El protocolo SIP es el protocolo de señalización utilizado por Asterisk PBX; aplica a los dos canales:

• chan_sip: considerado ya obsoleto

• chan_pjsip: basado en la pila SIP PJSIP

Este protocolo utiliza el mismo sistema de autenticación del protocolo HTTP con algoritmo de cifrado MD5 (RFC2617). Este algoritmo, en el momento de su adopción, era considerado muy seguro y por eso muy utilizado. En los últimos años con el aumento exponencial de la potencia de calculo de los nuevos microprocesadores ya tan seguro no es. Es por eso que la IETF (Internet Engineering Task Force) ha sacado un nuevo RFC con numero 7616 donde se indica que para la autenticación HTTP se pueden utilizar dos algoritmos más de cifrado:

• SHA-256

• SHA-512/256

considerados mucho más seguros que MD5. Por temas de compatibilidad se sigue permitiendo el uso de MD5 pero la idea es que todos los programas que utilicen el sistema de autenticación del protocolo HTTP vayan migrando a estos nuevos algoritmos de autenticación.

La RFC que ha trasladado este cambio al protocolo SIP es la RFC8760. ¿Cómo funciona?

• Un UAs (quien contesta una solicitud SIP que todavía no contiene las credenciales de autenticación) puede enviar una o más cabeceras WWW-Authenticate o Proxy-Authenticate (dependiendo del método SIP utilizado) para el mismo REALM y en cada una indicar los algoritmos que acepta para la autenticación con el preferido en la cabecera más arriba. Recordamos que esta es la cabecera que envía Asterisk cuando solicita la autenticación de una solicitud SIP recibida (por ejemplo un INVITE). El REALM es el que se configura en el respectivo archivo de configuración del canal sip o pjsip y que por defecto tiene como valor asterisk

• EL UAs puede también contestar con las cabeceras para distintos REALM pues en el caso de dos REALM estaría enviando hasta seis cabeceras de tipo WWW-Authenticate (3 por cada algoritmo de cifrado, recordamos MD5, SHA-256 y SHA-512/256)

• el UAc tendrá que analizar todas las cabeceras WWW-Authenticate recibidas y si encuentra una correspondencia contestar con las credenciales de autenticación utilizando el algoritmo de cifrado más seguro que soporta y el mismo REALM

Volviendo al tema de nuestro interés, en este momento ASTERISK PBX no soporta la nueva RFC8760 es decir que siguen solicitando y autenticando solamente con el algoritmo MD5; la implementación de los dos nuevo algoritmos de cifrado está prevista para final de año siempre y cuando logren coordinar con los desarrolladores de la PILA SIP PJSIP ya que el canal chan_pjsip depende de ella.

Mientras, a partir de las versiones 16.19.0 y 18.5.0, Asterisk PBX es tolerante con los nuevos algoritmos de cifrado; es decir que seguirá trabajando con MD5 pero será capaz de reconocer y procesar solicitudes SIP que contengan los nuevos algoritmos de cifrado sin utilizarlos.

Sería interesante realizar una prueba de este tipo pero la verdad no conozco dispositivos que soportan los nuevos algoritmos de autenticación.

Vía Asterisk Blog