Sicherheitsrisiko VoIP

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
leohelm

leohelm

Neuer User
Mitglied seit
22 Apr 2004
Beiträge
172
Punkte für Reaktionen
0
Punkte
0
Tor schreibt:

"Ich würde mir eher Sorgen darüber machen, wann die ersten Dialer-Trojaner kommen, die SIP-Nachrichten und Zugangsdaten ausspähen, um danach mit den Jungferninseln zu telefonieren."
Zum Vergrößern anklicken....

Wie sollten das in einem eigenen Thread diskutieren. Thema: Sicherheitsrisiko VoIP. Ich denke an all die Freunde hier, die großzügig Ihre NATs und damit Angriffen aller Art Tür und Tor öffnen. Softphones und Software-Firewalls und Virenscanner sind auch nicht gerade ein "Traumteam". Da droht schlimmeres als Spam!
 
Und was lernt man daraus?
1. Normalerweise müsste man sich zu Hause netztechnisch eine echte DMZ einrichten, mit internem und externem Router, das SIP-Gerät steht in der DMZ. Und mit DMZ meine ich nicht das Setzen irgendeines Hakens in einer Webkonfig-Oberfläche eines Media-Markt-Routers. Doch wer betreibt schon so einen Aufwand!?
2. Niemals mehr als 10 EUR Guthaben auf dem Nikotel/Sipgate-Konto haben :)

Gruß,
exim
 
Ich glaube, es ist wirklich wichtig, daß die Routerhersteller VoIP- oder vielleicht einfach nur SIP-Support in ihren Geräten integrieren. Man sollte so wenig öffnen müssen wie unbedingt nötig. Dann müssen die Firewall-Pogrammierer auf das Problem aufmerksam werden und sich mit den für SIP notwendigen Datentransfers beschäftigen. Nur so kann es einigermaßen befriedigende Sicherheit geben.

Eine DMZ - das bedeutet militärisch gegen den demilitarisierten Teil gesicherte Zonenränder - dafür sind wir Deutschen ja Experten. Aber in meinem Haus will ich sowas nicht. ;-)
 
Dazu muß man noch nicht mal ein Incomming NAT einrichten, es reicht wenn die Firmware auf den Telefonen mit einer netten kleinen "Zusatzoption" ausgerüstet ist. Zumindest bei den SNOM-Telefonen gibt es den Quellcode. Bei den anderen kenne ich mich nicht aus.
Allerdings ist diese Problematik ja nicht erst aktuell, seit es VOIP gibt. Selbst bei den ISDN-Telefonen gibt es ja schon lange nicht mehr den wunderbaren Gabelumschalter, der das Mikrofon Hardwaremäßig abschaltet.

Nein, ich leide nicht unter Paranoia;-) Aber es ist auch nicht verkehrt immer mal wieder auf den zunehmenden Verlust der Privatsphäre hin zu weißen und die Schattenseiten der schönen neuen Welt darzulegen.

leohelm schrieb:
Eine DMZ - das bedeutet militärisch gegen den demilitarisierten Teil gesicherte Zonenränder - dafür sind wir Deutschen ja Experten. Aber in meinem Haus will ich sowas nicht. ;-)
Zum Vergrößern anklicken....

Und ich will's nicht ohne;-)

Viele Grüße,
Andreas
 
Zwischen Paranoia und sträflichem Leichtsinn gibt es viele Abstufungen. Aber da muß jeder selbst die passende Stufe finden. Hier sollten wir deshalb diskutieren, was man machen kann und was man machen muß, um sich vor den Gefahren zu schützen. Und was wir von der Industrie zu unserem Schutz erwarten.
 
@leohelm: Genau, und netztechnisch geht an einer DMZ in einem großen Netz kein Weg vorbei, insbesonderen wenn man Dienste nach außen anbietet, also Server für externen Zugriff laufen hat. Wenn der Server (oder eben der Grandstream :) ) gehackt wird, tja schlecht gelaufen, aber die internen Maschinen gehen niemanden was an. Über Firewallarchitekturen gibt es seit Jahren endlose Abhandlungen, aber dem VoIP-User zu Hause, dessen Paketfilter Portforwarding auf das interne SIP-Teil macht und dessen SIP-Büchse oder -Software dann angegriffen und eventuell kompromittiert wird, dem nützt das leider wenig. Den ganzen "von draußen" kommenden Unfug nimmt bei mir zwar der 24/7-Linuxrechner weg, aber bei der SIP-Büchse kann ich auch nur hoffen, dass sie das macht was sie vorgibt (und nur das!) und möglichst keine Backdoors oder Schwachstellen hat.
Hat eigentlich schonmal jemand nmap auf einen Grandstream angesetzt?

