Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Origen de IMS
En un principio definido por 3G.IP (conjunto de empresas pertenecientes al sector de las
telecomunicaciones),
Generation
Partnership
Project)
quien
adopt
Arquitectura
Se puede dividir en tres grupos de entidades:
Arquitectura IMS
Aplicacin
Donde se encuentran los servidores de aplicacin o AS y un HSS (Home Subscriber Server).
Control
Formada por diferentes subsistemas (CSCF, MRF, etc) entre los que est el ncleo de IMS
(IMS Core).
Otros dispositivos de gran importancia en esta capa son los CSCF (Call State Control
Function), que integra tres subsistemas: P-CSCF (Proxy CSCF), S-CSCF (Serving CSCF) y ICSCF (Interrogating CSCF). Estos subsistemas son los encargados, bsicamente, de:
procesar y enrutar la sealizacin; controlar los recursos del subsistema de transporte; realizar
el registro y autenticacin de los usuarios; provisionar los servicios IMS mediante el desvo de
la sealizacin a los servidores de aplicacin en cuestin y generar los registros de
tarificacin.
La MRF proporciona las funciones relacionadas con los medios de comunicacin, tales como
la manipulacin de los medios de comunicacin y la reproduccin de tonos y anuncios. Cada
MRF se divide en un controlador de funcin de recursos de medios (MRFC) y un procesador
de funcin de recursos de medios (MRFP). El MRFC es un nodo del plano de sealizacin
que interpreta la informacin proveniente de un AS y S-CSCF para controlar el MRFP. El
MRFP es un nodo del plano de los medios de comunicacin, se utiliza para mezclar la fuente o
flujos de medios de proceso.
Transporte
Compuesta por el UE (User Equipment), la red de acceso (Access Network), el NASS
(Network Attachment Subsystem) y el RACS (Resource Admission Control Subsytem). El
transporte de red es realizado mediante IPv6, permitiendo la implementacin de QoS (Quality
of Service), seguridad integrada, autoconfiguracin
Seguridad
Tras haber visto un poco lo que es IMS y los dispositivos que actan, entramos en las
especificaciones de IMS relativas a la seguridad.
Desde el punto de vista de la estandarizacin, nicamente existe un mecanismo de
autenticacin y control de acceso, especificada en la TS 33.203 del 3GPP (Access Security for
IP-Based Services) y que, comnmente, se llama AKA (Authentication and Key Agreement).
Sin embargo existen otras muchos mecanismos de autenticacin y control de acceso,
definidas para cubrir las necesidades de terminales heredados y permitir un despliegue ms
rpido. Los ms comunes son:
Early IMS del 3GPP para el acceso mvil. Son aquellas implementaciones de IMS que
por su antelacin en el tiempo no son, enteramente, compatibles con las especificaciones
de IMS, por lo que no son aplicables los mecanismos de seguridad. Algunos ejemplos
pueden ser las implementaciones basadas en IPv4 como los dispositivos 2G.
ISIM: es una aplicacin que se ejecuta en una tarjeta inteligente (UICC - Universal
Integrated Circuit Card) y que contiene los parmetros de identificacin y autenticacin del
usuario al IMS.
AUC: Asociado en este caso al HSS. Contiene la informacin necesaria para realizar
los procesos de autenticacin y cifrado de los servicios. Almacena los algoritmos de
autenticacin y cifrado y genera las claves necesarias para cada servicio.
El AKA se emplea para establecer tanto las claves de cifrado ( 3DES o AES-CBC) como las
claves de integridad (HMAC-MD5 o HMAC-SHA-1).
1. ISIM HSS: Necesario para la autenticacin mutua. Tanto el HSS como el ISIM
tienen almacenada una clave secreta as como la identificacin privada (IMPI)
asociada a dicha clave.
2. UA P-CSCF: Garantiza un enlace seguro entre el UE y la red.
3. I/S-CSCF HSS: Establece una asociacin de seguridad para la transferencia de
informacin entre el I/S-CSCF y el HSS.
algo
anlogo
la
autenticacin
de
Mobile
Telecommunications System) pero para SIP. La especificacin 3GPP TS 33.203 expona que
la sealizacin entre el agente de usuario y el P-CSCF deba basarse en IPsec ESP
(Encapsulating Security Payload) en modo transporte. Sin embargo, el uso de IPSec en este
modo no era adecuado para su uso en redes fijas. El problema de IPsec estribaba en el cruce
Translation),
por
lo
que
TISPAN
(Telecomunicaciones
de
usuario
las
distintas
aplicaciones.
