A testbed based analysis of SIP authentication

Abstract

İnternet ve intranetlerin yaygınlaşarak büyümesi IP tabanlı telefon kullanımını daha çok gündeme getirmeye başlamıştır. IP tabanlı telefon sistemleri tamamen merkeze bağlı çalışan geleneksel telefon sistemlerine şimdiden ciddi rakip olmuş durumdadır. Düşük maliyet ve ses paketleri üzerindeki kontrol imkanları IP tabanlı sistemlerin başlıca itici güçleridir. İnternetin hızlı bir şekilde büyümesi daha çok kişiye ulaşım imkanı vermekte ve haberleşme maliyetleri düşürmektedir. Ses paketleri üzerindeki kontrol imkanları birçok yenilik getiren gelişmeyi tetiklemektedir. Mesela çağrı merkezi hizmetleri bu yeni teknolojiyi kullanan ürünleri kapsamına almaya başlamıştır. Bu gelişmeler tabi ki çözülmesi gereken birtakım problemleri de beraberinde getirmiştir. IP tabanlı ses iletişiminin yumuşak karnı diğer internet uygulamalarında da görülen iletişim kalitesi düşüklüğü ve güvenlik açıklarıdır.Geleneksel telefon sistemleri ile kıyaslandığında IP tababanlı telefon sistemleri tamamen açık sistemler olarak nitelendirilebilir. Internet'e erişebilen birisi IP tabanlı telefon sistemimize erişebilir. Bu nedenle internete problem olarak görülen güvenlik açıkları doğrudan sistemimizin problemleri haline gelir. Sistemin hizmet dışı kalmasına sebep olacak Distributed Denial of Service (DDoS) saldırıları, konuşmaların izinsiz dinlenilmesi, verilen telefon servisinin fiyatlandırılmasına yönelik saldırılar ve virüs saldırıları sayılabilecek başlıca saldırılardır. Güvenli sayılabilecek otantikasyon yöntemleri ve ses paketlerinin şifrelenmesi bu saldırılardan DDoS tipi saldırıları durduramasa da diğerlerine karşı oldukca etkilidir.IP telefonu üzerinden görüşmek isteyen tarafların arasında uygun bir oturum oluşturmaya yarayan protokoler önemli rol oynamaktadır. Bu protokolerden birisi gittikçe yaygınlaşan SIP (Session Initation Protocol) protokolüdür. Taraflardan biri diğerine ulaşmak için bir cağrı yaptığında bu cağrıya servis verebilecek bir sunucuya yönlendirilir. Bu sunucu ya cevap verir ya da çağrıyı başka bir sunucuya yönlendirir. SIP protokolünün yaygınlaşmasında basitliği ve esnekliği önemli rol oynamıştır.Bugün çevremizde açık kaynaklı kod (Open Source) tabanlı SIP uygulamaları bulmak zor değildir. Asterisk, sipX, OpenSER, SipExchange, reSIProcate bunlardan iyi bilinenlerden birkaçıdır. Fakat bunların hiçbiri güvenlik açıklarını tam olarak örtmüş ve kaynakları çok etkin olarak kullanan yazılımlar değildir. SIP protokolünde kullanıcıların tanınması (authentication) ve mesajların etkin bir şekilde şifrelenmesi üzerinde çalışılan konulardır. SIP protokolü soket katmanı üzerinde yazılan ve SIP katmanı (SIP stack) olarak adlandırılan bir katman vasıtası ile çalıştırılır. Bu katman mesaj oluşturma ve gelen mesajları çözümleme (parsing) işlemlerini en etkili bir şekilde yapmak zorundadır. Buradan SIP protokulü ve onun parçası olan güvenlik rutinleri çalıştırılır.Tez çalışmamda, hedeflerden biri Asterisk PBX, SipX, OpenSER ve SipExchange gibi en sık kullanılan açık kaynak kodlu SIP Vekil Sunucularının kimlik tanıma performanslarını analiz etmektir. Bu sunucuların herbirinin diğerlerine göre genel performans durumlarının kıyaslanmaı da tez çalışmamda ele alınan bir diğer konudur. Çalışmamızda SIP vekil sunucularının performanslarını ölçmede anlamlı bir ölçme metodolojisi geliştirilmiş ve uygulanmıştır. Her ne kadar bazı ücretsiz yazılımlar SIP vekil sunucuların performanslarını ölçmede kullanılabilse de, bizim metodolojimize uygun bir test yapabilmemiz için bir test yazılımı geliştirmemiz gerekmiştir.

Due to the exponential growth of the Internet and Intranets, Voice over IP (VoIP) systems have become very popular. VOIP is already a strong competitor to the century-old public switched telephone network (PSTN). The lower costs and the control it offers over the voice packets are the strongest driving forces of VoIP systems. Being able to reach longer distances due to the expanding Internet the international call costs continue to fall. The flexibility in handling voice through network packets makes innovative ideas surface in areas like call center products. With its promise of innovation and growth, VoIP also brings tough challenges. Like other internet based applications, VoIP suffers from poor data transmission rates and security vulnerabilities.Compared to traditional PSTN, VoIP is based on an open environment. VoIP servers are reachable through the Internet. This makes it possible to anyone who has a connection to the Internet to reach our VoIP server. Distributed Denial of Service (DDoS) attacks, eavesdropping, toll fraud, spam and viruses are the most significant threats VoIP services face. Deploying cryptographically strong authentication methods and encrypting the voice stream can prevent most of these attacks except DDoS attacks.Signaling protocols which arrange sessions between communicating parties are quite an important part in VoIP technology. One such protocol that has become popular is the Session Initiation Protocol (SIP). When one party wants to open a session with another one, it send a message to the SIP server which it has registered to. This server either answers or forwards the message to an appropriate SIP proxy server. The SIP protocol is light and flexible. This is one of the reasons for its popularity.Nowadays, it is not difficult to find Open Source SIP applications. Asterisk, sipX, OpenSER, SipExchange are some of the well known SIP implementations. The problem is that none of them has repaired their security vulnerabilities and is code wise very efficient. SIP authentication and encryption support are topics people have been working on for some time now. Parsing and encoding SIP messages is another topic that needs to be handled with security and an optimized implementation in mind.In my thesis, one of the goals is to analyze the authentication performances of the most recently used open-source SIP Proxy Servers such as Asterisk PBX, SipX, OpenSER, and SipExchange. Comparing the general performances of these proxy servers is another topic we handled within this thesis. We developed a meaningful measurement methodology for the authentication method used in most SIP proxies. Although there are some free test-tools which can be used to measure the SIP performances of proxy servers, it was necessary to implement a test tool which suitable to our measurement methodology.