Статья опубликована в рамках: CXLV Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 13 января 2025 г.)
Наука: Технические науки
Секция: Телекоммуникации
Скачать книгу(-и): Сборник статей конференции
дипломов
ПОВЫШЕНИЕ БЕЗОПАСНОСТИ ПРОТОКОЛА SIP В VOIP-СВЯЗИ
SECURITY ENHANCEMENT OF SIP PROTOCOL IN VOIP COMMUNICATION
Alexey Pereverzev
student, Academy of the Federal Security Service of Russia,
Russia, Oryol
Danila Tyazhlov
student, Academy of the Federal Security Service of Russia,
Russia, Oryol
Vladislav Vozhdaev
student, Academy of the Federal Security Service of Russia,
Russia, Oryol
Igor Nikolaev
student, Academy of the Federal Security Service of Russia,
Russia, Oryol
АННОТАЦИЯ
Вызовы в системах VoIP (Voice over Internet Protocol / система передачи голоса по интернет-протоколу) устанавливаются, поддерживаются и завершаются с помощью протокола SIP (Ssession Initiation Protocol / протокол инициации сеанса). Проблемой SIP является недостаток данных для проверки пользователей, что может привести к подделке идентификатора вызывающего абонента. Злоумышленники могут использовать поддельный CID (Caller ID / идентификатор вызывающего абонента) для обмана пользователей системы VoIP и получения от них конфиденциальной информации. Для борьбы с этими проблемами был разработан алгоритм, использующий MAC (Media Access Control address / адрес контроля доступа) для проверки CID и предупреждения вызываемого абонента о возможной подделке. Алгоритм был разработан и протестирован с использованием Mininet, OpenFlow с открытым исходным кодом на основе Python, POX, симулятор SIPp, программный телефон Linphone и бесплатная АТС (автоматическая телефонная станция). Все поддельные CID были обнаружены, и получатели были предупреждены. Полученные задержки установки сеанса находятся в пределах от 15,1 мс до 27,3 мс, что находится в пределах приемлемого диапазона качества обслуживания (QoS).
ABSTRACT
Calls in VoIP (Voice over Internet Protocol / Internet Protocol Voice transmission system) systems are established, maintained and terminated using the SIP protocol (Ssession Initiation Protocol / Session Initiation Protocol). The problem with SIP is the lack of data to verify users, which can lead to forgery of the caller ID. Attackers can use a fake CID (Caller ID /Caller ID) to deceive VoIP system users and obtain confidential information from them. To combat these problems, an algorithm has been developed that uses MAC (Media Access Control address) to check the CID and warn the called subscriber about a possible forgery. The algorithm was developed and tested using Mininet, Python-based OpenFlow, POX, SIPp simulator, Linphone softphone and a free PBX (automatic telephone exchange). All fake CIDs were detected and the recipients were alerted. The resulting session setup delays range from 15.1 ms to 27.3 ms, which is within the acceptable quality of service (QoS) range.
Ключевые слова: идентификация звонящего, MAC-адрес, задержка установки сеанса, SIP, VoIP-системы.
Keywords: caller identification, MAC address, Session setup delay, SIP, VoIP Systems.
Системы VoIP обеспечивают передачу голосовых и видеосигналов по интернет-протоколу (IP) [1, с. 46], они имеет низкую стоимость строительства инфраструктуры и низкие эксплуатационные расходы. Таким образом, с точки зрения платы за обслуживание и реализации инфраструктуры это позволяет сделать видео/аудио вызовы на большие расстояния дешевле традиционной связи [2, с. 62].
В системах VoIP наиболее часто используется протокол инициации сеанса (SIP) для установления, поддержания и завершения аудио/видео вызовов [3, с. 31]. Однако SIP уязвим, поскольку отправляет обычные текстовые сообщения. Злоумышленники могут получить доступ и изменить информацию, содержащуюся в заголовках SIP [4, с. 73]. Кроме того, отсутствуют данные, необходимые для проверки звонящего [5, с. 12]. В результате, используя информацию SIP, злоумышленник может подделать идентификатор вызывающего абонента (CID), оставшись незамеченным. Выявить поддельный CID сложно, поскольку не существовало стандартного уникального идентификатора, такого как MAC-адрес в сети LAN (Local Area Network / локальной сети), для идентификации CID.
