Das Session Initiation Protocol (SIP) ist mit einem im Jahr 2002 veröffentlichten RFC noch vergleichsweise jung. Dennoch hat SIP schon große Aufmerksamkeit erregt, weil zahlreiche Applikationen das Protokoll nutzen. Dies betrifft auch bereits bestehende Applikationen, die von anderen Protokollen zu SIP migriert werden, wie beispielsweise VoIP, Instant Messaging oder Video-Konferenzen.
Hinsichtlich des Designs ähnelt SIP den Protokollen SMTP und HTTP. Dadurch ist es robust, skalierbar und kann mit Hard- und Software-Angeboten einer Vielzahl von Herstellern interagieren. Diese Tatsache macht SIP allerdings verwundbar für die Angriffe, die schon von E-Mail- und Webumgebungen bekannt sind. Es ist also zwingend notwendig, die Sicherheit von SIP-Applikationen genauer ins Visier zu nehmen und die Lücken zu schließen.
In diesem ersten Teil beschreiben wir die potenziellen Angriffsvektoren gegen SIP. Der zweite Teil dreht sich um die Absicherung von SIP-Systemen mittels herkömmlicher und dedizierter Systeme.
SIP-Grundlagen
SIP ist für die Verwaltung von IP-basierter Echtzeitkommunikation zuständig wie beispielsweise VoIP, Video-Konferenzen, Instant Messaging oder auch gemischten Kommunikationsumgebungen. Für diese Dienste stellt SIP Funktionen wie die Registrierung aller Teilnehmer, Starten und Beenden der Kommunikation oder die Übergabe der Kommunikation an ein anderes Medium bereit.
SIP kontrolliert - RTP transportiert
Die tatsächliche Übertragung wird allerdings von einem anderen Protokoll durchgeführt, in den meisten Fällen von RTP (Real Time Transport Protocol). Bei Diensten wie Instant Messaging ist SIP auch für Anwendungsdaten zuständig.
Bei SIP handelt es sich um ein außerordentlich flexibles Protokoll. So kann es verschiedene Transportmechanismen wie beispielsweise UDP, TCP und SSL über TCP (TLS) verwenden und eine Reihe von Nutzlasten transportieren, etwa reinen Text für Messaging, XML oder andere Protokolle. Für die Echtzeitkommunikation transportiert SIP das Session Description Protocol (SDP). Dieses definiert die Parameter, die zum Erstellen oder Verändern einer RTP-Sitzung notwendig sind.
Ein SIP-Beispiel
SIP ist textbasiert und arbeitet durch den Austausch einer Reihe von formatierten Textnachrichten zwischen Client und Server. Beispielsweise kann ein SIP-Client sich bei einem SIP-Server registrieren, indem er eine REGISTER-Anfrage sendet. Ist diese erfolgreich, antwortet der Server mit einer OK-Nachricht.
REGISTER sip:sip.borderware.co.uk SIP/2.0
Via: SIP/2.0/UDP 192.168.19.12:5060;branch=z9hG4bK927ec13a8c04928
Max-Forwards: 70
To: <sip:johnsmith0@borderware.co.uk>
From: <sip:johnsmith0@borderware.co.uk>;tag=9600645
Call-ID: 1da1@192.168.19.12
Cseq: 20482 REGISTER
Contact: <sip:johnsmith0@192.168.19.12>
User-Agent: SIP desktop phone
Content-Length: 0
SIP/2.0 200 OK
Via: SIP/2.0/UDP 192.168.19.12:5060;branch=z9hG4bK927ec13a8c04928
To: <sip:johnsmith0@borderware.co.uk>;tag=87bb3bbc09cc079fbee154bb8ab47563.47d0
From: <sip:johnsmith0@borderware.co.uk>;tag=9600645
Call-ID: 1da1@192.168.19.12
Cseq: 20482 REGISTER
Contact: <sip:johnsmith0@192.168.19.12>;q=0.00;expires=3600
Server: SIPassure SIP Firewall
Content-Length: 0
Sicherheitsprobleme bei SIP
Die Tatsache, dass SIP textbasiert arbeitet und zumeist über UDP oder TCP übertragen wird, öffnet dieselben Lücken, wie sie auch bei SMTP oder HTTP bestehen. Dass SIP zudem Echtzeitanwendungen wie VoIP-Dienste steuert, vergrößert das Problem zusätzlich.
In den meisten Fällen sind SIP-Nachrichten nicht authentifiziert, die meisten SIP-Geräte überprüfen die Herkunft einer Nachricht nicht. Somit kann ein Angreifer problemlos Nachrichten einschleusen, um SIP-Dienste zu missbrauchen oder zu stören. Die folgenden Beispiele zeigen primär die Auswirkungen auf VoIP-Dienste, ähnliche Angriffe können aber auf jeden SIP-basierten Dienst erfolgen.
Spam/SPIT
E-Mail-Nutzern gilt Spam schon lange als echte Plage, doch er stellt für SIP-Anwendungen, und dort ganz besonders für VoIP, eine noch größere Gefahr dar. Unerwünschte Nachrichten lassen sich problemlos an beliebige SIP-Geräte schicken, sei es nun ein Softphone, ein IP-Telefon oder ein mobiles Gerät.
