scholarly journals Enhancing security and privacy in VoIP/IMS environments

2013 ◽  
Author(s):  
Νικόλαος Βράκας
Keyword(s):  
Voice Over Ip ◽  
Session Initiation Protocol ◽  
Security And Privacy ◽  
Ip Multimedia Subsystem

Κατά την τελευταία δεκαετία, η πρόοδος της τεχνολογίας έκανε εφικτή τη χρήση υπηρεσιών διαδικτυακής τηλεφωνίας (VoIP - Voice over IP) και άλλων πολυμεσικών εφαρμογών, μέσω κινητών συσκευών. Οι χρήστες του διαδικτύου απομακρύνονται σταδιακά από τους συμβατικούς υπολογιστές αφού μπορούν να έχουν πρόσβαση σε τέτοιες υπηρεσίες από παντού, κάνοντας χρήση των κινητών τους τηλεφώνων. Η ενοποίηση όλων αυτών των ετερογενών δικτύων κάτω από μία κοινή αρχιτεκτονική, βασισμένη εξ’ ολοκλήρου στο πρωτόκολλο IP, επιτυγχάνεται με την χρήση του Υποσυστήματος Πολυμέσων IP (IMS – IP Multimedia Subsystem). Το IMS, ως κύριο σύστημα σηματοδοσίας των δικτύων επόμενης γενεάς, είναι υπεύθυνο για την εγκαθίδρυση συνόδων και τη διαχείριση των παρεχόμενων πολυμεσικών υπηρεσιών (όπως η διαδικτυακή τηλεφωνία, η τηλεδιάσκεψη μέσω εικόνας και ήχου και πολλές άλλες), αξιοποιώντας το πρωτόκολλο σηματοδοσίας SIP (Session Initiation Protocol). Η ποικιλία των διαφορετικών δικτύων και πρωτοκόλλων που συμμετέχουν σε αυτή την αρχιτεκτονική, έχουν σαν αποτέλεσμα τη δημιουργία νέων ευπαθειών και νέου τύπου επιθέσεων. Οι τεχνικές προδιαγραφές του IMS δεν καλύπτουν επαρκώς τις νέες αυτές απαιτήσεις ασφάλειας, δεδομένου μάλιστα ότι το SIP έχει αποδειχθεί ευάλωτο σε αρκετές κακόβουλες ενέργειες. Η παρούσα διατριβή μελετά τα ζητήματα ασφάλειας και ιδιωτικότητας στις τηλεπικοινωνιακές υπηρεσίες που είναι βασισμένες στο πρωτόκολλο SIP, όπως αυτές που προσφέρονται από τις υποδομές VoIP/IMS. Όλες οι αδυναμίες που μπορεί να αξιοποιήσει μια επίθεση για να παραβιάσει τις απαιτήσεις εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας και ιδιωτικότητας, παρουσιάζονται και αξιολογούνται λαμβάνοντας υπόψη διάφορους παράγοντες όπως το χρονικό διάστημα της επίθεσης, το επίπεδο πρόσβασης του επιτιθέμενου και τους υπάρχοντες μηχανισμούς ασφαλείας. Εφόσον η ακεραιότητα των μηνυμάτων σηματοδοσίας μπορεί να προστατευτεί με διάφορες μεθόδους, η διατριβή αυτή εστιάζει στην προστασία της διαθεσιμότητας της αρχιτεκτονικής, στην αυθεντικότητα των μηνυμάτων και στην προστασία της ιδιωτικότητας των χρηστών. Η ανάπτυξη ενός μηχανισμού εντοπισμού επιθέσεων πλημμύρας αποτέλεσε έναν από τους αρχικούς στόχους της έρευνας, δεδομένου μάλιστα ότι επιθέσεις του τύπου αυτού μπορούν να επιφέρουν σημαντικές συνέπειες σε τέτοια περιβάλλοντα. Μία μετρική, η οποία προκύπτει από την μοντελοποίηση της διαδικασίας εγκαθίδρυσης συνόδου, προτάθηκε για τον εντοπισμό ημιτελών SIP συνδέσεων. Με την εφαρμογή απλών μαθηματικών υπολογισμών, γίνεται εφικτός ο εντοπισμός επιθέσεων πλημμύρας, τόσο ενός όσο και πολλαπλών γεννητόρων. Στη συνέχεια παρουσιάζεται ένα εξελιγμένο πλαίσιο προστασίας από επιθέσεις πλημμύρας και σηματοδοσίας ταυτόχρονα. Το περιεχόμενο των πακέτων που ενθυλακώνουν σηματοδοσία SIP αναλύεται και οι πληροφορίες που συλλέγονται, συνδέονται με την αυθεντικοποίηση του πρωτοκόλλου SIP. Οι παραγόμενες πλειάδες αποθηκεύονται σε πίνακες με τη βοήθεια Bloom φίλτρων. Η παραποίηση των μηνυμάτων μπορεί να εντοπιστεί αναλύοντας τα δεδομένα που έχουν συλλεχθεί, ενώ ένα στατιστικό μοντέλο έχει αναπτυχθεί προκειμένου να εντοπισθούν οι αποκλίσεις από την κανονική συμπεριφορά της δικτυακής κίνησης κάθε συσκευής. Αναφορικά με τις απαιτήσεις ιδιωτικότητας, παρουσιάζεται ένας μηχανισμός που υποστηρίζει την ανωνυμία των χρηστών. Συγκεκριμένα, οι ταυτότητες των χρηστών προστατεύονται με την αξιοποίηση αντιμεταθετικών συναρτήσεων. Μια νέα, μίας χρήσης, ταυτότητα παράγεται για κάθε νέα σύνοδο, επιτυγχάνοντας έτσι μη συνδεσιμότητα. Όλοι οι προτεινόμενοι μηχανισμοί υλοποιήθηκαν και αξιολογήθηκαν μέσω πολυάριθμων σεναρίων. Τα πειραματικά αποτελέσματα αποδεικνύουν τόσο την αποδοτικότητα των μηχανισμών όσο και την αμελητέα επιβάρυνση που εισάγουν στο σύστημα.

