-
Der ITU-T Standard H.323 definiert eine Protokollfamilie zur vereinheitlichten Steuerung von Diensten in multimedialen Paketnetzen (insbesondere IP Netze), d. h. von Netzen, in denen eine Mehrzahl von unterschiedlichen Diensten übermittelt werden kann. Diese in einer vereinheitlichten, multimedialen Umgebung realisierten Dienste werden auch 'Multimediaanwendungen' genannt. Unter den Begriff Multimediaanwendung fallen dabei sowohl Dienste wie gewöhnliche Telefonie (Stichwort 'Voice over IP (VOIP)'), als auch Dienste wie Fax, Telefonkonferenz, Videokonferenz, Video an Demand (VOD) und ähnliches mehr.
-
Die wesentlichen Netzkomponenten des paketorientierten H.323 sind Endpunkte (Einheiten, die Anwendungen nutzen möchten wie z. B. ein PC Client), Gateways (GW) für den Übergang in das leitungsorientierte Telefonnetz, Multipoint Control Units (MCU) zur Steuerung von Konferenzen und Gatekeeper (GK).
-
Ein Gatekeeper steuert dabei den Zugang in das IP Netz für alle H.323 Netzkomponenten (Endpunkte, GW, MCU), die seiner Zone angehören.
-
Im IETF Standard SIP (Session Initiation Protocol) werden ähnliche Ziele verfolgt wie ITU Standard H.323. Insbesondere dient er ebenso wie H.323 der Steuerung von Multimediaanwendungen, er kann aber auch für einfache Sprachtelefonie über Paketnetze eingesetzt werden. Der sog. SIP Proxy Server spielt dabei eine ähnliche Rolle wie der H.323 Gatekeeper.
-
Da Gatekeeper und SIP Proxy das Paketnetz des Anbieters von Multimediadiensten vor missbräuchlichem Zugriff schützen müssen, ist eine ihrer wesentlichen Aufgaben die sichere Authentisierung und Authorisierung einzelner Teilnehmer. Damit sollen Netzressourcen Unbefugten unzugänglich sein und Attacken auf das Netz abgewehrt werden.
-
Aus der Druckschrift
US 5,623,601 A ist ein als Firewall fungierender Gateway bekannt, mit dem ein privates Netzwerk vor unbefugten Zugriffen aus einem potentiell unsicheren, öffentlichen Netzwerk geschützt werden kann. Zu diesem Zweck werden die zwischen den Netzwerken auszutauschenden Datenpakete vor ihrer Weiterleitung mit der Hardware-Adresse des Gateways versehen, so dass die Datenpakete vom Gateway erkannt und anhand ihrer Quell- und Zieladressen überprüft werden können. Dieses Verfahren ist aber nicht ohne Weiteres auf Gatekeeper oder SIP-Proxies anwendbar, da diese – im Unterschied zu einem Gateway – i. A. nicht als Netzübertrittspunkt fungieren, über den sämtlicher netzübergreifender Datenverkehr geleitet wird.
-
Weitere Firewalls oder als solche fungierende Gateways sind aus den Patentschriften
US 5,950,195 und
US 5,826,014 bekannt. Auch diese Anordnungen sind jedoch nicht ohne Weiteres auf Gatekeeper oder SIP-Proxies anwendbar.
-
Sichere Authentisierung eines Teilnehmers kann gewährleistet werden, indem kryptografische Methoden zur Verschlüsselung von Teilnehmerpasswörtern oder ganzen Nachrichten Verwendung finden.
