Detection and analysis of misuse in SIP-based networks

Die Sprachkommunikation über „Voice over IP“-Netzwerke, basierend auf dem Session Initiation Protokoll (SIP), verbreitet sich auf Grund von Funktionalitäts- und Kostenvorteilen zunehmend und wird die klassischen Telefonnetze in den nächsten Jahren vollständig ablösen. Zusätzlich zu den Netzen der Telefonanbieter wird die Sprachkommunikation über das SIP-Protokoll auch im Unternehmens- und Privatanwenderumfeld unverzichtbar. So bietet VoIP die Möglichkeit, sich unabhängig von dem aktuellen Aufenthaltsort über das Internet bei dem jeweiligen Heimatnetzbetreiber oder der eigenen Firma anzumelden und über das dortige Nutzerkonto Gespräche zu führen. Da die Telefonie somit von einer geschlossenen und vergleichsweise sicheren Plattform auf eine viel offenere Plattform in das Internet migriert wird, ergeben sich neue Risiken und Missbrauchsmöglichkeiten im Bereich der Telefonie. In dieser Dissertation werden Angriffe untersucht, die mit der Einführung von SIP-basierten Sprachdiensten im Internet entstehen und nicht aus Bedrohungen der Netzwerkschicht oder aus rechtlichen Vertragsbestimmungen resultieren. Das Ziel dieser Angriffe ist das Erlangen eines finanziellen Vorteils, indem ein Angreifer kompromittierte Zugänge für Auslandstelefonate oder für Anrufe zu Premiumnummern auf Kosten der Anschlussinhaber nutzt („Toll Fraud“). Für die Realisierung der Bedrohungsanalyse und der Angriffserkennung wurden Konzepte, ein Versuchsnetzwerk sowie die notwendigen Softwarekomponenten ergebnisorientiert entwickelt. Im Vergleich zu anderen Forschungsarbeiten wurden Untersuchungen mit Ködersystemen (Honeypots) weiterentwickelt und es wurde ein System für eine verteilte, automatische Angriffserkennung entwickelt. Dafür wurden SIP-Verkehrsdaten über einen Zeitraum von sechs Jahren in zwei Class-C-Netzwerken aufgezeichnet und mit einem neuen Analyseansatz unabhängig von einzelnen SIP-Nachrichten automatisch ausgewertet. Die Ergebnisse des Feldversuches in dieser Dissertation zeigen, dass die Bedrohungen für die SIP-Infrastruktur ansteigen und dass bereits eine Weiterentwicklung und Optimierung der Angriffswerkzeuge nachzuweisen ist. Die zunehmende Anzahl der Toll Fraud-Versuche mit internationalen Anrufzielen (und auch zu Premium-Rufnummern) verdeutlicht, dass bei einem unzureichenden Schutz der SIP-Server für die Nutzer und Betreiber sehr schnell ein erheblicher finanzieller Schaden entstehen kann. Es ist daher unerlässlich, die vorgeschalteten, systematischen Angriffsstufen frühzeitig zu erkennen und Abwehrkomponenten zu benachrichtigen. Für die automatisierte, verteilte Angriffserkennung in Echtzeit und für die Maximierung des Beobachtungsgebietes wurde für diese Dissertation das „Security Sensor System“ entwickelt. Mit Hilfe von leichtgewichtigen Sensoren wurde eine weltweite signaturbasierte Angriffserkennung realisiert. Zusätzlich zu der standortbezogenen Angriffserkennung werden Angriffe durch einen zentralen Dienst korreliert. Dadurch können Angreifer netzwerkübergreifend bzw. länderübergreifend identifiziert und somit Gegenwehrkomponenten in Echtzeit benachrichtigt werden. Der Vergleich der verschiedenen Messstellen im Internet belegt, dass die analysierten Angriffsmuster nicht nur im Netzwerk der Universität Duisburg-Essen, sondern zeitlich zusammenhängend auch an anderen Standorten auftreten. Dadurch wird deutlich, dass die ermittelten Ergebnisse auch für andere Netzwerke gültig sind und dass die Toll Fraud-Problematik bereits für alle Betreiber von SIP-Servern relevant ist.Voice over IP networks based on the Session Initiation Protocol (SIP) are becoming more and more widespread in the Internet due to functionality and cost advantages and will soon replace the classic telephony networks. Therefore, support of open SIP-based interfaces is an increasingly important requirement for IP-based Public Branch eXchanges (PBXs) and provider systems. The VoIP service allows using the personal or company VoIP account from any location worldwide. The migration of the telephony service from a closed and comparatively secure environment to a network with open interfaces creates security issues and opens up new opportunities for misuse and fraud. In this thesis, attacks are analyzed which result from introducing SIP-based voice services and do not belong to the area of contract regulations or attacks on the network layer. The attacker’s goal is to gain immediate financial benefit by making toll calls (international, cellular, premium services) via cracked third party accounts (“Toll Fraud”). To realize the threat analysis and the attack detection concepts, a SIP-based testbed and required software components were developed. In comparison to the related work, analyses with Honeypots were enhanced and a mechanism for automatic, distributed attack detection was realized. Therefore, for gathering the required data, a Honeynet with two class-C networks captured the SIP traffic for a period of six years. The automatic analysis is based on attacks and operates independently of single SIP messages. The field test results of this thesis demonstrate that SIP-based threats increase over time and attack tools are optimized and enhanced. The increasing number of Toll Fraud attempts to international or premium numbers reveals that Toll Fraud attacks can cause the account owner substantial financial damage in a very short amount of time if there is insufficient attack detection and mitigation. Hence, it is necessary to implement an attack detection which is able to identify the different attack stages and sends a notification to mitigation components before a Toll Fraud call is established. In this thesis, the Security Sensor System was developed to maximize the monitoring scope and to realize the distributed, automatic attack detection in real-time. The light-weight sensor component provides worldwide signature-based attack detection. Additional to the location-based attack detection, all attack notifications are sent to a central service which correlates the incoming alarm messages and provides a comprehensive attacker identification to inform mitigation components in real-time. The comparison of different sensor nodes in the Internet shows that the analyzed attack patterns do not only occur in the University testbed, but also temporally coherent in other networks. Thus, the results are valid for different network environments and it is crucial to know that Toll Fraud attacks are already performed in reality