Session Initiation Protocol firewall for the IP Multimedia Subsystem core

2011 ◽  
Vol 15 (4) ◽  
pp. 169-187 ◽  
Author(s):  
Thierry Bessis ◽  
Vijay K. Gurbani ◽  
Ashwin Rana
Keyword(s):  
Session Initiation Protocol ◽  
Ip Multimedia Subsystem

scholarly journals Voice over IP Forensics

2014 ◽  
Author(s):  
Ιωάννης Ψαρουδάκης
Keyword(s):  
Voice Over Ip ◽  
Session Initiation Protocol ◽  
Log Files

Ο σκοπός της παρούσας διατριβής είναι διττός. Από τη μία πλευρά γίνεται διερεύνηση των δυνατοτήτων ανάκτησης ψηφιακών πειστηρίων (forensics) που υπάρχουν σε επικοινωνίες μετάδοσης φωνής πάνω από το διαδίκτυο (VoIP). Από την άλλη πλευρά διερευνάται η χρήση τεχνικών απόκρυψης (anti-forensics) σε ένα ετερογενές δίκτυο επικοινωνιών.Οι δύο αυτοί φαινομενικά αντιφατικοί στόχοι παρέχουν τη δυνατότητα για μια σφαιρική διερεύνηση των ψηφιακών πειστηρίων στις VoIP επικοινωνίες.Πιο συγκεκριμένα ο πρώτος στόχος ήταν να αναπτυχθεί ένα πλαίσιο (framework) για τη συλλογή, διακράτηση και ανάλυση δεδομένων ώστε να είναι εφικτή μια αποτελεσματική διεξαγωγή εγκληματολογικής έρευνας σε VoIP επικοινωνίες.Ο δεύτερος στόχος ήταν να αναπτυχθεί ένα νέο πλαίσιο το οποίο δύναται να παρέχει ανωνυμία σε χρήστες κατά τη διάρκεια μίας κλήσης σε δίκτυο κινητής τηλεφωνίας όταν ο πάροχος θεωρείται κακόβουλος χρησιμοποιώντας ένα κοινόχρηστο VoIP δίκτυο. Τα οφέλη από τους δύο παραπάνω στόχους είναι τα εξής: Ο πρώτος στόχος θα ενισχύσει σημαντικά την δικαστική ετοιμότητα σε μια παρεχόμενη υπηρεσία VoIP και θα παράσχει πολύτιμα ψηφιακά πειστήρια στις νομικές αρχές ή στους ερευνητές όταν καλούνται να εξετάσουν ένα συμβάν παραβίασης των κανόνων ασφαλείας. Ο δεύτερος στόχος θα ενισχύσει την προστασία της ιδιωτικότητας των χρηστών σε ψηφιακές επικοινωνίες μέσω της ανωνυμίας. Επιμέρους στόχοι των δύο παραπάνω εργασιών ήταν:•Να καθοριστεί το είδος των πτητικών (volatile) δεδομένων μπορούν να συλλεχθούν από την VoIP κίνηση του δικτύου, όταν αυτό έχει υλοποιηθεί με το πρωτόκολλο SIP. •Να ανακαλυφθεί ένας τρόπος για τη διατήρησή τους ο οποίος να μην χρειάζεται μεγάλης χωρητικότητας αποθηκευτικά μέσα.•Να διερευνηθεί εάν αυτό μπορεί να γίνει σε πραγματικό χρόνο ή ενεργοποίηση της καταγραφής θα ξεκινάει ύστερα από κάποιο προκαθορισμένο συμβάν.