-
Für H.323 wurde bei der ITU hierzu eigens der Standard H.235 geschaffen, der einheitliche Verfahren zur Verschlüsselung von z. B. gemäß den Protokollen RAS (Registration, Admission and Status) oder H.225 ausgebildeten Signalisierungsnachrichten definiert. In dessen Version H.235v2, ”Security and Encryption for H-Series (H.323 and other H.245-based) Multimedia Terminals”, 2000, Annex D-F, sind z. B. folgende dezentrale Mechanismen zur Sicherung von Signalisierungen oder Mediendaten beschreiben:
- – Authentifikation & Integrität der Signalisierung mit symmetrischen Geheimnissen gemäß H.235, Annex D: Es wird vom Sender mit Hilfe eines Geheimnisses eine als kryptographischer Hashwert ausgebildete Signatur über die gesamte (Signalisierungs-)Nachricht gebildet und bei Übermittlung an die Nachricht angehängt. Vom Empfänger wird der Hashwert mit Hilfe des gleichen Geheimnisses dekodiert. Der Sender ist dann sicher identifiziert, wenn der Hashwert nach Dekodierung zur Nachricht passt. Die Geheimnisse sind als Passwörter ausgebildet und in einem zentralen Server hinterlegt. Sie werden in Sender und Empfänger out-of-band administriert. Eine Vertraulichkeit der Signalisierung durch Verschlüsselung ist nicht vorgesehen.
- – Authentifikation & Integrität der Signalisierung mit asymmetrischen Geheimnissen gemäß H.235, Annex E: Es wird vom Sender eine kryptographische, digitale Signatur über die gesamte (Signalisierungs-)Nachricht gebildet. Weiterhin kommen Zertifikate zum Einsatz, die in-band übermittelt oder out-of-band administriert werden. Eine Vertraulichkeit der Signalisierung durch Verschlüsselung ist nicht vorgesehen. Ein effizientes Key Recovery ist nicht möglich, da die privaten Schlüssel in den Endgeräten manuell administriert werden. Zudem ist Signieren eine zeitaufwendige Rechenoperation, die wegen der Echtzeit Anforderungen nicht zur Anwendung bei jeder Signalierungsnachricht geeignet ist.
- – Authentifikation & Integrität der Signalisierung mit hybriden Geheimnissen gemäß H.235, Annex F: Es wird eine Kombination der beiden obigen Methoden realisiert, wobei zusätzlich ein sog. Session-Key mittels mit Hilfe des Diffie-Hellman Verfahrens ausgetauscht wird. Dabei wird die erste Nachricht in jeder Richtung digital signiert, alle sonstigen Nachrichten werden symmetrisch integritätsgeschützt. Weiterhin kommen Zertifikate zum Einsatz, die in-band übermittelt oder out-of-band administriert werden. Eine Vertraulichkeit der Signalisierung durch Verschlüsselung ist nicht vorgesehen.
- – Vertraulichkeit der Mediendaten mit symmetrischen Geheimnissen gemäß H.235, Annex D nach dem Voice Encryption Profile (VEP): Dabei wird ein separater, gemeinsamer Schlüssel zum Verschlüsseln der Mediendaten mittels authentifiziertem Diffie-Hellman Verfahren zwischen den Endgeräten ausgehandelt. Eine Vertraulichkeit der Signalisierung durch Verschlüsselung ist nicht vorgesehen. Ein effizientes Key Recovery ist nicht möglich, da die Schlüssel nur in den Endgeräten vorliegen.
-
Für SIP stellt sich das gleiche Problem, auch hier müssen Nachrichten sicher verschlüsselt werden, damit nur befugte Teilnehmer die angebotenen Dienste des ISP (Internet Service Provider) nutzen können, und es für einen Teilnehmer nicht möglich ist, sich für jemand anderen auszugeben, was hinsichtlich der Vergebührung der Dienste problematisch wäre.
-
Während die verwendeten Verschlüsselungsmethoden und Algorithmen bereits sehr weit entwickelt sind, gibt es bisher kein schlüssiges Konzept, wie ein Gatekeeper oder SIP Proxy auf einfache Weise gezielt das Eindringen Unbefugter in das Netz eines ISP frühzeitig erkennen ('Intrusion Detection') und Eindringversuche abwehren kann ('Intrusion Rejection').