MAC-адрес используется для передачи кадров с помощью коммутаторов второго уровня ЭМВОС в локальной сети (LAN). Он используется для идентификации устройств локальной сети, которые уникальны для каждого устройства [3, с. 59]. Кроме того, MAC-адрес позволяет пользователям получать доступ к интернет-сервисам в локальной сети после проверки [4, с. 92]. Однако MAC-адрес можно взломать, подделав его значение [5, с. 20], но его можно смягчить с помощью различных механизмов [6, с. 55]. Большинство современных решений сетевой безопасности реализуются с использованием SDN (Software Defined Networking / программно-конфигурируемых сетей) [3, с. 102].
Проведенный в работе анализ позволил выявить несколько решений для устранения проблемы подмены CID. Они делятся на две категории: комплексные решения и сетевые решения. Комплексные решения включают приложение вывода и проверки только вызываемого абонента (CEIVE) [1, с. 89], проверку идентификатора вызывающего абонента (CIV) [2, с. 121] и приложение CallerDec [2, с. 124]. Они используют метод запроса и ответа, при котором получатель отправляет проверочный вызов/сообщение обратно вызывающему абоненту и ожидает ответа от вызывающего абонента. Таким образом, связь между вызывающим и вызываемым абонентом приводит к использованию большего количества общих сетевых ресурсов, что приводит к атаке типа «отказ в обслуживании» [6, с. 43].
В категории сетевых решений, к которым относятся система iVisher [5, с. 17] и система аутентификации Network ASsisted CID (NASCENT), эти механизмы требуют обновления GateWay (GW), чтобы обеспечить связь между GW и IP Multimedia Subsystem (IMS) или частной телефонной станцией (PBX). Модернизированный шлюз GW должен быть программируемым для вставки кода, который может анализировать пакеты и возвращать новые вызовы/сообщения в УАТС/IMS.
В данной статье проанализировано исследование, которое было направлено на устранение недостатков ранее существовавших решений для атак с подменой CID. Исследование было направлено на повышение безопасности протокола SIP за счет добавления MAC-адреса для аутентификации вызывающих абонентов.
Перед совершением вызова предлагаемое решение использовало ARP (Address Resolution Protocol / протокол разрешения адресов) для сбора MAC- и IP-адресов пользователей локальной сети. Затем MAC и IP-адрес были сохранены в базе данных контроллера в локальной сети. В настоящее время эти данные хранятся в CSV (Comma-Separated Values / формат, предназначенный для представления табличных данных), чтобы их было легче извлечь с помощью кодов симулятора SIP. Во время установления вызова сохраненный MAC-адрес используется для сравнения с адресом, присутствующим в пакете (сообщение запроса INVITE), для проверки MAC-адреса в локальной сети в контроллере POX. Таким образом, внешние пользователи не могут использовать локальную сеть организации для совершения звонков.
Предлагаемое в анализируемой статье решение включает в себя алгоритм улучшения протокола SIP путем добавления MAC-адреса в сообщение запроса INVITE и REGISTER. Сообщения запроса REGISTER, используют MAC, имя CID и номер для вставки в базу данных asterisk. В настоящее время эти данные вставляются вручную.
Сообщение запроса INVITE извлекает MAC-адрес после проверки IP-адресов на контроллере. Затем встроенный MAC-адрес, расширение и имя CID проверяются на сервере asterisk в диалплане.
В предлагаемом решении используются сообщения SIP, которые используются для начала вызовов, чтобы минимизировать задержку и использовать больше общих сетевых ресурсов. Результаты собираются с помощью файлов журнала симулятора SIPp с помощью трассировки_error и трассировки_msg. Кроме того, экраны Linphone и Wireshark, представленные на рисунках 1 и 2 соответственно, использовались для сбора данных, которые обнаруживают и предупреждают вызываемого абонента о подмене CID.
