Sicherheitsbewertung der Open Source Telefonanlage 'Asterisk' unter besonderer Berücksichtigung verschiedener VoIP-Protokolle
Jens Heidrich
Diplomarbeit aus dem Jahr 2006 im Fachbereich Informatik - Wirtschaftsinformatik, Note: 1,0, Universität Duisburg-Essen, Sprache: Deutsch, Abstract: [...] Da die Bedeutung von VoIP kontinuierlich steigt, soll diese Arbeit Aufschluss darüber geben, wiesicher bzw. unsicher Kommunikation per VoIP ist. Dabei wird der Schwerpunkt insbesondere aufdas auch kommerziell weit verbreitete Session Initiation Protocol (SIP) sowie die Software-Telefonanlage Asterisk und dessen proprietäres Protokoll Inter Asterisk eXchange (IAX) gelegt.Zusätzlich soll gezeigt werden, welchen Einfluss Asterisk auf die Sicherheit der Kommunikationhat, d. h. ob durch Einsatz eines Asterisk-Servers evtl. neue Schwachstellen entstehen oder obdieser zur Reduktion der Risiken beitragen kann. Es soll untersucht werden, unter welchen Bedingungendie Herstellung einer Verbindung unmöglich gemacht werden kann, bzw. wie eine bestehendeVerbindung gestört oder unterbrochen werden kann. Ein weiterer Aspekt ist das Aufzeigenvon Möglichkeiten zum Abhören einer Kommunikationsverbindung und zum Fälschen von Authentifizierungsinformationen.Diese beiden Möglichkeiten bieten dabei auch das größte Schadenspotential,da Angriffe im Regelfall unbemerkt durchgeführt werden und einerseits sensible Informationenin den Besitz des Angreifers gelangen können sowie andererseits die Authentifizierungsinformationenz. B. dazu genutzt werden können, um auf Kosten des Opfers zu telefonieren. Zur konkretenBeschreibung, welche Verfahren angewandt werden können, um die erwähnten Angriffe zurealisieren, wird eine Testumgebung eingerichtet, die aus verschiedenen Endgeräten und zweiAsterisk-Servern besteht. Eine genaue Beschreibung von Asterisk und des Aufbaus der Testumgebungfolgt in Kapitel 3. Anhand der Ergebnisse der Untersuchungen sollen zum Abschluss einequalifizierte Bewertung des tatsächlichen Gefahrenpotentials sowie Empfehlungen zur Reduktion des Sicherheitsrisikos bei VoIP-Telefonaten erfolgen. Da es in der Fachliteratur bisher wenigeQuellen gibt, die sich mit diesem Thema und insbesondere Asterisk bzw. dem IAX-Protokoll beschäftigen,resultiert daraus nicht zuletzt auch eine praktische Relevanz.
