VoIP Sicherheit -- Handout zum Referat

Einleitung

• über 100 aktuelle Meldungen zum Thema VoIP Sicherheit news.google.de
• Studie vom Bundesamt für Sicherheit in der Informationstechnik

 

Definition

Sicherheit

Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird. Da es sich beim VoIP um Informationen- / Datenaustausch handelt, wird die Definition nach Informationssicherheit / Datensicherheit festgelegt.

Vertraulichkeit

Schutz vor unbefugter Freigabe der Information. Unter Vertraulichkeit versteht man, dass eine Information nur für Befugte zugänglich ist, Unbefugte dagegen keinen Zugang zu der Information haben. So kann beispielsweise nur der Sender und Empfänger eine Nachricht im Klartext lesen.

Integrität

Schutz vor unbefugter Veränderung von Informationen. Auf dem Gebiet der Datensicherheit wird unter Integrität die Eigenschaft, nicht verändert worden zu sein, verstanden.

Verfügbarkeit

Schutz vor unbefugter Vorenthaltung von Informationen. Die Verfügbarkeit eines technischen Systems ist die Wahrscheinlichkeit oder das Maß, dass das System bestimmte Anforderungen zu bzw. innerhalb eines vereinbarten Zeitrahmens erfüllt, und ist somit eine Eigenschaft des Systems. Sie ist ein Qualitätskriterium/Kennzahl eines Systems.

Verfügbarkeit = (Gesamtzeit - Gesamtausfallzeit) / Gesamtzeit

Verbindlichkeit

Bei Datensicherheit ist Verbindlichkeit glecih mit Authentizität zu setzen. Darunter wird die Echtheit der Nachricht verstanden.

VoIP

• SIP
  Setzt sich zur Zeit als Standard durch
• H.323
  Pionier der VoiP - Geschichte
• IAX
  Binäres Protokoll des OpenSource-Projektes Asterisk *
• Skype
  Stark verbreitetes, proprietäres Programm / Protokoll für Telefonate über IP

 

Funktionsweise

SIP

Session_Initiation_Protocol ermöglicht nur die Kommunikation zwischen beiden Partner. Aushandlung der Codecs sowie die eigentliche Datenübertragung erfolgt über weiter Protokolle.
SIP basiert unter anderem auf dem HTTP-Protokoll – es verwendet eine ähnliche Header-Struktur und ist ebenfalls ein textbasiertes Protokoll. Zur Schreibweise der Teilnehmeradressen wird das von E-Mail bekannte URI-Format benutzt: "sip:user@domain". Ein weiterer Adressmechanismus ist die tel URI die in RFC 2806 beschrieben ist. Bsp: "tel:+49-69-1234567". Diese kann bei Bedarf in eine SIP URI gewandelt werden Bsp: "sip:+49-69-1234567@domain".

• Protokolle
  • SDP
    Transportprotokoll und Codecs werden über Session_Description_Protocol ausgehandelt
  • (S)RTP
    Real-Time_Transport_Protocol versendet die von Codec kodierten und komprimierten Daten über UDP

 

• Begriffe
  • UA
    User Agent ist das eigentliche Endsystem. UA kann sowohl Server als auch Client sein, Initiator eines Gespräches ist der Server und der Gerufene der Client.
  • Proxy-Server
    Vermittler der Nachrichten
    Signalisierungsnachrichten können können verändert bzw. weitergeleitet werden
  • Registrar
    Authentifizierung der Benutzer
    lokalisierung der IP-Adresse von UA
  • Location Server
    Speicherung der Daten nach der Anmeldung

 

H.323

H.323 Standard wurde von der ITU-T entwickelt und beschreibt die Übertragung von Echtzeitverbindungen (Video, Audio, Daten). Dieser Standard ist eine Zusammenfassung verschiedener weiterer Protokolle für dei jeweilige Verbindung, die sich in Verbindungsaufbau, Verbindungsabbau und Datenphase unterteillt.

