All-IP-Netze lassen über SIP Feinde in die Kommunikation und an die Daten
Firewall Xenti Guard aus den Bell Labs soll SIP-Verkehr schützen
15.01.2010 | Redakteur: Ulrike Ostler
Mit einem Linux-Programm lässt sich Malware erzeugen, die – im Core-Netz platziert – die komplette VoIP-Kommunikation in Deutschland zum Erliegen bringen könnte, sagt Stefan Wahl von den Bell Labs. Er entwickelt an einer SIP-Firewall, die selbstlernend ist und schon bei der ersten Attacke den Schadcode erkennen und isolieren kann.
Fixed Mobile Convergence (FMC), die auf einem 3G IP Multimedia Sub-System (IMS) basiert, gilt derzeit gemeinhin als die bedeutendste Kommunikationstechnologie. Daran ändern sich auch nichts, wenn an die Gefahren erinnert wird, die mit einem All-IP-Netz zusammenhängen. In den Bell Labs entsteht derzeit die Firewall „Xenti Guard“, die im Wesentlichen auf Ideen beruht, die IT-Anwender bereits von Intrusion Detection Systemen her kennen.
Das System soll ohne Signaturen auskommen, um abnormale Messages erkennen zu können und so für Zero-Day-Attacken geeignet sein. Dabei werde es keine Rolle spielen, ob der Schadcode in einer einzigen Nachricht versteckt sei oder über verschiedene Sequenzen einer Nachricht verteilt ist. Anomalien, die an irgendeinem der Netzwerk-Domain-Eingänge festgestellt werden, lassen sich durch die SIP-Firewall weiter auf unterschiedliche Schadmuster untersuchen.
Ein IP Multimedia Subsystem (IMS) basiert auf dem Internet Protocol und lässt die verschiedensten Multimedia-Services zu. Die Grundlagen und Standards stammen ursprünglich von dem 3rd Generation Partnership Projekt (3GPP). Diese wurden später vom European Telecommunications Standards Institut (ETSI) übernommen und ausgebaut.
SIP ermöglicht und gefährdet
Ein Netz für Fixed Mobile Convergence sieht drei Ebenen vor: Im IMS sind die Kontroll- und Signal-Funktionen aufgehoben. Die Ebene besitzt eine offene Schnittstelle zur IP-Transport-Ebene und zur Service- und Applikations-Schicht.
Das Session Initiation Protocol (SIP) spielt eine wesentliche Rolle bei der Kontrolle der verschiedenen Multimedia-Services. Außerdem dient es dazu, gesprochene Kommunikation in diverse IT-Anwendungen einzubinden.
IMS und SIP sind anfällig alle schon bekannten Attacken. Wird ein IMS-Knoten infiltriert, kann das der Ausgangspunkt zu weiteren Angriffen auf IMS-Services sein, innerhalb der Domain oder gar im Core-Netz. Der größten Schaden in puncto Verfügbarkeit richten Angriffe aus, die einen SIP-Stack zerstören, in dem irreguläre Protokoll-Anfragen (Requests) genutzt werden.
weiter mit: Prävention und Reaktion
Inhalt des Artikels:
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2042863)
