Requirements for End-to-Middle Security for the Session Initiation Protocol (SIP)

Tachimoto, Shinya; Ono, Kumiko

doi:10.17487/rfc4189

Cited by 7 publications

(4 citation statements)

References 15 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…With the signal protocol, DoS attack can assault any part of the VoIP system because every VoIP component must process signaling. As most VoIP components rarely use strong [4,10,11] authentication mechanisms, the probability of an application level attack is rather high. Moreover, most network firewalls do not (by default) inspect higher layer communication which further increases chances of an application DoS attack to succeed.…”

Section: A Denial Of Service (Dos) Attackmentioning

confidence: 99%

See 1 more Smart Citation

An Analysis of Security Implications in Session Initiation Protocol (SIP)

Behl¹,

Behl

2013

2013 7th Asia Modelling Symposium

View full text Add to dashboard Cite

Voice over IP (VoIP) has become an indispensible part of our life as individuals, organizations, and corporate move from traditional Plain Old Telephony Systems (POTS) to VoIP based systems. This allows the cost to make or receive calls come down drastically while the Total Cost of Ownership (TCO) for managing a PABX also to be reduced. In this research paper, we explore the plausibility of an attacker or hacker exploiting one of the most popular and commonly used VoIP protocol -Session Initiation protocol (SIP). Session Initiation Protocol (SIP) [1] being derived from HTTP has its own share of strengths and weaknesses. While it constitutes the provisioning of critical and business relevant services e.g. IP Telephony, Instant Messaging, Presence, etc., it is vulnerable to well known and not so well known attacks. This research paper identifies and describes security issues significant to SIP protocol that may lead to Denial of Service (DoS) [2], flooding attacks, attacks exploiting vulnerabilities at the application layer and Spam over Internet Telephony (SPIT). In this paper we explore the various security issues pertinent to SIP protocol and diverse ways in which a VoIP system leveraging SIP can be attacked. We also try to explore the most effective methods to thwart or alleviate these attacks.

show abstract

Section: A Denial Of Service (Dos) Attackmentioning

confidence: 99%

“…x SIP Refer Attack -The REFER extension [11] provides a mechanism where the referrer provides the referee with an arbitrary URI to reference. Now, assuming that this URI is a SIP URI, the referee will send a SIP request (usually a SIP INVITE), to that URI (the refer target).…”

Section: A Denial Of Service (Dos) Attackmentioning

confidence: 99%

An Analysis of Security Implications in Session Initiation Protocol (SIP)

Behl¹,

Behl

2013

2013 7th Asia Modelling Symposium

View full text Add to dashboard Cite

show abstract

“…SIP messages can be protected with S/MIME in an end-to-end fashion. Extensions to the S/MIME protection scheme will allow to encrypt messages between end-systems and proxy servers as well as between proxies on a hop-by-hop basis [13].…”

Section: Privacy Issuesmentioning

confidence: 99%

Enhanced SIP communication services by context sharing

Görtz¹,

Ackermann²,

Steinmetz³

2004

Proceedings. 30th Euromicro Conference, 2004.

View full text Add to dashboard Cite

Communication plays a central in our society. It affects our private lives as well as business activities. Humans usually observe the environment and the communication partner with all their senses. The perceived information is evaluated to deduce the context of the targeted communication partner. However, distant interpersonal communication does not provide a priori knowledge of the called party's current situation, condition or mood -the callee's context. Current communication systems do not offer satisfying technical means to support context sharing between communication partners. The proposed solution in this paper is based on an enhancement of the Session Initiation Protocol (SIP) for IP Telephony systems. Different mechanism of sharing context among communication peers have been investigated, implemented and evaluated.

show abstract

“…Αυτό συμβαίνει κυρίως λόγω του ότι η ορθή εφαρμογή των υπαρχόντων μηχανισμών ασφάλειας επιτυγχάνει ένα ικανοποιητικό επίπεδο εμπιστευτικότητας. Με στόχο, λοιπόν, την ορθή εφαρμογή των υπαρχόντων μηχανισμών ασφαλείας προσδιορίστηκαν οι απαιτήσεις που πρέπει να ικανοποιούνται σε κάθε περίπτωση [97], όπως περιγράφονται στη συνέχεια:…”