•Να διερευνηθεί η καταλληλότερη μορφή για την αποθήκευση των δεδομένων έτσι ώστε να είναι εύκολο να αναλυθούν και να συσχετιστούν με άλλες πηγές. •Η συλλογή θα πρέπει να είναι ανεξάρτητη από τον κατασκευαστή των συσκευών που υλοποιούν το δίκτυο VoIP. •Το μοντέλο που θα αναπτυχθεί πρέπει να είναι εύκολα επεκτάσιμο και δομημένο έτσι που να μπορεί να υλοποιηθεί σε οποιαδήποτε υπάρχουσα υποδομή δικτύου, χωρίς καμία σημαντική αλλαγή της αρχιτεκτονικής του. •Να αναπτυχθεί ένα πρωτότυπο, έτσι ώστε να δοκιμαστούν οι προτεινόμενες μέθοδοι σε ένα πραγματικό δίκτυο VoIP και να αξιολογηθεί η προτεινόμενη λύση.Τέλος η επίτευξη στόχων που έχουν προκαθορισθεί να γίνει με σεβασμό προς την κείμενη νομοθεσία και να γίνει αναγνώριση των ορίων που επιβάλει ο νόμος σε περίπτωση λειτουργίας της.Οι επιμέρους στόχοι της δεύτερης εργασίας ήταν: •Να μελετηθεί το σημερινό περιβάλλον όσον αφορά την ιδιωτικότητα σε δίκτυο κινητής τηλεφωνίας.•Να σχεδιαστεί ένα πλαίσιο για την παροχή ανωνυμίας με υιοθέτηση τεχνικών απόκρυψης σε δίκτυα VoIP.•Να αναπτυχθεί ένα πρωτότυπο μοντέλο για την πραγματοποίηση δοκιμών.•Να διερευνηθούν τα όρια λειτουργίας και να γίνει μια αξιολόγηση της προτεινόμενης λύσης σε πραγματικές συνθήκες. •Το μοντέλο να είναι επεκτάσιμο και σε άλλα δίκτυα επικοινωνίας όπως το Δημόσιο Τηλεφωνικό Δίκτυο (PSTN). Όλοι οι παραπάνω στόχοι που τέθηκαν εκπληρώθηκαν και αξιολογήθηκαν μέσω των δοκιμών που έγιναν στα συστήματα που αναπτύχθηκαν. Αξίζει εδώ να σημειωθεί ότι τα συστήματα αναπτύχθηκαν και δοκιμάστηκαν σε πραγματικές συνθήκες στο διαδίκτυο και όχι σε κάποιο απομονωμένο τοπικό δίκτυο ενός εργαστηρίου. Διαπιστώθηκε ότι με την προτεινόμενη λύση και τις τεχνικές που εφαρμόστηκαν μπορούν να ληφθούν μια πληθώρα αποδεικτικών στοιχείων που τα περισσότερα από αυτά χάνονταν διότι δεν καταγράφονταν πουθενά. Ο τύπος του εξοπλισμού του τελικού χρήστη, η ιδιωτική IP και το λογισμικό που χρησιμοποιείται από τους νόμιμους χρήστες μιας υπηρεσίας VoIP είναι μερικά από τα στοιχεία που μπορούν να βοηθήσουν ώστε να οικοδομηθεί μια αξιόπιστη αρχική βάση δεδομένων πληροφοριών. Από την άλλη πλευρά, οι ιδιωτικές διευθύνσεις IP ενός δυνητικού εισβολέα, ακόμη και κατά τη διάρκεια της παρουσίας υπηρεσιών NAT, καθώς και τα εργαλεία επίθεσης που χρησιμοποιούνται καταγράφονται πλέον για περαιτέρω ανάλυση. Οι δε επιθέσεις είναι πλέον ευκολότερα ανιχνεύσιμες διότι πλέον υπάρχει μια εποπτική εικόνα του συνολικού δικτύου και όχι ενός επιμέρους συστήματος.