-
Bekannt ist, Eindringversuche (z. B. TOP SYN-Flooding auf Netzwerk- und Transportebene (IP, TOP, UDP) durch sog. Firewalls abzuwehren. Auf dieser Ebene ist jedoch keine gezielte Abwehr individualisierter Unbefugter möglich, sondern nur eine generelle Abwehr bestimmter Pakettypen unabhängig vom Anwender.
-
Auf Anwenderebene sind keine Mechanismen bekannt, mit denen das aufgezeigte Problem gelöst werden könnte. Weder der Standard H.323 noch der Standard SIP sind mit 'Intrusion Detection' und 'Intrusion Rejection' auf Anwenderprotokollebene befasst. Daher sind auch keine protokollspezifischen Abwehrmechanismen vorgesehen.
-
Es ist Aufgabe der Erfindung, einen Weg aufzuzeigen, wie ein Gatekeeper oder SIP Proxy auf einfache Weise gezielt das Eindringen Unbefugter in das Netz eines ISP frühzeitig erkennen und Eindringversuche abwehren kann.
-
Erfindungsgemäß soll in einem Gatekeeper oder SIP Proxy durch manuelle oder automatische Kennzeichnung einzelner Anwender gezielt ein unbefugtes Eindringen in das Netz eines ISP erkennt und Maßnahmen zur Abwehr solcher Eindringversuche ergreifen werden.
-
Innerhalb eines Gatekeepers oder SIP Proxy werden zwei unterschiedliche Listen von IP Adressen bzw. IP Adressmasken aufgebaut. Die erste Liste wird mit 'Intrusion Monitoring List (IML)' bezeichnet und enthält IP Adressen oder Adressmasken, die als potenzielle Urheber von Eindringversuchen angesehen werden und über einen bestimmten Zeitraum überwacht werden. Die zweite Liste wird 'Intrusion Controlling List (ICL)' genannt und enthält IP Adressen oder Adressmasken, deren Besitzer bereits als unbefugte Eindrinlinge erkannt wurden.
-
Eine automatische Intrusion Detection erfolgt z. B. durch Auswertung von Signalisierungsnachrichten.
-
Für eine automatische Intrusion Detection durch Auswertung von Signalisierungsnachrichten wird vorausgesetzt, dass diese in irgendeiner Form durch den Teilnehmer 'signiert' sind. Hiervon ist mit hoher Wahrscheinlichkeit davon auszugehen, dass die vorausgesetzte Signierung von Nachrichten in jedem Fall durch den ISP implementiert wird, da ansonsten kein sicherer Betrieb des Netzes gewährleistet und vom Dienstanbieter gegenüber seinen Kunden keine sichere Vergebührung garantiert werden kann. Im einfachsten Fall kann die Signatur aus einer Userid und einem Passwort bestehen, aber auch sog. Kryptotokens wie sie im Standard H.235 definiert werden oder digitale Signaturen basierend auf asymmetrischen Verschlüsselungsverfahren sind denkbar.
-
Natürlich kann z. B. der Netzbetreiber auch manuell IP Adressen und Adressmasken in der IML einrichten und mit einer oder mehreren der definierten Filterregeln verknüpfen. Auch kann z. B. der Betreiber manuell IP Adressen oder Adressmasken in die ICL eintragen, wenn er beispielsweise der Ansicht ist, dass von diesen Adressen ein Gefährdungspotenzial ausgeht.
-
Die manuellen Einträge werden besonders gekennzeichnet, wenn sie nur wieder manuell durch den Betreiber entfernt werden duerfen.
-
Bei der Auswertung der entsprechenden Filterregeln werden immer mehrere (mindestens aber zwei) unmittelbar aufeinander folgende Zeitintervalle berücksichtigt, um zu vermeiden, dass eine Adresse fortlaufend aus einer Liste gelöscht und gleich wieder dort eingetragen wird (Oszillationseffekt) wird.