Рисунок 1. Интерфейс программы Linphone
Рисунок 2. Интерфейс программы Wireshark
При оценке размера пакетов в анализируемом исследовании рассматривался размер пакетов INVITE до и после включения MAC-адресов. На рисунке 3 показано, что размер сообщения запроса INVITE составляет 493 байта, а на рисунке 4 - 750 байт, поскольку оно содержит информацию об авторизации.
Рисунок 3. Размер сообщения запроса INVITE без MAC-адреса и информации об авторизации
Рисунок 4. Размер сообщения запроса INVITE без MAC-адреса, но с информацией об авторизации
Кроме того, на рисунке 5 показано, что размер сообщения запроса INVITE составляет 509 байт с MAC-адресом, а на рисунке 6 показан размер 769 байт с MAC-адресом и информацией аутентификации. Разница в размерах сообщений запроса INVITE на рисунках 3 и 5 составляет 16 байт, а на рисунках 4 и 6 разница составляет 19 байт, что меньше, чем предыдущие решения, которые включали совершенно новый вызов/сообщение для проверки CID.
Рисунок 5. Размер сообщения запроса INVITE с MAC-адресом, но без информации об авторизации
Рисунок 6. Размер сообщения запроса INVITE с MAC-адресом и информацией об авторизации
Наконец, используя таблицы Wireshark, авторы анализируемого исследования рассчитали SSD (session setup delay / задержка установки сеанса) до и после использования алгоритма. В таблице 1 показаны результаты, полученные из Wireshark, которые использовались для расчета SSD в зависимости от скорости вызовов в секунду. Время SSD до внедрения алгоритма колебалось от 15,8 мс до 27,2 мс после отправки 10 SIP-сообщений с запросом INVITE с разной скоростью вызова с использованием симулятора SIPp. Перед использованием алгоритма все пакеты были перехвачены с правильным именем CID.
Таблица 1.
Задержка установки сеанса перед использованием алгоритма
|
Время отправки INVITE |
ПЕРЕД ВВОДОМ MAC-АДРЕСА |
|||
|
Время получения 180 |
SSD |
CPS |
SSD (ms) |
|
|
09:39:46.29653 |
09:39:46.31433 |
00:00:00:017799 |
10 |
17.799 |
|
09:39:58.90665 |
09:39:58.92306 |
00:00:00:016413 |
20 |
16.413 |
|
09:40:08.03841 |
09:40:08.05597 |
00:00:00:017551 |
30 |
17.551 |
|
09:40:17.25407 |
09:40:17.27360 |
00:00:00:019533 |
40 |
19.533 |
|
09:40:26.41429 |
09:40:26.43614 |
00:00:00:021850 |
50 |
21.85 |
|
09:40:35.64173 |
09:40:35.66017 |
00:00:00:018437 |
60 |
18.437 |
|
09:40:44.91292 |
09:40:44.92927 |
00:00:00:016357 |
70 |
16.357 |
|
09:40:55.55735 |
09:40:55.57318 |
00:00:00:015827 |
80 |
15.827 |
|
09:41:05.11139 |
09:41:05.12888 |
00:00:00:017486 |
90 |
17.486 |
|
09:41:15.86512 |
09:41:15.89252 |
00:00:00:027322 |
100 |
27.322 |
В таблице 2 показаны результаты, полученные из Wireshark, вставленные в электронную таблицу для расчета SSD. На АТС было отправлено десять SIP-сообщений INVITE с разными скоростями вызова. Результаты были собраны после внедрения алгоритма в контроллер для захвата IP- и MAC-адресов. Также в диалплане FreePBX был реализован алгоритм проверки CID. SSD варьируется от 15,1 мс до 18,15 мс. Выполненные вызовы имеют либо действительный CID, либо недействительный CID.
Таблица 2.