Die eigentliche Gefahr sehe ich bei den Leuten, die auf die Werbung "auspacken, anstecken, sparen" (Nikotel) reinfallen und eigentlich gar nicht wissen, was sie da tun, geschweige denn wissen, was eine IP-Adresse ist. Leider gibt es von dieser "Press-Any-Key"-Sorte viel zu viele Leute und die sehe ich eigentlich eher als potentielle Opfer denn als "clevere Sparer". Aber nun ja, ich verdiene mein Geld mit Sicherheitslösungen und bin über die Jahre vielleicht doch schon etwas paranoid geworden ...

Gruß,
exim
(in Realität Andreas und jetzt weiß ich endlich, wer mir den Accountnamen auf dem Board weggeschnappt hat! :) )
 
exim schrieb:
Die eigentliche Gefahr sehe ich bei den Leuten, die auf die Werbung "auspacken, anstecken, sparen" (Nikotel) reinfallen und eigentlich gar nicht wissen, was sie da tun, geschweige denn wissen, was eine IP-Adresse ist. Leider gibt es von dieser "Press-Any-Key"-Sorte viel zu viele Leute und die sehe ich eigentlich eher als potentielle Opfer denn als "clevere Sparer".
Zum Vergrößern anklicken....

Ja, genau das ist das Problem!
Seit Jahren wird in der Presse über die Gefahr von WLAN's gesprochen. Und, wenn ich mit Netstumbler durch die Stadt fahre finde ich immer noch hunderte, offene WLAN's (nein, wird nicht OT;-))
Genau so wird es auch mit VOIP laufen. Die Hersteller haben ja auch keine andere Wahl, Sicherheit ist umgekehrt proportional zur Funktionalität. Da werden immer tausende von Fragen auftreten, die beantwortet werden müssen und das kann kein Hersteller für Geräte leisten, die nicht mehr als 50,00 Eur kosten sollen, so wie hier im Board verlangt.


exim schrieb:
Aber nun ja, ich verdiene mein Geld mit Sicherheitslösungen und bin über die Jahre vielleicht doch schon etwas paranoid geworden ...
Zum Vergrößern anklicken....

Diese Frage stelle ich mir immer, bin ich es oder sind die anderen so leichtgläubig.


Aber, nun was konkretes:
Router: Ich wünsche mir _sichere_ Defaulteinstellungen der Router (zum Glück werden ja immer mehr Router eingesetzt). Bei den Routern, die einen eingebauten Hub/Switch haben würde ich es gerne sehen, wenn die Hersteller die Möglichkeit vorsehen für jeden Port eine spezielle Nutzung einzutragen, so könnte dann der Port 1 für den Rechner sein, der Webseiten ansehen darf, E-Mails versenden darf und dann aber auch basta, Port 2 dann für VOIP....usw... Der Port 4 darf dann Rot sein und wegen mir alles dürfen. Und für die Leute, die näher in die Materie einsteigen möchten gibt es dann den "Expertenmodus" wo man alles nach eigenem gutdünken verbiegen darf..... Und ich ahne schon, das viele meiner Bekannten sich einen zusätzlichen Switch kaufen und alle Netzteilnehmer in Port 4 stecken:-(

VOIP:
Eine standardmäßige Verschlüsselung sollte es auf jeden Fall geben, obgleich bei SIP ja nur die Nutzdaten verschlüsselt werden können und nicht der Verbindungsaufbau selber. Filter im Telefon gegen unerwünschte Anrufer.



Viele Grüße,
Andreas

@exim: Ich war auch ganz verdutzt, dass der Name noch frei war ;-)
 
Das ist auch einer der Aspekte, weshalb ich SIP nicht soo doll finde - neben dem "üblichen" Problem, dass man eigentlich SIP+SDP+RTP hat, was ja bekanntermaßen bei Firewall/NAT wenig begeistert.

Man sollte so wenig öffnen müssen wie unbedingt nötig.
Zum Vergrößern anklicken....

Deshalb mag ich IAX(2), da es im Gegensatz bloss einen UDP-Port für alles benötigt (womit man idR auch ohne grosse Probleme raustelefonieren kann, selbst wenn man hinter FW/NAT hängt -- manchmal seehr praktisch :lol: )
Dummerweise ist das bis jetzt noch kein RFC und es gibt erst wenige (Hardware-) Endgeräte.


Aufgrund des Sicherheitsproblems mit VoIP kenne ich Installationen, wo ein extra Netz für alle VoIP-Geräte aufgebaut wurde, damit da nix passieren kann -- was ja eigentlich dem Vorteil der Netzkonvergenz entgegenspricht.