Section: προστασία από επιθέσεις υποκλοπώνunclassified

Πλαίσιο Ανίχνευσης Και Αντιμετώπισης Περιστατικών Ασφαλείας Σε Συστήματα Διαδικτυακής Τηλεφωνίας

Γενειατάκης¹

View full text Add to dashboard Cite

Η παροχή υπηρεσιών φωνής μέσω του διαδικτύου προσφέρει σε όλες τις εμπλεκόμενες οντότητες μια σειρά από πλεονεκτήματα, όπως χαμηλό κόστος παροχής της υπηρεσίας, δυνατότητα ανάπτυξης νέων εξελιγμένων υπηρεσιών, ευκολία διαχείρισης και άλλα πολλά. Βέβαια, πέρα από τα πλεονεκτήματα και τους νέους ορίζοντες που δημιουργούνται στις υπηρεσίες τηλεφωνίας, θα πρέπει να αντιμετωπιστούν τόσο τα προβλήματα αξιόπιστης μετάδοσης των δεδομένων, όσο και αυτά της ασφαλείας των υπηρεσιών φωνής. Τα συγκεκριμένα προβλήματα είναι ιδιαίτερα έντονα λόγω των χαρακτηριστικών των δημόσιων δικτύων ανοικτών προδιαγραφών, όπως είναι το διαδίκτυο, που αξιοποιούνται για την παροχή των υπηρεσιών. Τα προβλήματα αξιόπιστης μετάδοσης, κυρίως για τα δεδομένα φωνής, ήταν αυτά που προσέλκυσαν το ενδιαφέρον της επιστημονικής κοινότητας, δεδομένου ότι η αξιοπιστία μετάδοσης είναι αδιαπραγμάτευτο προαπαιτούμενο για την παροχή υπηρεσιών τηλεφωνίας. Σήμερα, υπάρχουν ικανοποιητικές λύσεις για τα περισσότερα από τα προβλήματα που έχουν εντοπιστεί οι οποίες βασίζονται στους κατάλληλους μηχανισμούς κωδικοποίησης. Από την άλλη πλευρά, το ενδιαφέρον για τα ζητήματα ασφαλείας των υπηρεσιών ήταν σχετικά περιορισμένο, παρά το γεγονός ότι η παροχή υπηρεσιών μέσω δημόσιων δικτύων ανοικτών προδιαγραφών προσφέρει πληθώρα δυνατοτήτων εκδήλωσης κακόβουλων ενεργειών. Το διαδίκτυο, ως το πλέον αντιπροσωπευτικό παράδειγμα δικτύου ανοικτής αρχιτεκτονικής, κινδυνεύει τόσο από τα πολυάριθμα γνωστά προβλήματα ασφαλείας, όσο και από νέες ευπάθειες που μπορεί να προκόψουν από τη συνεχή διαδικασία αναζήτησης κενών ασφαλείας σε υπηρεσίες και πρωτόκολλα. Συνεπώς, οι υπηρεσίες που παρέχονται μέσω του διαδικτύου, μη εξαιρουμένων των υπηρεσιών φωνής, κληρονομούν όλες τις εγγενείς ευπάθειες του. Επιπλέον, η εισαγωγή νέων πρωτοκόλλων για την εγκαθίδρυση και διαχείριση συνόδων, όπως το Session Initiation Protocol (SIP), δημιουργεί πληθώρα νέων απειλών που, λόγω της διασυνδεσιμότητας των υπηρεσιών, καθιστούν ολόκληρο το τηλεφωνικό δίκτυο ευπαθές σε επιθέσεις. Η παρούσα διδακτορική διατριβή επικεντρώνεται σε ζητήματα ασφαλείας που αφορούν το πρωτόκολλο σηματοδοσίας SIP. Συγκεκριμένα, αναλύονται όλες οι πιθανές ευπάθειες που μπορεί να ‘αξιοποιηθούν’ για την εκδήλωση επιθέσεων κατά τη διαδικασία εγκαθίδρυσης συνόδων SIP. Στη συνέχεια παρουσιάζονται και αξιολογούνται, ως προς την αποτελεσματικότητα τους, οι μηχανισμοί ασφαλείας που προδιαγράφονται στο πρότυπο του SIP. Τα κενά ασφάλειας που παραμένουν