1. Zuhause
  2. Frage und Antwort
  3. WebRTC und Sicherheit - abfangende Verbindungen?

WebRTC und Sicherheit - abfangende Verbindungen?

2016-03-30 6 views
0

Ich habe eine Frage zu WebRTC und seiner Sicherheit. Ich habe gelesen, dass WebRTC, wenn die Verwendung eines STUN-Server direkt durch den Server ist, um einige Metadaten zu erhalten, dann ist es eine Verbindung zwischen Benutzer zu Benutzer. Und TURN ist für eine Verbindung, die über den Server weitergeleitet/weitergeleitet wird.WebRTC und Sicherheit - abfangende Verbindungen?

Was ich in Frage habe ist, dass WebRTC in ANY Weg abgefangen werden kann?

Ich versuche, ein rfc5766-Turn-Server-Programm in meinen Server zu implementieren, ODER ich kann Coturn oder sogar Restund verwenden. Aber meine Hauptfrage ist, wie sichere ich es? Gibt es einen Verschlüsselungsmechanismus, der verwendet werden kann? Um zum Beispiel MITM-Angriffe zu blockieren?

Vielen Dank für die Hilfe! Wirklich neu in WebRTC.

Quelle

2016-03-30 user282190

+1

check out [WebRTC und Mann in der Mitte Angriffe] (https://webrtchacks.com/webrc-and-man-in-the-middle-attacks/) – mido

+0

@mido Ich werde es, danke :) – user282190

+0

@mido in diesem Artikel kompromittiert der Autor den Signalisierungskanal, der technisch außerhalb von WebRTC ist. Mit anderen Worten, eine sehr sichere WebRTC-Übertragung ... an einen Angreifer. – jib

Antwort

2

Der Zertifikatfingerabdruck für die WebRTC-Medienverbindung wird an jeden Peer gesendet, wenn der Anruf aufgebaut wird (innerhalb der Nutzlast des Session Description Protocol). Wenn das zum Herstellen der DTLS-Verbindung verwendete Zertifikat nicht mit dem Fingerabdruck übereinstimmt, wird es vom WebRTC-Peer abgelehnt.

Es wäre sehr schwierig für einen Mann im mittleren Angriff, gegen den WebRTC-Medienkanal zu arbeiten, d. H. Mit einem TURN-Server. Der einfachste Weg wäre, dass der Angreifer den Signalisierungsaustausch, der zum Einrichten des WebRTC-Aufrufs verwendet wird, abfängt und seinen eigenen Zertifikatfingerabdruck und Verbindungsadressen ersetzt. Wenn Sie mit der Sicherheit Ihres Signalisierungskanals vertraut sind, sollten Sie sich sicher sein, dass Ihr WebRTC-Anrufmedium so sicher ist wie der TLS-Verkehr Ihres Browsers.

Quelle

2016-03-30 21:30:42 sipwiz

+0

Schnelle Frage über den TURN-Server, bedeutet das nicht, dass eine App den Traffic über Ihren Server proxyfiziert? Ich war auf der Suche nach etwas wie Betäubung, aber mit Sicherheit ... Ich denke, es sollte möglich sein, aber dann lasse ich die Benutzer offen für MITM-Angriffe, oder? Ich war mir sicher, dass WebRTC Fingerprinting eingebaut hat, selbst wenn es ein STUN-Server ist, stimmt das? – user282190

+0

SRTP ist obligatorisch mit WebRTC, so dass der gesamte Medienverkehr zwischen den Peers verschlüsselt wird, unabhängig davon, ob er über einen TURN-Server läuft oder nicht. Um es anders auszudrücken, wenn ich Ihre WebRTC-Aufrufe abfangen wollte, würde ich mich darauf konzentrieren, Ihren Signalisierungskanal zu kompromittieren, so dass ich meinen eigenen Schlüssel und mein Zertifikat einfügen könnte. Der Versuch, die Verschlüsselung der SRTP-Pakete brutal zu erzwingen, wird eine Menge Geld und Zeit in den Rechenressourcen kosten. – sipwiz

+0

wusste das nicht, vielen Dank! Zieht viele Kopfschmerzen und Sorgen weg :) – user282190

Verwandte Themen

 Verwandte Themen