-
Durch die Erfindung wird eine Weg zur Entdeckung und Abwehr von Eindringversuchen in ein Intranet eines VoIP Netzbetreibers auf Anwenderebene (H.323 bzw. SIP) vorgestellt. Damit wird eine Lücke für Attacken aus dem Internet geschlossen, da die bestehenden kommerzielle Intrusion Detection Verfahren z. Z. nur Eindringversuche auf Netzwerk- oder Tansportebene berücksichtigen. Die erfindungsgemäße Lösung ist sehr effizient anwendbar und erfordert nur wenige manuelle Eingriffe durch den Netzbetreiber. Durch die Verwendung individuell definierbarer Regeln, die festlegen, was als Eindringversuch zu werten ist, kann sehr schnell und ohne Verzögerung auf Attacken aus dem öffentlichen Internet reagiert werden. Durch die gleichzeitige Verwendung unterschiedlicher Regeln ist eine optimale Anpassung an verschiedene Situationen gewährleistet. Der aufgezeigte Weg ist überdies leicht auf jedes Anwenderprotokoll erweiterbar, das als Schnittstelle zwischen Internet und Intranet eingesetzt wird und eine Art Signatur oder Passwort durch den Anwender vorsieht. Durch Verwendung der ICL ist es möglich, frühzeitig während des Verbindungsaufbaus Teilnehmer, die bereits als Eindringlinge identifiziert wurden, zurückzuweisen, so dass ein aufwendiges Berechnen von digitalen Schlüsseln oder Signaturen pro empfangener Nachricht durch die Netzkomponenten damit für diese Teilnehmer entfällt.
-
Die Erfindung wird im folgenden anhand von Ausführungsbeispielen, die in den Figuren dargestellt sind, näher erläutert. Es zeigt hierbei:
-
1 eine Anordnung zur Durchführung des erfindungsgemäßen Verfahrens,
-
2 eine Tabelle mit einigen beispielhaften erfindungsgemäßen Filterregeln,
-
3 je eine beispielhaft gefüllte Intrusion Monitoring List IML und Intrusion Controlling List ICL
-
Die Anordnung nach 1 sieht zwei Endpunkten EP vor, die als befugt agierender Teilnehmer TLN und als unbefugter agierender Teilnehmer ITR ausgebildet sind sowie einem Gatekeeper GK, der eine Datenbasis DB mit Intrusion Monitoring List IML und Intrusion Controlling List ICL umfasst.
-
Die Filterregeln in der Tabelle nach 2 dienen zur Festlegung, wann eine IP Adresse oder Adressmaske von der Intrusion Monitoring List IML in die Intrusion Controlling List ICL übernommen wird, wobei eine oder mehrere Filterregeln Ri (i = 1, 2, 3) bei einer IP Adresse oder Adressmaske zur Anwendung kommen können und eine Standardregel RD für alle Einträge verwendet wird, die automatisch in die Intrusion Monitoring List IML aufgenommen werden, also nicht manuell eingerichtet wurden.
-
In 3 ist in der IML bei jeder IP Adresse mitangegeben, auf Grund welcher Filterregel R deren Eintragung erfolgt ist. Die IP Adresse 121.345.0.1 sei manuell eingetragen. Die IP Adresse 179.1.1.0 wird automatisch von der IML in die ICL verschoben. In der ICL ist die IP Adresse 185.10.2.1 manuell eingetragen.
-
Für eine Ausführungsbeispiel der Erfindung wird angenommen, dass der Gatekeeper GK oder SIP Proxy eine H.323 oder SIP Nachricht mit falscher Signatur (z. B. falschem Passwort oder falschem Kryptotoken) empfängt. Erfindungsgemäß wird diese Nachricht abgewiesen und die absendende IP Adresse in die Intrusion Monitoring List IML aufgenommen. Abhängig von vordefinierten Filterregeln R wird eine IP Adresse aus der Intrusion Monitoring List IML in die Intrusion Controlling List ICL übernommen. Diese Filterregeln R legen z. B. fest, in welchem Zeitintervall wie viele Nachrichten insgesamt und wie viele Nachrichten mit falscher Signatur von einer IP Adresse empfangen werden müssen, damit die IP Adresse aus der IML gelöscht und in die ICL übernommen wird. 2 zeigt einige Beispiele für Filterregeln R.
