[Back]

M. Hirschbichler:
"Denial-of-Service and Unsolicited Communcation Protection in Global Voice-over-IP Infrastructures";
Supervisor, Reviewer: H.R. van As, P. Schartner; E389, 2013; oral examination: 11-28-2013.

The switch of future telecommunication infrastructures to packet switched communication using the Internet Protocol (IP) raises new issues and challenges regarding security. Telecom operators will likely face challenges similar to the ones encountered in the last years by operators of established IP services like World Wide Web (WWW) or Email.
The first part of this thesis presents attack scenarios using theoretical discussions and practical examples. These examples demonstrate, how successful DoS attacks against VoIP-infrastructures can be done with little e ffort.
The second part of this thesis proposes detection mechanisms for service disruptions using active and passive monitoring. State of the art standards by Internet Engineering Task Force (IETF) and 3rd Generation Partnership Project (3GPP) as well as own extensions for precise congestion rating are presented in this section.
The last section of this thesis presents a novel perimeter protection node (Session Border Controller - Advanced (SBC-A)) and validates the effectivity of this infrastructure using reference measurements from operative public IP networks. This infrastructure applies various techniques in fifteen consecutive stages to block malicious messages and to flag problematic ones. The latter are forwarded for further processing to the central VoIP infrastructure. In case of an unavoidable congestion, the markings can be used to drop requests
with a high marking earlier than important messages. The e ectiveness of this approach is validated using real traffi c from A1 Telekom Austria and the VoIP-provider iptel.org.

Die Umstellung zukünftiger Telekommunikationsnetze auf Paketvermittlung unter der Verwendung des Internet Protokolls (IP) wirft viele Fragen und Probleme bezüglich Störungssicherheit auf. So laufen die Betreiber Gefahr, ähnliche Herausforderungen lösen zu müssen, wie in den vergangenen Jahren die Betreiber etablierter IP Dienstleistungen wie World Wide Web (WWW) oder Email.
In dieser Arbeit wird speziell auf Probleme durch unerwünschte Kommunikation, Überlastung und Angriff e eingegangen.
Die vorliegende Arbeit stellt Herausforderungen und Gefährdungen bei
Voice-over-IP (VoIP) Systemen vor und behandelt insbesondere Denial-of-Service (DoS) Angri e und das massive Auftreten von Werbenachrichten ähnlich dem bereits bekannten Email-SPAM.
Im ersten Teil der Arbeit werden Angri sszenarien anhand von theoretischen Betrachtungen sowie durch konkrete Beispiele vorgestellt. Die angewandten Beispiele zeigen, wie mit geringem Aufwand erfolgreich DoS-Angriff e gegen VoIP-Systeme gefahren werden können.
Aufbauend auf die Erkenntnisse des ersten Teils beschreibt der zweite Teil die Detektion von Störungen unter der Nutzung aktiver und passiver Überwachung. Diese Lösungsansätze der Normierungsorganisationen Internet Engineering Task Force (IETF) und 3rd Generation Partnership Project (3GPP) werden durch eigene Entwicklungen, durch Anpassung bereits etablierter Technologien und Schlussfolgerungen aus Messungen zu einer umfangreichen Schutzinfrastruktur zusammengesetzt.
Im letzten Teil der Arbeit wird Wirksamkeit dieser Schutzinfrastruktur
durch Referenzmessungen in realen, operativen Netzwerken validiert und deren Wirksamkeit nachgewiesen. Dieses im Zuge dieser Arbeit entwickelte Analysesystem wendet in fünfzehn Schritten verschiedene Methoden an, um fehlerhafte Nachrichten zu blockieren und potentiell gefährdende Nachrichten zu markieren. Letztere werden in weiterer Folge priorisiert an die zentrale Infrastruktur zur weiteren Verarbeitung weitergeleitet. Im Falle einer unvermeidbaren Überlast sind die überlasteten Systeme anhand der Markierung in der Lage, problematische oder für den Betreiber weniger wichtige Nachrichten zu
verwerfen, bevor sich die Überlast auf die wesentlichen Aufgaben der Systeme auswirken. Zur Verikation dieses Konzeptes werden Verkehrsdaten der A1 Telekom Austria sowie des VoIP-Providers iptel.org durch dieses mehrstufige Analysesystem ausgewertet und die Wirksamkeit des Konzeptes bewiesen.

Voice-over-IP, Spam, Unsolicited Communication, Denial of Service

http://publik.tuwien.ac.at/files/PubDat_225459.pdf