Estas
asociaciones
consisten,
par de claves (pblica y privada) y un certificado digital validando el par de claves. Una vez en
posesin de dichas claves y del certificado, el UE los puede utilizar para producir firmas
digitales. La principal desventaja de este tipo de autenticacin es que se necesita una PKI y
que las operaciones con claves asimtricas requieren un esfuerzo computacional mayor.
Si un cliente desea hacer uso de la tecnologa de cifrado asimtrico, necesita un certificado
digital, otorgado por una CA (Certification Authority). Dicho certificado vincula una clave
pblica con la identidad de su dueo legtimo. Si un abonado mvil quiere tener y hacer uso
de un par de claves, el certificado debe estar preinstalado o el abonado debe tener los medios
para generar u obtener un par de claves y, as mismo, obtener de forma dinmica el certificado
digital correspondiente. Para obtener un certificado digital de forma dinmica un UE debe
enviar una solicitud de certificado correspondiente a un portal PKI y este debe autenticar la
solicitud de certificado. El par de claves y el certificado digital correspondiente tambin se
pueden utilizar para la integridad y proteccin, pero stos no son parte del alcance de la GAA.
Ataques en IMS
Network snoop
Rompe la confidencialidad. Sin la proteccin con SSL/TLS o IPSec, sera fcil para un
atacante capturar la sealizacin SIP y el trfico RTP (Real-time Transport Protocol) usando
herramientas como Wireshark. Otro ataque contra la confidencialidad puede realizarse
mediante el uso de herramientas de anlisis para reunir informacin sensible y valiosa acerca
de componentes, sistemas operativos y topologa de la red.
Session hijacking
Dirigido hacia la integridad. El atacante puede insertar paquetes maliciosos en una sesin e
incluso sustituir una parte del trfico. Por ejemplo, el atacante puede enviar mensajes SIP ReInvite para modificar los parmetros de la sesin.
DoS (Denial of Service)
Ataque contra la disponibilidad. El atacante enva un gran nmero de datagramas en un corto
periodo de tiempo, causando una degradacin de servicio o llegando incluso a detenerlo por
completo. Algunos ejemplos son las inundaciones TCP SYN, inundaciones UDP
P-CSCF Discovery
Orientado a la integridad y disponibilidad. El P-CSCF es el punto de entrada para el
UE. DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name System) son
comnmente utilizados para descubrir el P-CSCF. Un atacante puede romper el proceso de
descubrimiento de P-CSCF envenenando la cach del DNS para que el nombre de un dominio
o IP falso sea devuelto al UE. El resultado es que el UE no puede ser registrado en la red o es
registrado en un servidor falso.
Service Abuse
Impacta sobre la disponibilidad e integridad de IMS. Los usuarios autorizados pueden utilizar
los servicios ms de lo esperado o ganar acceso a servicios que no son permitidos para ellos.
Toll Fraud
Ataque contra el accounting. Un atacante puede falsificar un UE y enviar un BYE request a
CSCF. El CSCF, pensando que la sesin ha finalizado, para de contabilizar al mismo tiempo
que los UE no liberan los flujos de medios. Esto significa que los UE siguen intercambindose
flujos sin ser contabilizados. Se debe a la falta de control de flujos de medios.
Permission Acquistion
Ataque contra la autenticacin. Un atacante puede obtener la contrasea de autenticacin
debido a una grieta u otros mtodos. Bsicamente, un UE que no dispone de una tarjeta ISIM
emplea, como hemos mencionado anteriormente, HTTP Digest. Este mtodo se basa en un
nombre de usuario y una contrasea, que por lo general, no es de alto nivel de seguridad.
HTTP Digest enumera varios ataques, como un ataque de fuerza bruta o un ataque de
repeticin.
Mitigado
Para mitigar todos estos ataques a la red se deben tener en cuenta los siguientes factores:
El proceso de autenticacin por parte del abonado a la red tiene que ser muy fuerte.