-
Bestehende Einträge werden aus der IML entfernt (d. h. es findet keine weitere Überwachung dieser IP Adressen mehr statt), wenn die Bedingungen, wie sie in den Filterregeln R festgelegt sind, nicht erfüllt werden, also innerhalb des vorgegebenen Zeitintervalls von der IP Adresse insgesamt nicht genügend Nachrichten oder nicht genügend Nachrichten mit falschem Passwort oder Kryptotoken empfangen wurden.
-
Falls eine H.323 Nachricht (RAS oder H.225 Call control Nachricht) bzw. eine SIP Nachricht vom Gatekeeper GK bzw. SIP Proxy empfangen wird und die sendende IP Adresse in der ICL enthalten ist, wird die Nachricht sofort ohne weitere Prüfungen abgewiesen. Einträge werden aus dieser Liste entweder manuell durch den Betreiber oder nach Ablauf eines festgelegten Zeitintervalls (z. B. nach 1 bis 2 Minuten) wieder entfernt. In letzterem Fall werden sie wieder in die IML aufgenommen und weiter überwacht.
-
Für ein weiter detailliertes Ausführungsbeispiel soll die Intrusion Standardregel nach 2 zur Anwendung kommen. Ein H.323 Teilnehmer ITR mit IP Adresse 179.1.1.0 gibt mit einer H.323 Nachricht ARQ (Admission Request) einem Gatekeeper GK bekannt, dass er eine neue Verbindung aufbauen möchte. Ist der Teilnehmer ITR beim Gatekeeper GK mit seiner Rufnummer oder H.323 Kennung bekannt, sendet aber ein falsches Passwort oder eine falsche digitale Signatur, wird der Rufaufbau durch den Gatekeeper GK abgewiesen und die IP Adresse des Teilnehmers in die Intrusion Monitoring List IML aufgenommen.
-
Falls nun der H.323 Teilnehmer innerhalb zweier aufeinanderfolgender Zeitintervalle von 10 min jeweils mindestens 40 Nachrichten sendet und davon mindestens 6 Nachrichten ein falsches Passwort oder eine falsche Signatur besitzen, wird dies als Eindringversuch gewertet, und die IP Adresse des Teilnehmers wird aus der Intrusion Monitoring List IML in die Intrusion Controlling List ICL übernommen. Dieser Vorgang ist schematisch in 3 aufgezeigt.
-
In den nächsten z. B. 2 Minuten wird nun jeder weitere Verbindungswunsch des Teilnehmers sofort abgewiesen.
-
Nach Ablauf dieser Zeit wird die IP Adresse 179.0.0.1 aus der Intrusion Controlling List ICL gelöscht und wieder in der Intrusion Monitoring List IML eingerichtet, um weiter überwacht zu werden.
-
Werden innerhalb zweier aufeinander folgender Zeitintervalle von 10 min weniger als 40 Nachrichten oder weniger als 6 Nachrichten mit falschem Passwort bzw. falscher Signatur empfangen, so wird die IP Adresse 179.0.0.1 aus der Intrusion Monitoring List IML entfernt und nicht weiter überwacht.
-
Der nächste Überwachungszyklus beginnt, wenn von der Adresse wieder eine Nachricht mit falschem Passwort oder falscher Signatur empfangen wird bzw. die Adresse manuell durch den Netzbetreiber in die Intrusion Monitoring List IML eingetragen wird.
-
Abschließend sei betont, dass die Beschreibung der für die Erfindung relevanten Komponenten grundsätzlich nicht einschränkend zu verstehen ist. Für einen einschlägigen Fachmann ist insbesondere offensichtlich, dass Begriffe wie 'Gatekeeper' oder 'SIP Proxy' funktional und nicht physikalisch zu verstehen sind. Somit können sie beispielsweise auch teilweise oder vollständig in Software und/oder über mehrere physikalische Einrichtungen verteilt realisiert werden.