Innerhalb von Sekunden lassen sich Hunderte von SIP-Nachrichten an einen oder mehrere Empfänger schicken. Sobald SIP die Sitzung ausgehandelt hat, werden RTP-Ströme zwischen Spammer und IP-Telefonanlage oder SIP-Application-Server geschaltet. Über diese kann der Spammer dann einfach WAV- oder MP3-Dateien mit seiner Werbebotschaft versenden, die entweder direkt beim Benutzer ankommt oder über die Voicemailbox. Die Auswirkungen einer mit Spam gefüllten Mailbox sind offensichtlich. VoIP-Spam lässt sich genauso einfach versenden wie E-Mail-Spam, ist aber erheblich schwerer auszufiltern, da eine automatisierte Inhaltsüberprüfung nicht möglich ist.
DoS und Directory Harvesting
Denial of Service
SIP lässt sich durch eine Reihe von DoS-Attacken stören. Dazu gehören unter anderem:
Überflutung mit Anfragen für einen Verbindungsaufbau an einen oder mehrere SIP-Clients.
Unterbrechung bestehender Verbindungen durch unautorisierte Dritte.
Übertragung bestehender Verbindungen an unautorisierte Dritte.
Kaskadierende Übertragung: Hierbei greift der Hacker eine ganze Organisation an, indem er einen Anruf an ein einzelnes SIP-Endgerät tätigt. Sobald dieser Anruf beantwortet wird, leitet der Hacker den Anruf an ein weiteres Endgerät um und von diesem an ein drittes und so weiter.
Directory Harvest
SIP-Applikationen sind ebenso wie E-Mail-Systeme für so genannte „Directory Harvest“-Angriffe anfällig. Ausgehend vom Domain-Namen einer Organisation kann ein Angreifer versuchen, beliebige User-Namen anzurufen, um so gültige SIP-Accounts herauszufinden.
Registrierungsangriffe
Eine der zentralen Funktionen von SIP ist die Registrierung von Clients beim Server. Die Registrierung stellt die Verbindung zwischen einem permanenten „Address of“-Eintrag wie beispielsweise sip:peter@borderware.com und einer transienten Adresse wie einer dynamisch zugewiesenen IP-Adresse her.
SIP unterstützt zwar die authentisierte Registrierung, diese ist jedoch nur optional und wird nicht von jedem Endgerät implementiert. Zudem ist SIP so konzipiert, dass Registrierungs-Server auch ohne ständige Überwachung der registrierten Clients arbeiten können. Es werden nur minimale Informationen über den Status gespeichert. Diese Design-Entscheidung soll die Implementierung von Registrierungs-Servern wie Proxies vereinfachen, bringt aber die Gefahr bestimmter Angriffe mit sich:
Unautorisierte Registrierung
Stehlen von Ressourcen und Registrierung, um dann autorisierte Anrufe zu tätigen. Dies verbraucht Ressourcen und eventuell entstehen Kosten, wenn die Anrufe über ein PSTN-Gateway laufen.
Hijacking einer Registrierung, indem beispielsweise ein zusätzliches Gerät unter einem bestehenden „Address of“-Eintrag angemeldet wird. Will nun jemand diesen Eintrag erreichen, erhält der Angreifer Informationen darüber, wer mit diesem Teilnehmer kommuniziert.
Angriffe auf Protokoll- und Netzwerkebene
Protokollmissbrauch
Eine weitere Schwachstelle im Design von SIP ermöglicht das Fälschen der übertragenen Caller-ID. Das größte Problem hierbei ist, dass Anwender aus dem traditionellen Telefonnetz „gelernt“ haben, der übermittelten Rufnummer (Caller-ID) zu vertrauen.
Somit kann ein Spammer beispielsweise leichter erreichen, dass der Angerufene den unerwünschten Anruf entgegennimmt. Auch Phishing oder gar Scam lässt sich leichter durchführen, wenn im Display des Opfers die Rufnummer oder der Name seiner Bank auftaucht.
Angriffe auf Netzwerkebene
Einer der Vorteile von SIP ist, dass es Echtzeitkommunikation zwischen zwei Teilnehmern über ein IP-Netzwerk ermöglicht. Um den Effekt zu maximieren, müssen die Geräte an das Internet angebunden sein. Damit sind sie aber - wie alle anderen ans Internet angeschlossenen Geräte - Angriffen auf Netzwerkebene ausgesetzt, beispielsweise durch missgestaltete Pakete oder SYN-Flooding.
Pufferüberlauf und Schädliche Inhalte
Pufferüberlauf
Schätzungsweise 60 Prozent aller Schwachstellen in ans Netzwerk angeschlossenen Applikations-Servern beruhen auf nicht ausreichend geprüften Puffern. Die wohl bekannteste dieser Lücken im IIS wurde vom CodeRed-Wurm ausgenutzt. Allerdings sind in so ziemlich allen Arten von Applikations-Servern schon ungeprüfte Puffer gefunden worden. Es gibt also keinen Grund, zu vermuten, dass SIP-Server hier eine Ausnahme darstellen.
Schädliche Inhalte
Die Flexibilität von SIP hinsichtlich der transportierten Inhalte ist auch eine große Schwäche, denn damit kann es als Transportmedium für Viren, Würmer und Trojaner missbraucht werden. SIP-Systeme sind dabei genauso verwundbar wie jede andere Netzwerkapplikation. Der Angriff kann gegen das darunter liegende Betriebssystem oder die Applikation selbst gerichtet sein. (mha)
Den zweiten Teil dieses Artikels lesen in Kürze auf tecCHANNEL.
Dieser Artikel basiert auf einem Whitepaper von Peter Cox, Vice President Product Management bei Borderware. Borderware ist Hersteller von Messaging-Security-Lösungen, darunter auch SIPassure, einem SIP Edge Proxy.