Λαμβάνοντας υπόψη την ευρεία υιοθέτηση των smartphones στις κινητές επικοινωνίες και την κοινόχρηστη χρήση πόρων στην κοινότητα του διαδικτύου, ένας νέος μηχανισμός για την επίτευξη της ανωνυμίας στο Παγκόσμιο Σύστημα Κινητών Επικοινωνιών (GSM) αναπτύχθηκε. Υλοποιήθηκε μια υποδομή VoIP χρησιμοποιώντας το Session Initiation Protocol, στην οποία ένα smartphone Α εγγράφεται σε ένα καταχωρητή SIP Α’ και να αρχίζει τη συνομιλία μέσω GSM με ένα smartphone B με τη βοήθεια ενός τρίτου smartphone C που λειτουργεί ως πύλη στο δίκτυο GSM. Η επικοινωνία των δύο χρηστών Α και C γίνεται πάνω από το δίκτυο VoIP ενώ παράλληλα χρησιμοποιείται και ένας τρίτος SIP ενδιάμεσος εξυπηρετητής. Το ενδιαφέρον είναι ότι η υπηρεσία μπορεί να παρέχεται χωρίς επιπλέον κόστος εκμεταλλευόμενη τα συμβόλαια σταθερής χρέωσης που συνάπτουν οι χρήστες με τους παρόχους τους. Επιπλέον η υποδομή που αναπτύχθηκε για την εμπειρική αξιολόγηση δεν αποκάλυψε κάποια σημαντική υποβάθμιση της φωνητικής ποιότητας των παρεχόμενων υπηρεσιών ενώ αναδείχθηκαν και οι απαιτήσεις σε συγκεκριμένους υπολογιστικούς πόρους της υποδομής.Κάποια χαρακτηριστικά των υλοποιήσεων που αξίζει να σημειωθούν αφορούν: Την δυνατότητα δημιουργίας αρχείων καταγραφής (log files) από την κίνηση του δικτύου για όλες τις συσκευές που συμμετέχουν σε μία υποδομή VoIP. Τα περισσότερα από αυτά τα δεδομένα που καταγράφονται τώρα απλά χάνονται. Για να κρατηθεί χαμηλός ο όγκος αποθήκευσης των δεδομένων δε, γίνεται φιλτράρισμα πριν την αποθήκευση, με βάση προεπιλεγμένες κεφαλίδες και μεθόδους του πρωτοκόλλου. Τα αρχεία καταγραφής δικτύου τηρούνται είτε σε βάση δεδομένων ή είτε σε ευρετήριο (indexer) αλλά όχι σε μορφή pcap όπως παράγονται από τα προγράμματα καταγραφής. Το τελευταίο σαφώς δίνει μεγαλύτερες δυνατότητες στην ανάλυση των δεδομένων. Επιπλέον δύναται να δημιουργούνται αρχεία καταγραφής ακόμα και για συσκευές ή εφαρμογές που δεν είναι σε θέση να παράγουν τέτοια. Τα δεδομένα καταγραφής κανονικοποιούνται αμέσως και είναι αδιάφορο το είδος της συσκευής ή της εφαρμογής που τα παράγει εφόσον όμως ακολουθούνται τα RFCs της IETF. Επιπλέον η λύση μπορεί να επεκταθεί και σε πρωτόκολλα διαφορετικά του SIP έτσι ώστε να μπορεί να υλοποιηθεί ένα κεντρικό σημείο συλλογής και καταγραφής δεδομένων. Τέλος η ανωνυμία στο GSM ήταν από μόνη ένα νέο χαρακτηριστικό. Παρά το γεγονός ότι οι αντι-εγκληματολογικές μέθοδοι που χρησιμοποιήθηκαν δεν ήταν νέες, αλλά μάλλον πολύ καλά εδραιωμένες, το γεγονός να συνδυαστούν οι δύο διαφορετικές τεχνολογίες επικοινωνιών ήταν μοναδικό.