12. Ilmenauer TK-Manager Workshop: Technische Universität Ilmenau, 7 September 2012 ; Tagungsband

Im Februar 1995 veranstaltete das Fachgebiet Kommunikationsnetze erstmalig einen Workshop zu "Branchentypischen Anwendungen in der Informations- und Telekommunikationstechnik". Er diente der Diskussion des Weiterbildungsbedarfs mit Partnern aus der Praxis in Vorbereitung des berufsbegleitenden Weiterbildungsstudienganges „Telekommunikations-Manager“. Dieser, kurz TK-Manager genannte Studiengang wird seit 1996 erfolgreich durchgeführt, hat bereits etwa 100 Absolventen in einen neuen Arbeitsabschnitt entlassen. Seit 1998 findet regelmäßig der „Ilmenauer TK-Manager Workshop statt, an welchem Absolventen des Studienganges mit interessierten Partnern aus anderen Bildungseinrichtungen und der Wirtschaft ihre Erfahrungen austauschen und aktuelle Entwicklungen aus dem Informations- und Kommunikationssektor diskutieren. Das Spektrum der Vorträge umfasst daher Themen aus der Informations- und Kommunikationstechnik über Protokoll- und Dienstaspekte in speziellen Anwendungsbereichen (wie beispielsweise Green Computing, Automotive, Cloud Computing) bis hin zu ökonomischen, personellen oder rechtlichen Fragstellungen mit Bezug zur Telekommunikation. In diesem Jahr führen wir nunmehr den Workshop zum zwölften Mal durch, das dritte Mal innerhalb des Internationalen Wissenschaftlichen Kolloquiums (IWK). Die Beiträge des Workshops und darüber hinaus aktuelle Forschungsthemen des Fachgebiets Kommunikationsnetze, das für den TK-Manager federführend ist, sind in diesem Tagungsband zusammengefasst

