Die Sprachkommunikation uber „Voice over IP“-Netzwerke, basierend auf dem Session Initiation Protokoll (SIP), verbreitet sich auf Grund von Funktionalitats- und Kostenvorteilen zunehmend und wird die klassischen Telefonnetze in den nachsten Jahren vollstandig ablosen. Zusatzlich zu den Netzen der Telefonanbieter wird die Sprachkommunikation uber das SIP-Protokoll auch im Unternehmens- und Privatanwenderumfeld unverzichtbar. So bietet VoIP die Moglichkeit, sich unabhangig von dem aktuellen Aufenthaltsort uber das Internet bei dem jeweiligen Heimatnetzbetreiber oder der eigenen Firma anzumelden und uber das dortige Nutzerkonto Gesprache zu fuhren. Da die Telefonie somit von einer geschlossenen und vergleichsweise sicheren Plattform auf eine viel offenere Plattform in das Internet migriert wird, ergeben sich neue Risiken und Missbrauchsmoglichkeiten im Bereich der Telefonie.
In dieser Dissertation werden Angriffe untersucht, die mit der Einfuhrung von SIP-basierten Sprachdiensten im Internet entstehen und nicht aus Bedrohungen der Netzwerkschicht oder aus rechtlichen Vertragsbestimmungen resultieren. Das Ziel dieser Angriffe ist das Erlangen eines finanziellen Vorteils, indem ein Angreifer kompromittierte Zugange fur Auslandstelefonate oder fur Anrufe zu Premiumnummern auf Kosten der Anschlussinhaber nutzt („Toll Fraud“).
Fur die Realisierung der Bedrohungsanalyse und der Angriffserkennung wurden Konzepte, ein Versuchsnetzwerk sowie die notwendigen Softwarekomponenten ergebnisorientiert entwickelt. Im Vergleich zu anderen Forschungsarbeiten wurden Untersuchungen mit Kodersystemen (Honeypots) weiterentwickelt und es wurde ein System fur eine verteilte, automatische Angriffserkennung entwickelt. Dafur wurden SIP-Verkehrsdaten uber einen Zeitraum von sechs Jahren in zwei Class-C-Netzwerken aufgezeichnet und mit einem neuen Analyseansatz unabhangig von einzelnen SIP-Nachrichten automatisch ausgewertet.
Die Ergebnisse des Feldversuches in dieser Dissertation zeigen, dass die Bedrohungen fur die SIP-Infrastruktur ansteigen und dass bereits eine Weiterentwicklung und Optimierung der Angriffswerkzeuge nachzuweisen ist. Die zunehmende Anzahl der Toll Fraud-Versuche mit internationalen Anrufzielen (und auch zu Premium-Rufnummern) verdeutlicht, dass bei einem unzureichenden Schutz der SIP-Server fur die Nutzer und Betreiber sehr schnell ein erheblicher finanzieller Schaden entstehen kann. Es ist daher unerlasslich, die vorgeschalteten, systematischen Angriffsstufen fruhzeitig zu erkennen und Abwehrkomponenten zu benachrichtigen.
Fur die automatisierte, verteilte Angriffserkennung in Echtzeit und fur die Maximierung des Beobachtungsgebietes wurde fur diese Dissertation das „Security Sensor System“ entwickelt. Mit Hilfe von leichtgewichtigen Sensoren wurde eine weltweite signaturbasierte Angriffserkennung realisiert. Zusatzlich zu der standortbezogenen Angriffserkennung werden Angriffe durch einen zentralen Dienst korreliert. Dadurch konnen Angreifer netzwerkubergreifend bzw. landerubergreifend identifiziert und somit Gegenwehrkomponenten in Echtzeit benachrichtigt werden.
Der Vergleich der verschiedenen Messstellen im Internet belegt, dass die analysierten Angriffsmuster nicht nur im Netzwerk der Universitat Duisburg-Essen, sondern zeitlich zusammenhangend auch an anderen Standorten auftreten. Dadurch wird deutlich, dass die ermittelten Ergebnisse auch fur andere Netzwerke gultig sind und dass die Toll Fraud-Problematik bereits fur alle Betreiber von SIP-Servern relevant ist.
[1]
G. G. Stokes.
"J."
,
1890,
The New Yale Book of Quotations.
[2]
P ? ? ? ? ? ? ? % ? ? ? ?
,
1991
.
[3]
François Audet,et al.
The Use of the SIPS URI Scheme in the Session Initiation Protocol (SIP)
,
2009,
RFC.
[4]
Henning Schulzrinne,et al.
Session Initiation Protocol (SIP)
,
2003
.
[5]
Roy T. Fielding,et al.
Principled design of the modern Web architecture
,
2000,
Proceedings of the 2000 International Conference on Software Engineering. ICSE 2000 the New Millennium.
[6]
Craig Valli.
An Analysis of Malfeasant Activity Directed at a VoIP Honeypot
,
2010
.
[7]
Frank Miller,et al.
IAX: Inter-Asterisk eXchange Version 2
,
2010,
RFC.
[8]
Sven Ehlert,et al.
Denial-of-service detection and mitigation for SIP communication networks
,
2009
.
[10]
Iyatiti Mokube,et al.
Honeypots: concepts, approaches, and challenges
,
2007,
ACM-SE 45.