Задержка установки сеанса после использования алгоритма.
|
Время отправки INVITE |
ПОСЛЕ ВВОДА MAC-АДРЕСА |
|||
|
Время получения 180 |
SSD |
CPS |
SSD (ms) |
|
|
11:24:38.51721 |
11:24:38.53536 |
00:00:00:018142 |
10 |
18.142 |
|
11:24:55.99393 |
11:24:56.01280 |
00:00:00:018250 |
20 |
18.250 |
|
11:25:10.80619 |
11:25:10.82434 |
00:00:00:018149 |
30 |
18.149 |
|
11:25:19.54987 |
11:25:19.56729 |
00:00:00:017424 |
40 |
17.424 |
|
11:25:24.22898 |
11:25:24.24702 |
00:00:00:018035 |
50 |
18.035 |
|
11:25:46.88591 |
11:25:46.90313 |
00:00:00:017223 |
60 |
17.223 |
|
11:25:54.39409 |
11:25:54.41149 |
00:00:00:017397 |
70 |
17.397 |
|
11:26:08.82534 |
11:26:08.84435 |
00:00:00:019007 |
80 |
19.007 |
|
11:26:18.53374 |
11:26:18.54884 |
00:00:00:015001 |
90 |
15.001 |
|
11:26:26.73000 |
11:26:26.74781 |
00:00:00:017812 |
100 |
17.812 |
Задержка установления сеанса варьируется от 15,1 мс до 27,3 мс. Эти значения собираются независимо от того, есть в системе алгоритм или нет. Средний результат SSD составляет около 18 мс. Такое время задержки оценивается как превосходный уровень качества обслуживания (QoS) для Интернет-связи [1, с. 142] и находится в приемлемом диапазоне [2, с. 90].
Таким образом, предлагаемое авторами работы [8, с. 9] решение может проверить имя CID с минимальным общим сетевым ресурсом. Уменьшая взаимодействие с дополнительными новыми вызовами или сообщениями, предлагаемое решение использует исходные сообщения SIP для сокращения задержек при установке вызова, вызванных процессами проверки. Предлагаемое решение можно легко развернуть, поскольку для него требуется только программное обеспечение, без дополнительных устройств или обновлений существующих устройств.
Предлагаемое решение повысило безопасность протокола SIP за счет внедрения MAC-адреса в заголовок SIP. Его можно использовать для различных целей в VoIP-связи, включая проверку CID. Другие решения используют поля, которые не являются уникальными, что приводит к генерации новых вызовов или сообщений или дает неожиданные результаты [4, с. 78].
Cписок литературы:
- Мустафа Х., Сюй У., Садеги А., Шульц С. Комплексное обнаружение атак с подменой идентификатора вызывающего абонента, IEEE Trans.: 2018. — 436 с.
- Ли Дж., Фариа Ф., Чен Дж., Лян Д. Механизм аутентификации идентификатора вызывающего абонента: 2017. — 753 с.
- Алотайби Б., Эллейти К., Новый метод обнаружения подмены MAC-адресов: 2016. —281 с.
- Сонг Дж., Ким Х., Гелиас А. Обнаружение подмены идентификатора вызывающего абонента в режиме реального времени, ETRIJ: 2014. — 875 с.
- Махса Х., Ягмаи М., Сено С., Рошхари Х., Асади М. Обнаружение и предотвращение DoS‐атак на основе аномалий в сетях SIP путем моделирования обычного трафика SIP: 2018. — 26 с.
- Гольдштейн Б.С., Гойхман В.Ю., Онучина Д.Н. Протокол SIP: учебное пособие. ГОУВПО СПбГУТ. СПб, 2009. — 69 с.
- Гольдштейн Б.С., Зарубин А.А., Саморезов В.В. Протокол SIP: справочник, 2005. — 83 с.
- Хусейн Суди Лема1, Фатума Симба, Джозеф Космас Муси. Повышение безопасности протокола SIP в VoIP-связи.: 2023. — 22 с.
дипломов
Оставить комментарий