Systemarchitektur zur Ein- und Ausbruchserkennung in verschlüsselten Umgebungen

Das Internet hat sich mit einer beispiellosen Geschwindigkeit in den Lebensalltag integriert. Umfangreiche Dienste ermöglichen es, Bestellungen, finanzielle Transaktionen, etc. über das Netz durchzuführen. Auch traditionelle Dienste migrieren mehr und mehr in das Internet, wie bspw. Telefonie oder Fernsehen. Die finanziellen Werte, die hierbei umgesetzt werden, haben eine hohe Anziehungskraft auf Kriminelle: Angriffe im Internet sind aus einer sicheren Entfernung heraus möglich, unterschiedliches IT-Recht der verschiedenen Länder erschwert die grenzüberschreitende Strafverfolgung zusätzlich. Entsprechend hat sich in den letzten Jahren ein milliardenschwerer Untergrundmarkt im Internet etabliert. Um Systeme und Netze vor Angriffen zu schützen, befinden sich seit über 30 Jahren Verfahren zur Einbruchsdetektion in der Erforschung. Zahlreiche Systeme sind auf dem Markt verfügbar und gehören heute zu den Sicherheitsmechanismen jedes größeren Netzes. Trotz dieser Anstrengungen nimmt die Zahl von Sicherheitsvorfällen nicht ab, sondern steigt weiterhin an. Heutige Systeme sind nicht in der Lage, mit Herausforderungen wie zielgerichteten Angriffen, verschlüsselten Datenleitungen oder Innentätern umzugehen. Der Beitrag der vorliegenden Dissertation ist die Entwicklung einer Architektur zur Ein- und Ausbruchserkennung in verschlüsselten Umgebungen. Diese beinhaltet sowohl Komponenten zur Erkennung von extern durchgeführten Angriffen, als auch zur Identifikation von Innentätern. Hierbei werden statistische Methoden auf Basis einer verhaltensbasierten Detektion genutzt, so dass keine Entschlüsselung des Datenverkehrs erforderlich ist. Im Gegensatz zu bisherigen Methoden benötigt das System hierbei keine Lernphasen. Ausgehend von einem Szenario der IT-Struktur heutiger Unternehmen werden die Anforderungen an ein System zur Ein- und Ausbruchserkennung definiert. Da eine Detektion die Kenntnis entsprechender, messbarer Ansatzpunkte benötigt, erfolgt eine detaillierte Analyse einer Angriffsdurchführung. Auf dieser Basis sowie den Ergebnissen der Untersuchung des State-of-the-Art im Bereich der Ein- und Ausbruchserkennung wird identifiziert, warum heutige Systeme nicht in der Lage sind, ausgefeilte Angriffe zur erkennen. Anhand einer Betrachtung, welche Parameter bei verschlüsselten Verbindungen für eine Evaluation noch zur Verfügung stehen, werden Möglichkeiten zur Detektion von bösartigem Verhalten entwickelt. Hierauf basierend wird eine neue Architektur mit mehreren Teilmodulen zur Ein- und Ausbruchserkennung in verschlüsselten Umgebungen vorgestellt. Eine anschließende Evaluation zeigt die Funktionsfähigkeit der vorgestellten Architektur.The evolution of the Internet took place with a matchless speed over the past decades. Today, the Internet is established in numerous areas of everyday life. Purchase orders or money transfers are only two examples. The financial values which are moved over the Internet are alluring criminals. Attacks with the aid of the Internet can be executed from a safe distance, different IT laws of the countries hamper the transboundary criminal prosecution. Therefore, an underground market worth billions has been established over the past years. For the protection of systems and networks, procedures for intrusion detection are under development for more than 30 years. Numerous systems are available and are integral security components in every bigger network today. However, even with these strong efforts, the number of security incidents is steadily increasing. Todays systems are not able to cope with challenges like targeted attacks, encrypted communication and connections or the insider threat. The contribution of this thesis is the design and development of an architecture for intrusion and extrusion detection in encrypted environments. The architecture consists of components for the detection of external attacks as well as the identification of insiders. Statistical methods and behavior-based techniques are used, therefore there is no need for a deciphering of the data traffic. In contrast to existing approaches, the proposed architecture does not need a learning phase. Based on a scenario of the IT infrastructure of a company, the requirements for a system for intrusion and extrusion detection are defined. Because measuring points must be located for being able to carry out a detection, an in-depth analysis of the execution of an attack is done. Afterwards, reasons for the failure of the detection of sophisticated attacks by current systems are identified based on an evaluation of the State-of-the-Art of in- and extrusion detection. An examination of encrypted network connections is used to deduce parameters which are still available after an encryption and which can be used for a detection of malicious behavior. The identified starting points are used for the development of a new architecture consisting of multiple modules for intrusion as well as extrusion detection in encrypted environments. A subsequent evaluation verifies the efficiency of the proposed architecture

Forschungsbericht 2010

Der Forschungsbericht gibt einen Überblick über Forschungs- und Entwicklungsprojekte der TH Wildau [FH] des abgelaufenen Jahres