Was mir eigentlich viel mehr Kopfzerbrechen bei VoIP macht, als die Tatsache, dass jemand mein Telefon hacken könnte ist der Punkt, dass es keine Sicherheit für die Gespräche gibt -- weder für die Signalisierung (z.B. einstreuen gefakter VIA-Header o.ä. damit das Gespräch einen anderen Weg nimmt -- Man in the middle etc.) und das Mithören-/schneiden des RTP-Stroms.
Eigentlich haben sowohl H.323 als auch SIP entsprechende Mechanismen spezifiziert -- allerdings hat die so gut wie keiner umgesetzt. Das einzige Telefon mit SIP-Verschlüsselung das ich kenne ist das Zultys ZIP 4x4 (wurde IIRC auch schonmal hier im Forum erwähnt).
IMO ist das ein ebenso interessantes/dringendes Problem.
 
echte sicherheits risiken die verbraucher direkt im geldbeutel spüren werden sind adapter die rufumleitungen unterstützen ...
da die meiste VOIP Hardware web-interfaces hat und die oft nur unzureichend geschützt sind wird sicherlich irgendwann auch das mal ein problem werden.

eine andere sicherheits lücke bei routern und voip- adaptern ist der TFTP port , es gibt einige geräte mit denen man von aussen ein neues updateaufspielen kann , wahlweise auch alles kapputmacht oder eben auch die daten alle auslesen kann.


Tftp funktioniert OHNE authentifizierung und ist ein steinaltes sicherheitsrisiko , das schon anfang der 90er bei sehr vielen unix systemen den systemadministratoren dieser welt grosse kopfschmerzen bereitet weil man in nullkommanix /etc/passwd (unix passwort datei) auslesen konnte, wenn das system schlecht administiert war.


@rajo übrigens unterstützen alle sipura adapter Verschlüsseltes SIP seit dem letzten firmware update. müssen nur beide teilnehmer können ;) siehe setup menue screenshot
 
Ich denke es ist ein Bisschen zu einfach die Problematik auf die Router- und Firewall-Konfiguration zu beschränken. In der theoretischen, heilen Welt ist die Firewall ja nur eine eigentlich unnötige Sicherheitsvorrichtung. Die Systeme dahinter sollten eigentlich selbst mit bösen Daten von draußen klarkommen.

Was ich befürchte ist, dass SIP noch so jung ist, dass viele Entwickler einfach nicht der Sicherheitsproblematik bewusst sind und ohne es zu wissen große Sicherheitslöcher in ihrer Software einbauen. Nach ein paar Tests zeigt sich z.B. Asterisk und SIP Xpress recht naiv bei den Authentifizierungsanfragen und ich behaupte mal, dass es für einen Trojaner kein Problem ist im Intranet eine Weile "legalen" SIP-Traffic zu snfifen, um danach selbst Verbindungen aufzubauen. Asterisk und SIP Xpress wird von z.B. Sipgate eingesetzt.

Andere Möglichkeiten, die mir einfallen, ist dass ein Angreifer von draußen sich als "guter Server" ausgibt. Wenn ich eine normale Verbindung zu einem SIP-Teilnehmer aufbaue, erhalte ich in den SIP-Nachrichten eine ganze Menge Daten, die sich vielleicht missbrauchen lassen. Eine Möglichkeit wäre z.B., dass ich direkt an die IP-Adresse des Teilnehmers gehe (steht in den beim Rufaufbau ausgetauschten SDP-Nachrichten), mich als den richtigen Gateway ausgebe und eine Client-Authentifizierung erzwinge. So bekomme ich zwar zuerst nur einen Hash des Passwortes, kann aber mit Brute-Force-Angriffen in relativ kurzer Zeit einiges schaffen. Mit nur sechs Zeichen dauert eine Suche nach einem Sipgate-Passwort nur wenige Wochen und ich könnte in einem solchen Durchlauf durchaus auch mehrere Passwörter gleichzeitig "entschlüsseln". Für ein paar Euro Guthaben auf einem Sipgate-Account lohnt sich der Aufwand vielleicht nicht, aber auch im VoIP-Bereich werden mit Sicherheit nach und nach mehrere Postpaid-Anbieter auftauchen.

Es gibt einfache Lösungen. SIP-Pakete können verschlüsselt werden und die Identität der Teilnehmer durch Zertifikate belegt. Im Moment gibt es wohl aber kaum Soft- oder Hardware, die mit Verschlüsselung umgehen kann.

Gruß, Tor
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 553 (Mitglieder: 44, Gäste: 509)

Neueste Beiträge

Statistik des Forums

Themen
244,858
Beiträge
2,219,615
Mitglieder
371,571
Neuestes Mitglied
FritzFunk
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück