voip spam and security · 2012-03-20 · centralized sip providers & sender checks 202020...

VoIP Spam and Security

2005. 6

Souhwan JungSoongsil University

[email protected]

[email protected]://cnsl.ssu.ac.kr

222Outline

VoIP 표준 기술

VoIP Security IssuesVoIP Spam VoIP 표준 및 관련 보안 프로토콜

H.323SIP

다양한 환경에 따른 VoIP 고려 사항

Summary


333VoIP 표준 기술 (1/2)

ITU-TH.323 ProtocolH.323 Version.5 (2003.07)ITU-T SG 16실시간 멀티미디어 데이터를 IP 기반 패킷 네트워크 망에서 교환하기

위한 프로토콜

H.323 Reference StandardsSystem Control (H.225.0, H.245), Media Transport (RFC 1889), Security (H.235)

IETFSIP (Session Initiation Protocol)RFC 3261 (2002.07)SIP WG, SIPPING WG인터넷에서 Session 설정을 위한 핵심 프로토콜

Peer-to-Peer Signaling 프로토콜


444VoIP 표준 기술 (2/2)

ETSI유럽 지역 표준화 기구

TIPHON ProjectTelecommunication and Internet Protocol Harmonization Over Networks

기존의 회선 교환망인 PSTN, ISDN, GSM 등과 인터넷 간의 효율적인

연동을 통한 VoIP 구현 및 표준화

주요 기술

서비스 상호 운용성을 보장하기 위한 요구사항 정의

인터워킹을 위한 네트워크 구조, 프로토콜 기능 및 인터페이스 정의

콜 제어 절차 및 정보흐름

E.164 전화 번호와 IP 주소간의 매핑

과금, 보안, 서비스 품질


555Generic Security Issues in VoIP

IP의 보안 취약성 : VoIP in Intranet (PBX 대체용)IP Packet Monitoring의 용이성 (sniffing) WAN상의 보안문제 (Network Vulnerability)Tapping 감지의 어려움 (cf. PSTN)Party lines (Conference call)의 사용자 인증 문제

Security Cost


666VoIP와 PSTN과의 차이점

VoIP vs. PSTN

PSTN

부가서비스

이용방법

통신 사용료

회선 이용률

통신방법

통신방식

인터넷이 가능한 곳접근범위

VoIP

H.323, SIP

패킷 음성 (Packet Voice)

다수 사용자 동시 사용

접속 속도 및 회선 종류에따라 다름

복잡

화상, 채팅 등 다양한 부가 서비스 가능

전화 회선이 설치되어 있는 곳

국가별로 틀림

아날로그 음성 (Circuit Voice)

한 명이 독점적 사용

거리, 시간에 따라 차등

단순

제한적인 부가 서비스 지원


777VoIP Legislation Issues

PrivacyPrivacy of information정보수집,저장,가공에의 제한

Disclosure of source and destination IDsInspection and correction

Security OrderCryptographic methods

Lawful Interception각 지방이나 국가의 법에 의한 강제적 interception

Contract사용자와 서비스 제공자 사이의 계약

Accountability and data integrity


888VoIP 보안 위협

Denial of ServiceNetwork element에 대한 서비스 거부 공격

Eavesdropping메시지나 음성 내용 도청

ImpersonationServer 또는 사용자로 위장하여 정보를 알아내는 공격

Modification of Information정보 조작에 의한 공격

Unauthorized Access공격자가 불법적인 사용 접근 시도


999Security Requirements on VoIP

ConfidentialityIntegrityAuthenticationAvailabilityNon-repudiationAccountability (billing, accounting)


101010VoIP Spam

VoIP SpamVoIP의 다양한 서비스 제공 가능

IP 주소를 이용한 Multicast 기능 가능

일반 전화보다 대량의 메시지를 손쉽게 전송이 가능

VoIP 스팸 발생기

음성 메일 서비스

무료 음성 메일을 제공하는 VoIP 업체들의 저장 용량 문제 발생

불법 광고 및 음란 음성 메일로 인한 사생활 침해


111111SIP 기반 Spam 의 종류

Call SpamBulk unsolicited set of session initiation attemptsINVITE requestsEstablish voice, video, instant messagingTelemarketer spam

IM SpamBulk unsolicited set of instant messagesSimilar to emailSIP MESSAGE requestContent automatically appear on user’s display

Presence SpamBulk unsolicited set of presence requestsSimilar to IM spamSUBSCRIBE requestsAttempt to get on the “buddy list” or “white list”


121212Call Spam

Telemarketer callsSIP call spam application is easy to write

Parallel processing enables to make a large number of callsPlay out a recorded announcementNo special expertise to execute

The cost per call is reduced by SIPthree order cheaper than circuit-based telemarketer callsInternational calls at more reduced cost

The number of simultaneous successful callsZombie system

Generate spam by infecting with virusesDifficulty in automated content filtering

Voice or video contentsSIP address

Use the same form like as email addressesCan easily collect valid SIP addresses


131313IM Spam

Very much like emailMore intrusive than email

Automatically pop upPresent themselves to the user

IM systems employ white listsAllow spam to be delivered on the white list

Two different typesPage mode IM systems

Work much like emailSent as a separate message

Session mode IM systemsEstablish a session before communicationsThen IMs are exchangedSimilar to telephony


141414Presence Spam

Generation of bulk unsolicited SUBSCRIBE messagesPresence request is noted and conveyed to the user

Approve or deny the request (consent framework)

Watcherinfo event package in SIPA watcher information event template-package for the SIP

RFC 3857Allow a user to learn the identity of the watcher

Similar to IM spamAmount of content to be conveyed is limited

Vehicle for conveying informationSUBSCRIBE Message

sip:[email protected]


151515Solutions to VoIP Spam

Content FilteringSuccessful for anti-spam email, but almost useless for call spamSpeech and video recognition technology is expensiveUseful for IM spam

Content analysis tools

Black ListsSpam filter maintains a list of addresses that identify spammers

Usernames, entire domainsNot effective in email and SIP spam

Email addresses are easy to spoofInfinite supply of addresses


161616White Lists

Opposite of black lists: list of valid sendersAddress spoofing

Strong identity authentication mechanism can prevent

Combination of white lists and strong identityGood form of defense against spamIntroduction problem

How to meet someone for the first time

In IM systemsUseful at preventing spamBuddy listMore secure with authenticated identityIntroduction problem remains


171717Consent-Based Communications

Used in conjunction with white or black listsUser A is not B’s white or black listA’s attempt is rejected, and consent is requested.Next time B connects, B can authorize or reject A

Used widely in Presence and IM spamNeed for authenticated identity mechanism

In SIPUsing the watcher information event package (RFC)

Allow a user to find out that someone has subscribedBothered with consent requests

“sip:[email protected]”

Cannot fully solve the problem for SIP


181818Reputation Systems

Center

A B

Used in conjunction with white or black lists

Reputation scoreBe displayed in order to help B decide whether or not they should accept

Negative reputation scoresSame problems as black lists

Positive reputation scoresSame problems as white lists

Not good Provide a single place where reputation can be managed

score

request


191919Turing Tests

Prevent automatic or recorded spamsGive some kind of puzzle or challenge

Only a human can answerSuccess white list

Used to prevent IM spamWord or sequence of numbers in an image

Used to prevent Call spamvoice (IVR system)SIP application interaction framework

Draft-ietf-sipping-app-interaction-framework-03Languages specificCan pay cheap workers to take the tests


202020Centralized SIP Providers & Sender Checks

Inter-domain SIP providersLocal SIP providers only accept SIP messages from inter-domain providerAuditing procedures to verify SIP messages

Contrary to the SIP design and architecture

In email, defining new DNS resource recordsVerify the sending domain

In SIPCan be used but not necessaryTLS with mutual authentication


212121Authenticated Identity in SIP

Securely identify the identity of a SIP messageSIP provides a secure solution

HTTP Digest authenticationTLS (Mutual Authentication)Very secure but not widely deployed yet

Long-term solution

Enhancements for Authenticated Identity Management in SIPDraft-ietf-sip-identity-05Assure the identity of the end user between interdomain

Privacy Mechanism for the SIP for Asserted Identity within Trusted Networks

RFC 3325Harder to provide as the number of interconnected domains grow


222222Framework for Anti-Spam in SIP

No magic bullet for preventing SIP SpamThe combination of several techniques

Strong Authenticated IdentityHTTP Digest AuthenticationTLSRFC 3325Draft-ietf-sip-identity-05

WhitelistReduces the problem to the introduction problem

Consent FrameworkDraft-ietf-sipping-consent-framework-01Help address the introduction problem


232323H.323 표준

PSTN

H.323 Terminal

ISDN

MCU (Multipoint Control Units)

H.323 Gatekeeper

H.323 Gateway

Speech Terminal Speech Terminal

Packet Network

ITU-T RecommendationH.323 Version.5 (2003.07)

실시간 멀티미디어 데이터를 IP 기반 패킷 네트워크 망에서 교환하기위한 프로토콜

H.323 Components


242424H.323 시스템 지원 보안 기능

AuthenticationShared secretDigital certificate기존의 보안 프로토콜: IPSec, TLS

Call establishment channel security 제공

AuthenticationAuthorization

Call control(H.245) securityH.245 channel의 보안이 필요

Conference call 같은 경우, channel 별로 별도의 보안 키 사용 가능

Media stream privacy음성 데이터 보안


252525H.235 개요

H-Series 프로토콜(H.323, H.245)에 authentication, confidentiality, integrity 기능 제공

H-series에 flexible한 보안 기능 제공

H-323에서 발생하는 모든 통신에 보안을 제공

H-323의 기능을 저해하지 않는 보안을 제공

트래픽과 topology, 환경에 무관한 보안을 제공

두 가지 형태의 security profile 지원

Password-based security profile (Annex D)Signature security profile (Annex E)


262626H.235 Annex D (Baseline Security Profiles)

Fast connect와 Gatekeeper routed model을 가정

SecurityServices

Call Functions

RAS H.225.0 H.2455 RTP

Authentication PasswordHMAC-SHA1-96

PasswordHMAC-SHA1-96


Non-Repudiation

Integrity PasswordHMAC-SHA1-96



Confidentiality 56bitDES

Access Control

KeyManagement

Subscription -Based Password

Assignment

Subscription-Based

PasswordAssignment

Integrated H .235Session ky

Management(key distribution ,Key update using

56bit DES/56bit RC2-compatible/

168bit Triple DES)

56bitRC2

compatible

168bitTripleDES

Authentic-ated

Diffie-Hellman

Key-Exch.


272727H.235 Annex E (Signature Profile)

Digital Signature를 이용한 H.235 구조를 제안

PKI를 이용한 authenticationGK routed model과 H.245 tunneling을 의무화

SecurityServices

Call Functions

RAS H.225.0 H.24514 RTP

AuthenticationDigital Signature

Non-Repudiation

Integrity

Confidentiality

Access Control

KeyManagement

Certificate Allocation

Certificate Allocation

SHA1/ MD5Digital SignatureSHA1/ MD5

Digital SignatureSHA1/ MD5








282828H.235 구성

PSTNMedia Encryption

H.323 사용자

H.2

35 R

AS

IPSec

H.235 RAS

IPSec

GatewayGatekeeper

Gatekeeper

Administrative Domain 1

Administrative Domain 2

H.323 사용자


292929ITU-T H.323 관련 보안 표준

H.323 Version.5 (2003.07)H.323 Annex J (Secure Simple Endpoint type)H.235 Annex D (Baseline Security Profile)H.235 Annex E (signature Profile)H.235 Annex F (Hybrid Security Profile)H.510 (Mobility for H.323 Multimedia Systems)H.530 (Symmetric Security Procedure for H.510)


303030SIP 개요

SIP (Session Initiation Protocol)IETF SIP WG

RFC 3261 (2002.7)인터넷에서 Session 설정을 위한 핵심 프로토콜

Peer-to-Peer 시그널링 프로토콜

SIP Components

SIP Proxy

RegistrarSIP Registrar

SIP Proxy

SIP Redirect

User AgentUser Agent


313131SIP Security Overview

SIP Security OverviewSIP 메시지에 대한 보안 메커니즘 정의 (Media 보안은 배제)SIP 보안은 기존의 다양한 보안 메커니즘을 이용

HTTP Digest, TLS, S/MIMESIP 메시지에 대한 기밀성, 무결성과 사용자 인증 기능 제공

SIP Security Mechanisms사용자 인증

Usage of HTTP Authentication홉간 보안

IPsec, TLS양단간 보안

S/MIME


323232SIP Security 구성

SIP Proxy

SIP Proxy SIP Proxy

SIP RegistrarSIP Registrar

Digest TLS/IPSec

Digest TLS/IPSec

Digest TLS/IPSec

Digest TLS/IPSec

TLS/IPSecTLS/IPSec

S/MIME

SIP 사용자 SIP 사용자


333333SIP Authentication 메커니즘 (1/2)

SIP AuthenticationHTTP Digest Authentication 적용

RFC 2617Digest authentication

메시지 인증과 replay attack 방지

메시지 무결성과 비밀성은 제외

Basic authenticationID + passwordBasic authentication은 사용하지 않음


343434SIP Authentication 메커니즘 (2/2)

SIP Authentication Operation

REGISTER …

Authorization: Digest username="bob",realm="biloxi.com",nonce="dcd98b7102dd2f0e8b11d0f6

00bfb0c093",uri="sip:[email protected]",qop=auth,nc=00000001,cnonce="0a4f113b",response="6629fae49393a053974509

78507c4ef1",opaque="5ccc069c403ebaf9f0171e95

17f40e41"

[email protected]

REGISTER

401

REGISTER

200 OK

Registrar biloxi.com

401…..

WWW-Authenticate: Digestrealm="biloxi.com",qop="auth,auth-int",nonce="dcd98b7102dd2f0e8b11

d0f600bfb0c093",opaque="5ccc069c403ebaf9f017

1e9517f40e41"


353535SIP Hop-by-Hop 메커니즘 (1/2)

SIP Hop-by-Hop SecuritySIP message를 transport나 network layer에서 암호화하여 전송

TLS 또는 IPsec 사용 가능

Message에 대한 integrity와 confidentiality를 제공

SIP 메시지 전체를 암호화하여 hop-by-hop간의 신뢰구간 형성

적용 범위

TLS (Must)Proxy servers, redirect servers, registrars에서는 반드시 지원해야 하며, UA는 선택적이나 구현을 추천

IPsec (May)Proxy servers, redirect servers, registrars, UA


363636

SIP Proxy SIP Proxy SIP 사용자SIP 사용자

SIP SIP SIP SIP

SIP SIP SIP SIP

Encryption Decryption



TLS (IPSec) TLS (IPSec) TLS (IPSec)

SIP Hop-by-Hop Security Operation

SIP Hop-by-Hop 메커니즘 (2/2)


373737SIP End-to-End 메커니즘 (1/2)

SIP End-to-End SecuritySIP 메시지의 양단간 기밀성 및 무결성 제공

인증서를 통한 사용자 인증 제공

S/MIME 보안 메커니즘은 RFC 2633을 따름

UA는 인증서 필요

공인 인증 기관에서 획득 또는 사설 인증서 사용

인증서는 사용자 인증, 서명, 암호화에 사용되는 Key 정보 포함

S/MIME 적용 모드

SDP 암호화

SIP 전체 메시지 서명 및 무결성

SIP 전체 메시지 암호(Privacy) 및 서명과 무결성


383838SIP End-to-End 메커니즘 (2/2)

SIP에 S/MIME 적용 (암호 후 서명)

[email protected] [email protected] 1 Proxy 2

(S/MIME)

INVITE…Via: …To : …From : …Call-ID:…Cseq :…Max-Forwards : …Contact :…

Content-Type: multipart/signed; protocol="application/pkcs7-signature"; micalg=sha1; boundary=boundary42 Content-Length: 568

SIP 메시지 암호화

Content-Type: application/pkcs7-signature; name=smime.p7s Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename=smime.p7s; handling=required

SIP 메시지 서명 및 인증서

Outer 메시지

Inner 메시지암호화

암호화메시지서명 및인증서

INVITE sip:[email protected]:5060 SIP/2.0Via: SIP/2.0/UDP 203.253.3.125:5060From: 1001<sip:[email protected]:5060;user=phone>To: 1000<sip:[email protected]:5060>Call-ID: [email protected]: 1 INVITESubject: INVITEContact: <sip:[email protected]:5060;user=phone>Content-Type: application/sdpContent-Length: 214

v=0o=- 6328 6328 IN IP4 203.253.3.125s= Sessionc=IN IP4 203.253.3.125t=3242369334 0m=audio 10300 RTP/AVP 0 100a=rtpmap:0 PCMU/8000a=rtpmap:100 telephone-event/8000a=ptime:20a=fmtp:100 0-11

Proxy 에서는 Outer 메시지만 보고 라우팅


393939SIP에서 미디어 보안

SRTPIETF AVT(Audio/Video Transport) WG RTP 메시지에 대한 보안 기능을 제공

The Secure Real-time Transport Protocol (RFC 3711)

SRTP 기능

RTP payload에 대한 암호화 기능 지원

Authentication of the entire RTP packetProtection against replayed RTP packet메시지에 대한 인증을 위한 Authentication tag 추가

Security Algorithms AES Counter ModeHMAC/SHA1, UMAC

Key managementMultimedia Internet KEYing (MIKEY)


404040VoIP 보안 적용시 QoS 고려 사항

미디어 데이터실시간 암·복호화

과정 수행,TLS, S/MIME 등

보안 프로토콜 수행

[email protected] [email protected]

Proxy 1 Proxy 2

미디어 데이터 보호

인증서 획득

TLS, IPsec 등보안 프로토콜

수행

Call Signaling 지연실시간 멀티 미디어 데이터의 지연Proxy 서버에서 Overhead


414141미디어 인증을 위한 SIP 보안 메커니즘

Private SIP Extensions for Media AuthorizationRFC 3313The SIP proxy authorizing the QoSGuard against Denial of Service attacks

QoS enabled proxy

Edge router

or

Policy Decision pointUA

INVITE request

Response (media authorization token)

Obtain authorization tokenQoS

SIP 사용자


424242VPN 환경에서 VoIP

[email protected] [email protected]

VPN Gateway VPN Gateway

SIP Proxy

VPN ChannelESP 헤더 SIP

ESP 헤더 SIP?SIP Proxy

암호화수행

복호화수행

VPN 채널을 통한 SIP 메시지 전송VPN Gateway 에서 양단간 보안 적용

VPN Gateway에서 SIP 메시지에 대해서 암·복호화 수행

중간 SIP Proxy에서 ESP 해석 불가능


434343VoIP 감청 (1/3)

합법적인 감청 (Lawful Intercept : LI)합법적으로 인가된 감청

Communications monitoring국가의 합법적인 요청에 의해 수행

IP 네트워크 기반의 음성통신, 데이터 통신

RFC 3924에서 일반적인 솔루션을 제공

합법적인 감청을 위한 제한

기밀성통신에 참여된 노드는 감청 사실을 발견할 수 없어야 함

인가되지 않은 개체는 감청의 어떠한 정보도 얻을 수 없어야 함

구조에 미치는 영향ISP의 구조는 매우 다양하므로 합법적인 감청에 의해 제한되지 말아야 함

능률성

신뢰성


444444ETSI의 합법적인 감청

법령을 기반으로 하는 감청 활동

Network operator ,access provider, service provider에서 실행

신뢰성 있고 정확한 정보를 생성하고, 법적인 권한을 가지고

모니터링 하는 기관에 정보를 제공.

LawEnforcement

Agency (LEA)

LIorder

Network Operator,Access Provider or

Service Provider LawEnforcementMonitoring

Facility

Deliver requestedinformation


454545IETF 감청 구조

LI Administration FunctionLEA에 의해 전송된 정당한 이유의

법원 명령 일 때 감청을 위한

인터페이스를준비

LEALaw Enforcement Agency :

Cantent IAP

IRI IAP

감청에 연관된 정보(IRI)를

제공하는 인터페이스

Mediation Device(MD)

MD는 각각의 IAP에게 감청을 요청하는

인터페이스 (c),(d)를 전송하고 , 또한 각각의

IAP에서 받은 데이타를 LEA에게 전송한다 .

Hl 1 (a)

(Handover Interface 1)Administration Interface- Intercept information

MD Provisinging (b)- target identifier- duration of intercept-type of intercept-etcIRI IAP Provisioning (c)

Specifies -Target identifier- duration- etc.

Content InterceptProvisioning (d)

Provisioning of the Content IAP

IRI to MD (e)delivery of IRI.

Content to MD (f)delivery of Content.

(Handover Interface 2)for delivery of IRI.

(Handover Interface 3)for delivery of Content.

인증 서버

Router or Swich

합법적으로 인가된

인터셉트를 요청 할

수 있는 기관

고객 DB

ex) IP Address, Port number

SIP 프락시 서버

destination MD

RFC 3924, Intercept Architecture


464646Summary

VoIP 표준 소개 및 보안 필요성ITU-T (H.323), IETF (SIP), ETSI

VoIP 보안 위협DoS, 도청, 사용자 위장, 메시지 변조

불법 사용자 접근 시도, VoIP 스팸

VoIP SpamSpam의 종류

Solutions

VoIP 표준 및 관련 보안 프로토콜H.323SIP

다양한 환경에 따른 VoIP 고려 사항QoS, VPN, 감청


474747

감사합니다.Q&A

voip spam and security · 2012-03-20 · centralized sip providers & sender checks 202020...

Documents