Entwicklungen im Web 2.0 aus technischer, ökonomischer und sozialer Sicht

Inhalt: I User-Generated Content 1 Tagging vs. Ontologies 3 David Stadler; Semantic Web vs. Web 2.0 13 Armin Stein; User-Generated Advertising 23 Burkhard Weiß; Qualitätsaspekte im User-Generated Content 39 Jens Feldkamp; Data Mining im User-Generated Content 51 Nico Albrecht; II Business-Aspekte 59 AdSense, verwandte Geschäftsmodelle und ihre Long-Tail-Effekte 61 Michael Räckers; SaaS-Geschäftsmodelle im Web 2.0 73 Sebastian Hallek; Monetisierung großer Datenmengen 85 Jan Lammers; Second Life 97 Gereon Strauch; Sicherheit und Vertrauen im Wandel vom Read zum Read/WriteWeb 115 Gunnar Thies; III Suchen und Sozialisieren 127 Universelles Suchen im Web Eine technische, ökonomische und soziale Betrachtung 129 Sebastian Herwig; Spezialisiertes Suchen im Web 141 Felix Müller-Wienbergen; Personalisierte Suche 153 Milan Karow; Blogging vs. Knowledge Management Wie Blogs zu gutem Wissensmanagement in Organisationen beitragen können 167 Daniel Beverungen; IV Technische Aspekte 179 Akamaiisierung von Applikationen 181 Ingo Düppe; IPTV 189 Philipp Bergener; Die Infrastruktur von Suchmaschinen am Fallbeispiel Google 197 Philipp Ciechanowicz; Amazon-Webservices Eine Betrachtung technischer, ökonomischer und sozialer Aspekte 207 Oliver Müller; P2P und VoIP 221 Christian Hermanns --

Forschungsbericht 2011

Der Forschungsbericht gibt einen Überblick über Forschungs- und Entwicklungsprojekte der TH Wildau [FH] des abgelaufenen Jahres

Entwicklungs- und Nutzungstrends im Bereich der digitalen Medien und damit verbundene Herausforderungen für den Jugendmedienschutz

Bericht im Rahmen des Programms "Jugend und Medien - Nationales Programm zur Förderung von Medien-kompetenzen". Forschungsbericht 09/13.Der von der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) erstellte Teilbericht hält die Trends bezüglich Technik und Nutzungsverhalten fest: Die steigende Verfügbarkeit von mobilen Geräten mit Internetzugang, die Multifunktionalität dieser Geräte sowie die geräteunabhängige Datenspeicherung prägen die technischen Entwicklungen. Die zeit- und ortsunabhängige Mediennutzung, die stark zunehmende Kommunikation über digitale Medien sowie eine intensive Mediennutzung ab einem frühen Alter sind zentrale Nutzungstrends. Damit verlagert sich die Mediennutzung immer mehr hin zur Interaktion und Kommunikation, zunehmend auch verbunden mit Selbstdarstellung. Da fast alle Jugendlichen eigene Geräte besitzen, führt dies zu einer autonomeren Mediennutzung, was die Kontrollmöglichkeiten der Eltern einschränkt. Der vom Hans-Bredow-Institut für Medienforschung an der Universität Hamburg erstellte zweite Teilbericht systematisiert die durch die Entwicklungs- und Nutzungstrends entstehenden Risiken für Kinder und Jugendliche. Dabei gilt zu berücksichtigen, dass Minderjährige bei der Mediennutzung unterschiedliche Rollen einnehmen. Sie nehmen Informationen auf, sind Marktteilnehmende, sie kommunizieren untereinander und produzieren Medieninhalte. Das Spektrum möglicher Gefährdungen hat sich dadurch in den letzten Jahren stark erweitert und ist komplexer geworden. Einige Problembereiche bedürfen der besonderen Aufmerksamkeit: • Die Regulierung von ungeeigneten und nicht altersgerechten Medieninhalten; • die Gefahren, die im Zuge der Online-Kommunikation entstehen (Belästigung, sexuelle Anmache, ungewollte Kontakte); • der oft intransparente Umgang von Online-Anbietern mit persönlichen Daten. Die Autoren empfehlen daher, regulatorische Eingriffe und die Förderung von Medienkompetenzen miteinander zu kombinieren. Den Eltern kommt hierbei eine steigende Verantwortung zu. Sie müssen bereit und fähig sein, sich mit der Mediennutzung ihrer Kinder noch vermehrt auseinanderzusetzen, technische Schutzeinstellungen vorzunehmen und zu unterstützen, wenn es zu belastenden Erfahrungen gekommen ist. Die Studie ist Teil einer umfassenden Überprüfung des Handlungs- und Regulierungsbedarfs im Jugendmedienschutz, welche derzeit im Rahmen des nationalen Programms Jugend und Medien erfolgt. Dabei werden aktuell auch die Regulierungsaktivitäten der Kantone sowie der Industrie überprüft sowie erfolgversprechende Ansätze aus dem Ausland untersucht. Dem Bundesrat sollen die Ergebnisse der Arbeiten bis im Sommer 2015 vorliegen. Zu diesem Zeitpunkt wird auch der Schlussbericht zu den Ergebnissen des nationalen Programms Jugendmedienschutz und Medienkompetenzen (Jugend und Medien) vorliegen