• Signalisierungsprotokolle
  • H.225 (basierend auf dem D-Kanal Protokoll Q.931 )
  • H.245

 

• Übertratungsprotokolle
  • RTP Real-Time_Transport_Protocol
    • Audi + Video Codecs (G.711, G.722, H.261, H.263 ...)
  • RTCP Real-Time_Control_Protocol
  • H.450

 

• Begriffe
  • Gatekeeper
    Registrierung und Verwaltung von MCUs, Terminals und Gateways
    Adressübersetzung
    Authorisierung
  • Gateway
    Anpassung der Nutzdaten beim Übergang in ein anderes Netz
    Tretten als Endpunkte der Kommunikation für Partnerinstanzen
  • Terminals
    Endpunkte der H.323 Kommunikation
  • MCU
    Multipoint Control Unit (Zentrale Konferenz-Steuerungsinstanz) wird bei Konferenzen benötigt.

 

IAX

InterAsterisk eXchange ist ein binäres Protokoll das von der OpenSource-Telefonanlage Asterisk benutzt wird. IAX kann sowohl für die Verbindung zweier Server als auch für Kommunikation mit dem Endkunden eingesetzt werden.

• Binär
  wenig Overhead, mit geeignetem Codec bei Modem-Verbindungen einsetzbar
• Signalisierungen und Nutzdaten werden über einem Port übertragen

 

Skype

Eine propritäre VoIP Software, die Anfangs nur Telefonate von PC zu PC ermöglichte. Heute jedoch durch kostenpflichtige Dienste auch Gespräche in das normale Telefonnetz erlaubt.

• stark verbreitet
• Bedienerfreundlich

 

Mögliche Angriffe

Betrachtung nur der unmittelbahren Bedrohungen, die daraus evtl. resultierenden mittelbaren Bedrohungen werden nicht Betrachtet. Wie der Name schon sagt, verwendet VoIP als kleinsten gemeinsamen Nenner IP-Protokoll-Familie für das routen der Pakete auf der 3-OSI Schicht. Demnach werden alle Stärken und Schwächen von IP übernommen.

Klassifizierung

• nach Ebenen des OSI-Referenzmodell
• nach Eigenschaften des Eingreifers (inside, outside, aktiv, passiv)
• nach Angriffspunkt (Endgerät, zentrale Systemkomponenten oder Netzwerkverbindungen)

 

Skype

• P2P Transport stellt ein Risiko dar
• erste Skype-Viren in Umlauf
• Sicherheitslücken
• Eurospace - Consulting rät zu Standards

Gegenmaßnahmen

• Umstellung auf standardisierte Protokolle
• Funktionsweise der Protokolle bekannt
• Daten werden nicht über andere „Client“-Rechner vermittelt
• Einfluss auf den Aufbau der VoIP Infrastruktur

 

SIP

• Signalisierung und Nutzdatenstream sind nicht an einander gekoppelt -> modifizierte Clients können Abrechnungen umgehen.

Gegenmaßnahmen

• Nur Clients mit Zertifikat verwenden
• Gespräche unter IP – Endstellen sind kostenlos
• Verbindungen mit herkömmlichen VSt. sind nicht betroffen da der Datenstrom von der VSt. unterbrochen wird
• Umstellung auf IAX

 

DNS Spoofing / Pharming

• Veränderung der Daten beim DNS
• SRV Einträge besitzen zusätzliche Infos zur IP
• Verbindungsaufbau mit einem falschem Server
• Nameserver werden mit nicht gefragte Antworten gefüttert

Gegenmaßnahmen

• Verschiedene Anfragen starten und vergleichen
• Mehrere DNS – Server sollten die gleiche IP Liefern
• Zertifizierte Verbindungen bevorzugen (Bsp.: https)

 

ARP Spoofing

• Kommunikation im LAN abhören
• Falsche Info über IP <-> MAC Auflösung
• Man-In-The-Middle-Angriff
• A verschickt Nachrichten über X ab B

Gegenmaßnahmen

• Erweiterung des Standards auf höheren OSI - Ebenen
• Broadcasting Auflösungen verwerfen
• Statische Tabelle
• ARP Antworten von „ intelligenteren “ Programmen überprüfen lassen
  • ArpWatch (Linux)
  • Xarp (Win)
• DHCP – Erweiterung denkbar

 

MAC-Flooding

• Überfüllung des MAC-Speichers in einem Switch
• SWITCH leitet Daten wie ein HUB an alle weiter
• Mitschnitt des gesamten Datenfluss eines Segmentes

Gegenmaßnahmen

• Aktivierungszeiten am Switch-Port festlegen
• Sperrung der Ports bei Verletzung
• 802.1x Authentifizierung (mittels EAP)

 

Quellen

---