывается личным ключом и шифруется открытым ключом предполагаемого получателя сообщения. Открытый ключ может быть вложен в само сообщение. Предполагается, что отправитель сообщения уже установил подлинность открытого ключа получателя. Сами же открытые ключи хранятся в UA на некой связке ключей authorization required перевод виде пар «списочный адрес — ключ». Такие сообщения не воспринимаются как новый диалог или транзакция, но пользуются всеми преимуществами сквозного шифрования и аутентификации. Заголовки Request-URI, Via, Record-Route, Route, Max-Forwards, и Proxy-Authorization не должны учитываться при подсчёте контрольных сумм, поскольку они могут или должны изменяться при прохождении через промежуточные прокси-серверы. Поддержка приватности в сети SIP является сложной задачей уже потому, что протокол имеет текстовую природу, и участники диалога могут обмениваться сообщениями без привлечения какого-либо сервис-провайдера. В то же время от SIP UA требуется как минимум функции скрытия отображаемого имени и номера абонента, ставшие привычными в ТфОП. Наиболее прямолинейный подход — предоставление ограниченной информации authorization required перевод заголовке From — может вызвать проблемы при терминации звонка в сеть другого оператора или ТфОП или сделать невозможным предоставление ряда услуг. В RFC 3325 описывает функции обеспечения приватности личных данных абонента с сохранением возможности его идентификации. Такой механизм идентификации authorization required перевод в рамках одного домена. Для его реализации были authorization required перевод новые заголовки P-Preferred-Identity и P-Asserted-Identity. Заголовок P-Preferred-Identity используется UA в транзакциях с доверенным прокси-сервером. Клиент конструирует запрос INVITE, не содержащий данных о личности абонента в поле From, но с реальным SIP URI и опционально отображаемым именем в поле P-Preferred-Identity. Также добавляется заголовок Privacy, принимающий одно из следующий значений: «none» — приватность не требуется; прокси-сервер обязан не удалять заголовок P-Asserted-Identity; «user» — приватность требуется; прокси-сервер обязан удалить заголовок P-Asserted-Identity; «id» — приватность требуется только в рамках данного домена. Прокси-сервер обязан выполнить дайджест-аутентификацию для узла, с которым не установлены доверительные отношения. После этого прокси-сервер должен добавить заголовок P-Asserted-Identity с идентификатором личности абонента, который был аутентифицирован. Если прокси-сервер получает запрос от узла, с которым доверительные отношения уже установлены, используется уже имеющийся там заголовок P-Asserted-Identity. Процедура отправки сообщения следующая. Если вызываемый абонент расположен в домене доверия см. Механизм обеспечения приватности в рамках одного домена Если же абонент находится за пределами домена доверия см. P-Asserted-Identity обрабатывается в соответствии со значением заголовка Privacy, а сам заголовок Privacy должен быть удалён. Механизм обеспечения приватности вне домена доверия Разумеется, картина защиты будет неполной без обеспечения целостности и конфиденциальности данных в рамках одного домена доверия на сетевом уровне. Узлы домена должны быть взаимно аутентифицированы, а транзакции между узлами и между UA и узлами домена должны быть защищены с помощью Authorization required перевод или IPSec. Остаётся сказать несколько слов об обеспечении защиты медиа-потока. Следует упомянуть и детище автора PGP Фила Циммермана — привлекающий внимание простотой и authorization required перевод протокол ZRTP. Он использует алгоритм Diffie-Hellman для формирования сеансового ключа и SRTP в качестве транспорта. Принимая во внимание всё разнообразие протоколов, заботящимся о сохранности своих секретов, пользователям следует уделять особое внимание выбору клиентского ПО или устройств. Managing Client Initiated Connections in SIP —. Малоизвестные подробности authorization required перевод NAT. RFC 3489 — Simple Traversal of UDP through NAT STUN. Traversal Using Relays around NAT TURN : Relay Extensions to STUN —. SIP: Connection-Oriented Media Enhancements for SIP —. Connection-Oriented Media Transport in SDP —. Best Current Practices for NAT Traversal for SIP —. RFC 2617 — HTTP Authentication: Basic and Digest Access Authentication. RFC 4178 — Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement EAP-AKA. RFC 4347 — Datagram Transport Layer Security DTLS. RFC 4346 — The Transport Layer Security TLS Protocol Version 1. RFC 3323 — A Privacy Mechanism for SIP. RFC 3325 — Private Extensions to the SIP for Authorization required перевод Identity within Trusted Networks. RFC 4474 — Enhancements for Authenticated Identity Management in SIP. RFC 4916 — Connected Identity in SIP. RFC 3711 — The Secure Real-time Transport Protocol SRTP. ZRTP: Media Path Key Agreement for Secure RTP —. Google+ Комментарии отсутствуют Добавить комментарий Комментарии могут оставлять только зарегистрированные пользователи Copyright © Системный администратор.


Другие статьи на тему:



 
Copyright © 2006-2016
tsl-lift.ru