Bösartigen Traffic in VoIP-Netzwerken mittels Wireshark erkennen

Mit dem Sniffer Wireshark lässt sich SIP-Flooding in Netzwerken mit aktiviertem VoIP aufspüren. Wir zeigen Ihnen wie.

Täglich prasseln viele Pakete, Protokolle und Einbruchs-Versuche auf ein Unternehmens-Netzwerk ein. Um diese auseinander...

halten zu können, wurden bereits unzählige Geräte und Applikationen entwickelt. Mittlerweile setzen viele Firmen auf sogenannte Unified-Communications-Lösungen. Damit lassen sich unter anderem Netzwerk-Ressourcen konsolidieren. Anbieter von Security-Appliances haben allerdings Probleme, bösartigen Traffic zu erkennen und kommen häufig den aktuellsten Malware-Entwicklungen nicht hinterher. Wie soll ein Administrator in so einem Fall das Netzwerk entsprechend gegen Angriffe absichern? Neben typischen Lösungen wie IDS/IPS, Next-Generation Firewalls und Endpunkt-Security, gibt es für Administratoren noch eine nennenswerte Alternative: Wireshark.

IP-Sicherheitslücken bei VoIP

Voice over Internet Protocol (VoIP) ist hierfür die existierende IP-Infrastruktur. Deswegen beeinflussen bestehende IP-Sicherheitslücken auch die VoIP-Kommunikation. Trojaner, DDoS-Angriffe und unautorisiertes sammeln sensibler Daten sind für Netzwerke mit aktiviertem VoIP ein reales Problem. Eine bösartige Angriffsart verdient dabei besondere Aufmerksamkeit: SIP-Flooding.

SIP (Session Initiation Protocol) ist der De-Facto-Standard für die Applikationsschicht innerhalb von VoIP-Netzwerken. Nach RFC 3261 definiert, enthalten SIP-Anfragen folgende Objekte: REGISTER, INVITE, ACK, CANCEL, BYE und OPTIONS. Wir widmen uns in diesem Beitrag insbesondere der INVITE-Anfrage.

SIP wurde wegen der angewandten Methodik, Kommunikations-Sitzungen zu etablieren, oftmals als HTTP-ähnlich bezeichnet. Hinsichtlich SIP kommt der HTTP-GET-Anfrage SIP INVITE am nächsten. Eine SIP INVITE-Anfrage ist der SIP-Teil, der eine Sitzung zwischen zwei User-Agents aufbaut. Genau bei diesem Vorgang findet sich eine schwere DoS-Lücke (Denial of Service). Sehr ähnlich wie HTTP einen Drei-Wege-Handshake via TCP eine logische Verbindung mit den entsprechenden Hosts aufbaut, bedient sich SIP einer gleichartigen Technik. Sie besteht aus Komponenten der Formen INVITE und 200 OK. Wird eine unangemessene Anzahl an nicht kompletten Handshakes erkannt, könnte das ein Anzeichen auf ein derzeit stattfindendes INVITE-Flooding sein.

Wie erkennt man allerdings solchen bösartigen Traffic? Es gibt einige Security-Appliances,  die anhand bestimmter Algorithmen die eben erwähnten Unregelmäßigkeiten aufspüren. Dazu gehören Firewalls und IDS (Intrusion Detection Systems). Nun möchte ein Administrator allerdings genau wissen, wie effizient die entsprechende Security-Appliance arbeitet. In diesem Fall bewirken die richtigen Wireshark-Filter Wunder. Somit lässt sich die Qualität der Appliance abschätzen.

Wireshark-Filter helfen bösartigen Traffic mit aktiviertem VoIP aufzudecken

Zunächst einmal müssen Sie Wireshark auf einem Gerät installieren, das SIP-Anrufe empfangen kann. Es muss sich darüber hinaus natürlich im selben Netzwerk wie der SIP-Server befinden. Öffnen Sie Wireshark und danach die für die VoIP-Kommunikation zuständige Schnittstelle. Dies geschieht sehr häufig über eth0, was in der Regel Ihrer Ethernet-Netzwerkkarte entspricht. Danach starten Sie ein Packet Capture mit Wireshark. Im Anschluss wird der Netzwerk-Traffic angezeigt.

An dieser Stelle können Sie damit beginnen, ein SIP-Endgerät mit einem INVITE-Flood-Tool zu befeuern. Eine kostenlose Version ist in den meisten Versionen von Kali Linux (früher: BackTrack Linux) enthalten. Das Tool nennt sich inviteflood. Nehmen wir an, die SIP-Adresse eines Endgerätes ist endanwender@192.168.1.10. Fluten Sie diese Adresse mit INVITE-Traffic von ungefähr 200 Anfragen pro Sekunden. Die Wireshark-Applikation sollte nun eine Vielzahl an Paketen mit REGISTER, INVITE und OK empfangen. Geben Sie anschließend den folgenden Filter in das entsprechende Wireshark-Feld ein:

sip.Method=="INVITE" || sip.Status-Line=="SIP/2.0 200 OK" || sip.Method=="ACK"

Damit sehen Sie den kompletten Traffic, der REGISTER, INVITE, OK und ACKNOWLEDGE (ACK) enthält. Wurde der INVITE-Flood-Angriff richtig konfiguriert, sollten Sie keine ACK-Pakete sehen. Aber warum ist das so?

Bei einem herkömmlichen INVITE-Flood-Angriff sendet ein Angreifer eine  INVITE-Anfrage an eine spezielle SIP-Adresse. Sobald das SIP-Endgerät mit einer  200-OK-Nachricht antwortet, kommt es nicht zum dritten Teil des Drei-Wege-Handshakes. Das wäre das  ACK-Paket. Allerdings weiß das Opfer nicht, dass das erwartete ACK-Paket niemals ankommen wird. Somit reserviert die entsprechende Applikation oder das Gerät Ressourcen und seine Warteschlange füllt sich weiter mit INVITE-Paketen. Ab einem gewissen Grenzwert füllt sich der Puffer des Geräts und das Endgerät stürzt ab. In einigen Fällen setzt es sich auch selbstständig zurück (Factory Reset).

Wireshark kann dabei helfen, das Verhältnis von INVITE/OK- zu ACK-Paketen unter die Lupe zu nehmen. Bei Verdacht, dass das Verhältnis aus dem Rahmen läuft, lassen sich unter Umständen weitere Security-Maßnahmen einleiten. Zum Beispiel könnten Netzwerk-Administratoren bestimmte IP-Adressen oder Domänen blockieren, die eine unnatürliche Anzahl an unbeantworteten OK-Nachrichten generieren. Weiterhin lässt sich mithilfe von Wireshark sicherstellen, dass die vorhandenen Security-Appliances tatsächlich bösartigen Netzwerk-Traffic effizient ausfiltern.

In einer vereinten Kommunikations-Umgebung vermischen sich Sprach- und Datei-Kommunikation am laufenden Band. Somit ist es hilfreich zu wissen, dass sich eine traditionelle Daten-Applikation auch für das Monitoring von Kommunikation per VoIP einsetzen lässt.

Artikel wurde zuletzt im Oktober 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close