Почему TLS для SIP

Question

Почему TLS является выбранным шифрованием канала для SIP?

Из бумаги кажется, что TLS не может обрабатывать UDP, тогда как SIP не требует, чтобы кто-либо использовал только TCP!Так как же обеспечивается совместимость с помощью TLS!

Какие были бы проблемы, если бы вместо этого использовался IPSec?

Answer 1

Из бумаги кажется, что TLS не может обрабатывать UDP, тогда как SIP не требует, чтобы кто-либо использовал только TCP!Так как же обеспечивается совместимость TLS!

, что использовал , чтобы быть правдой. DTLS обеспечивает TLS для протоколов на основе дейтаграмм, таких как UDP

Answer 2

Из бумаги кажется, что TLS не может обрабатывать UDP, тогда как SIP не требует, чтобы кто-либо использовал только TCP!

TLS работает на уровне TCP, поэтому TLSтребует использовать SIP поверх TCP.

SIP создается под воздействием HTTP.TLS оптимизирован для HTTP (и для SIP тоже).

Одним из основных недостатков IPSec является дополнительный размер, добавляемый к исходному пакету.TLS требует меньше служебных данных, чем IPSec.

Некоторое сравнение между TLS и IPsec

Какие были бы проблемы, если бы вместо этого использовался IPSec?

Согласно RFC 2119, РЕКОМЕНДУЕТСЯ имеет ту же силу, что и ДОЛЖЕН.

"3. СЛЕДУЕТ Это слово или прилагательное" РЕКОМЕНДУЕТСЯ "означают, что могут существовать веские причиныв определенных обстоятельствах, чтобы игнорировать конкретный элемент, но все последствия должны быть поняты и тщательно взвешены, прежде чем выбрать другой курс. "

Обсуждение

Answer 3

Вы можете использовать SIP через IPSec. 3GPP IMS SIP даже предпочитает это. Но у IPsec есть серьезные недостатки. Чтобы настроить IPSec, вы должны иметь права администратора на вашем компьютере.

• IPSec имеет десятки опций конфигурации, которые пользователь должен будет настроить, если только провайдеры SIP не договорились об одном профиле.
• Настройка IPsec в ОС общего назначения - это большой беспорядок, которого стараются избегать производители SIP-клиентов.
• Получить IPSec через маршрутизаторы NAT сложно.

По сравнению с этим TLS намного проще в развертывании.

Answer 4

У вас есть другие методы для UDP, такие как шифрование заголовков.

23.4.3 Туннельное шифрование в rfc 3261

Answer 5

В настоящее время TLS для SIP защищает только часть потока вызовов (приглашения и регистрация).TLS для SIP через TCP имеет смысл для регистрации, поскольку UAC будет передавать учетные данные.Дополнительные команды SIP и мультимедиа (аудио / видео) по-прежнему будут передаваться по протоколу UDP без шифрования.Это наиболее распространенное использование TLS поверх SIP, которое используется большинством популярных VoIP-телефонов на основе SIP (например, Skype, WhatsApp).

В качестве альтернативы возможно использование TLS для SIP через TCP и настройка ".встроенный «поток RTCP», в котором все TLS, SIP и мультимедиа (аудио / видео / DTMF) отправляются через один и тот же зашифрованный поток TCP;однако я не уверен, что популярные VoIP-телефоны на основе SIP (например, Skype, WhatsApp) могут это поддерживать, несмотря на то, что этот метод может быть развернут.И наоборот, все клиенты RTSP (Windows Media, Apple QuickTime) могут поддерживать встроенный RTCP в одном потоке (указывая на это, поскольку RTSP и SIP практически идентичны, за исключением глаголов).

Answer 6

В лучшем случае базовая производительность UDP примерно в три раза выше, чем с TLS (режим прокси-цепочки);в худшем случае, производительность по протоколу UDP в 17 раз выше, чем с TLS (локальный прокси с TLS и взаимной аутентификацией).Результаты производительности зависят прежде всего от того, как часто и как часто выполняется установление соединения TLS, поскольку согласование сеанса TLS требует дорогостоящих операций с открытым ключом RSA

http://www.cs.columbia.edu/~hgs/papers/Shen1008_TLS.pdf