scholarly journals Survey of Countering DoS/DDoS Attacks on SIP Based VoIP Networks

Electronics ◽  
2020 ◽  
Vol 9 (11) ◽  
pp. 1827
Author(s):  
Waleed Nazih ◽  
Wail S. Elkilani ◽  
Habib Dhahri ◽  
Tamer Abdelkader
Keyword(s):  
Low Cost ◽  
Denial Of Service ◽  
Voice Over Ip ◽  
Session Initiation Protocol ◽  
Future Research ◽  
Distributed Denial Of Service ◽  
Ddos Attacks ◽  
Voip Services

Voice over IP (VoIP) services hold promise because of their offered features and low cost. Most VoIP networks depend on the Session Initiation Protocol (SIP) to handle signaling functions. The SIP is a text-based protocol that is vulnerable to many attacks. Denial of Service (DoS) and distributed denial of service (DDoS) attacks are the most harmful types of attacks, because they drain VoIP resources and render SIP service unavailable to legitimate users. In this paper, we present recently introduced approaches to detect DoS and DDoS attacks, and classify them based on various factors. We then analyze these approaches according to various characteristics; furthermore, we investigate the main strengths and weaknesses of these approaches. Finally, we provide some remarks for enhancing the surveyed approaches and highlight directions for future research to build effective detection solutions.

Usable and Secure P2P VoIP for Mobile Use

2015 ◽  
Vol 7 (1) ◽  
pp. 25-41
Author(s):  
Joakim Koskela ◽  
Kristiina Karvonen ◽  
Theofanis Kilinkaridis
Keyword(s):  
Mobile Devices ◽  
Communication Systems ◽  
Usability Testing ◽  
Voice Over Ip ◽  
End Users ◽  
Peer To Peer ◽  
Security And Privacy ◽  
Security Threats ◽  
P2p Networks ◽  
Mobile Use

The use of Voice over IP (VoIP) applications is relatively insecure and can involve a number of security threats and usability issues, potentially leading to loss of privacy. With the adoption of future peer-to-peer (P2P) communication systems the challenges grow even more as we need to rely on untrusted peers to access the service. The authors have developed a P2P VoIP system for mobile devices, which features techniques for improving the security and privacy of users in P2P networks. However, due to the fundamental differences in how the services are provided, the threats are not likely to be immediately understandable to the end users. Presenting these threats in an easy-to-use fashion can be quite challenging. The authors have sought to improve the usability of the emerging application by conducting iterative rounds of user interviews, questionnaires and usability testing with potential end users.

Advanced Mobile Multimedia Services with IMS

2011 ◽  
pp. 452-463
Author(s):  
Do van Thanh ◽  
Ivar Jørstad
Keyword(s):  
Mobile Devices ◽  
Session Initiation Protocol ◽  
Multimedia Service ◽  
Mobile Multimedia ◽  
Ip Multimedia Subsystem ◽  
Mobile Environments ◽  
Multimedia Services ◽  
Concise Description

Although promised for some time now, advanced multimedia services for mobile devices were not yet a reality. With IMS (IP Multimedia Subsystem), the fundaments for advanced multimedia services based on IP will be laid. However, there are still a lot of confusions about IMS that may hinder its success. In this chapter, a comprehensible presentation of IMS together with its potential regarding the development of advanced services is given. The chapter starts with a justification of the existence of IMS. The necessary adaptations of SIP (Session Initiation Protocol) are explained. A concise description of IMS will be provided. Next, the deployment of IMS in fixed – mobile environments will be examined thoroughly. The heart of the chapter is the presentation of the strengths of IMS, that is, what can IMS be used for. A few advanced multimedia service scenarios are given as illustration. The chapter will also consider the most important but yet neglected component of the whole IMS, namely the IMS client. The chapter concludes with a summary of the challenges that must be resolved.

Sign in / Sign up

Export Citation Format

Share Document