Kommunikation mit „Voice over IP“ (VoIP) auf der Basis von SIP löst die klassische Telefonie zunehmend ab und macht die Unterstützung offener SIP-Schnittstellen deshalb auch im Bereich der IP-basierten Nebenstellenanlagen unverzichtbar. Dadurch wird allerdings die Telefonie von einer geschlossenen – und damit vergleichsweise sicheren – Basis auf eine offene, sehr viel verwundbarere Plattform migriert. Einhergehend mit dieser Entwicklung haben sich die Kosten für die VoIP-Telefonate stetig reduziert, wobei auch ein Trend zur Pauschalisierung der Nutzungsentgelte zu beobachten ist. Durch diese technischen und wirtschaftlichen Veränderungen sind neue Risiken und Missbrauchsmöglichkeiten im Bereich der Telefonie entstanden. Auf dem Gebiet „VoIP Security“ beschäftigt sich die Arbeitsgruppe mit den nachfolgend beschriebenen Inhalten.

„Toll Fraud“ ist ein folgenreiches Angriffsszenario und durch die flächendeckende Einführung von VoIP wird es überhaupt erst ermöglicht: VoIP bietet die Möglichkeit, sich unabhängig vom aktuellen Aufenthaltsort über das Internet bei dem jeweiligen Heimatnetzbetreiber anzumelden und über das dortige Nutzerkonto Gespräche zu führen. Da Gespräche in die Mobilfunknetze, zu Sonderrufnummern und ins Ausland weiterhin oft nicht pauschaliert abgerechnet werden, ist es attraktiv, sich durch gefälschte Anmeldungen an fremden Nutzerkonten solche Gespräche auf deren Kosten zu erschleichen. Dem eigentlichen Inhaber dieser missbräuchlich genutzten Anmeldedaten können dadurch innerhalb kürzester Zeit erhebliche Kosten entstehen.

Ein weiteres Angriffsszenario besteht darin, dass die geringen Kosten für VoIP-Telefonate die Telefonie attraktiv für den Missbrauch von Anrufen zum Zwecke der Werbung oder Störung gemacht haben. Diese Problematik wird allgemein mit dem Begriff SPIT (SPAM over Internet Telephony) bezeichnet. Ein DoS-Angriff auf VoIP-Server darf als dritte Problematik ebenfalls nicht vernachlässigt werden.

Untersuchungen des Lehrstuhls „Technik der Rechnernetze“ mit speziellen VoIP-Honeynet-Systemen haben gezeigt, dass an das Internet angeschlossene Kommunikationsanlagen mit SIP-Schnittstellen schnell entdeckt wurden, und dass in der Folge sowohl Toll Fraud als auch SPIT-Versuche unternommen wurden. Ähnlich wie bei der Entwicklung der Bedrohungen für Internetrechner durch Würmer, Denial of Service, SPAM und andere Angriffe sind die momentan auftretenden Angriffe als Vorboten eines stetig wachsenden neuen „Marktes“ anzusehen. Mit dem Honeynet-System werden in einem aktuell laufenden Feldtest in den Labornetzen des Lehrstuhls seit dem Jahr 2009 SIP-Verkehr aufgezeichnet und in einer Datenbank gespeichert. Auf Grund der aktuellen Analysen, die eine Zunahme der Angriffe in den letzten zwei Jahren zeigen, ist anzunehmen, dass das Aufkommen solcher Angriffe in den nächsten Jahren weiterhin deutlich zunehmen wird – insbesondere da zunehmend umfangreiche SIP-Funktionalität in weit verbreitete Home-Gateways (z.B. FritzBox) integriert wird und zukünftig auch direkte Verbindungen zwischen Endgeräten (ohne Mitwirkung von SIP-Infrastrukturkomponenten) möglich werden.

In mehreren Forschungsprojekten werden am Lehrstuhl derzeit Erkennungs- und Abwehr-Verfahren entwickelt und untersucht mit denen diese neuartigen Bedrohungen erkannt und unschädlich gemacht werden können. Weiterhin konnte gezeigt werden, dass die bereits real existierenden Bedrohungsszenarien mit Hilfe von frei verfügbaren Toolsuiten sehr leicht realisiert werden können.

Zur Untersuchung von Angriffsversuchen im Bereich von SIP-basierten Netzwerken wurde das VoIP Honeynet-System implementiert, dass sich aus einer Überwachungskomponente für gesamte Netzbereiche – SIP Trace Recorder (STR) – und den eigentlichen VoIP Honeypots, auf der Basis der OpenSource Software Asterisk, zusammensetzt. Dieses System erlaubt Rückschlüsse auf relevante aktuelle Bedrohungsszenarien und bildet die Basis für die Konzeptionierung und Implementierung von Erkennungsmechanismen auf der Anwendungsschicht (Signalisierungsdaten), z.B. für den VoIP Misuse Sensor (VMS). Mit dem VMS soll die Erkennung von VoIP-spezifischen Missbrauchs- und Angriffsmustern, wie z.B. SPIT, Toll Fraud oder DoS, ermöglicht werden. Durch einen verteilten Einsatz dieses Sensors werden schwellwertgesteuert mögliche Missbrauchs- und Angriffssequenzen an vielen kritischen Stellen im Netzwerk gespeichert und über einen zentralen Service ausgewertet, so dass bei auftretenden Angriffen geeignete Abwehrmaßnahmen benachrichtigt werden können.

Relevante Forschungsprojekte:

• SUNsHINE
• Nornet
• G-Lab

Relevante Publikationen:

• A Distributed Infrastructure to Analyse SIP Attacks in the Internet
• A Comprehensive Framework for Detecting and Preventing VoIP Fraud and Misuse
• Development and Analysis of Generic VoIP Attack Sequences Based on Analysis of Real Attack Traffic
• Improved Detection and Correlation of Multi-Stage VoIP Attack Patterns by using a Dynamic Honeynet System
• SIP Trace Recorder: Monitor and analysis tool for threats in SIP-based networks
• Analysis of SIP-Based Threats Using a VoIP Honeynet System
• Cross-Layer Security and Functional Composition for a Future Internet
• Addressing Security in a Cross-Layer Composition Architecture