αντιμετωπίζονται μέσω νέων μηχανισμών ασφάλειας που προτείνονται και οι οποίοι δρουν συμπληρωματικά με τα υπάρχοντα μέτρα ασφαλείας. Οι προτεινόμενοι μηχανισμοί έχουν υλοποιηθεί και αξιολογηθεί ως προς την αποτελεσματικότητα και την απόδοση τους μέσω πειραματικού περιβάλλοντος που αναπτύχθηκε. Συνολικά, για την αποτελεσματική αντιμετώπιση των προβλημάτων ασφαλείας στις υπηρεσίες διαδικτυακής τηλεφωνίας, προτείνεται μια αρχιτεκτονική τριών επιπέδων στην οποία εντάσσονται τα κατάλληλα προληπτικά, αναγνωριστικά και ανασταλτικά μέτρα ασφαλείας. Στο πρώτο επίπεδο κατατάσσονται οι κατάλληλοι μηχανισμοί πρόληψης για την αντιμετώπιση περιστατικών μη εξουσιοδοτημένης τροποποίησης των δεδομένων σηματοδοσίας. Στο δεύτερο επίπεδο αναπτύσσονται αυστηρές πολιτικές και μηχανισμοί ελέγχου που βασίζονται στις προδιαγραφές των αξιοποιούμενών πρωτοκόλλων σηματοδοσίας, όπως το SIP, προκειμένου να αποτρέπεται η επεξεργασία μη συμβατών μηνυμάτων από τους αναλυτές μηνυμάτων των υπηρεσιών. Στο τελευταίο επίπεδο άμυνας, υλοποιούνται μηχανισμοί για την άμεση αναγνώριση επιθέσεων πλημμύρας. Η προτεινόμενη αρχιτεκτονική συμπληρώνει τους υπάρχοντες μηχανισμούς ασφαλείας και αποτελεί μια εύκολα κλιμακούμενη αρχιτεκτονική. Οι πάροχοι υπηρεσιών διαδικτυακής τηλεφωνίας, εκτός από την έγκαιρη ανίχνευση και την αντιμετώπιση των επιθέσεων που μπορεί να εκδηλωθούν κατά των υπηρεσιών που προσφέρουν, θα πρέπει να διαθέτουν τη δυνατότητα αποτύπωσης των περιστατικών ασφαλείας μέσω κάποιας κοινής σημασιολογικής περιγραφής. Με τον τρόπο αυτό θα καταστεί δυνατή η ανάπτυξη μιας ενιαίας αρχιτεκτονικής ασφαλείας και προστασίας. Προς την κατεύθυνση αυτή, και συγκεκριμένα για τη δημιουργία ενός ενιαίου τυπικού μοντέλου ασφαλείας για τις υπηρεσίες διαδικτυακής τηλεφωνίας, αποφασίστηκε να αξιοποιηθούν οντολογίες για την ανάπτυξη μίας κοινής «βάσης ασφαλείας» μέσω της οποίας προωθείται η συνεργασία των παροχών διαδικτυακής τηλεφωνίας στα πλαίσια ενός ασφαλούς περιβάλλοντος παροχής υπηρεσιών τηλεφωνίας. Η οντολογία που αναπτύχθηκε, αναπαραστάθηκε σε κατηγορηματική λογική και εφαρμόστηκε σε πειραματικό περιβάλλον.

show abstract

Requirements for End-to-Middle Security for the Session Initiation Protocol (SIP)

Abstract: Status of This Memo This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.

Cited by 7 publications

References 15 publications

An Analysis of Security Implications in Session Initiation Protocol (SIP)

An Analysis of Security Implications in Session Initiation Protocol (SIP)

Enhanced SIP communication services by context sharing

Πλαίσιο Ανίχνευσης Και Αντιμετώπισης Περιστατικών Ασφαλείας Σε Συστήματα Διαδικτυακής Τηλεφωνίας

Contact Info

Product

Resources

About