Schwachstellen im IAX2-Protokoll

Toggle sidebar Toggle sidebar
Upgrade 3CX to v18 and get it hosted free!
J

jester666

Neuer User
Mitglied seit
21 Sep 2005
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo,
ich schreibe grad an einer Arbeit zum Thema Asterisk und mich würde interessieren, ob für das IAX-Protokoll irgendwelche Schwachstellen bekannt sind?
Für SIP sind ja z.B. einige bekannt. Gibt es z.B. wie bei SIP eine Möglichkeit, aus mitgeschnittenen Paketen die Payload zu extrahieren und zu decodieren?
Beim RTP-Protokoll das SIP verwendet ist das ja einfach mit Ethereal machbar. Vielleicht hat ja jemand einen Link zu dem Thema auf Lager. Thx
 
@jester666

Da es über UDP läuft ist es sicherer und weniger anfällig. Außerdem
wird über Schwachstellen nicht gerne erzählt.
Mehr Infos gibt es in der asterisk-mailing-list.

Gruß
britzelfix
 
britzelfix schrieb:
Da es über UDP läuft ist es sicherer und weniger anfällig.
Zum Vergrößern anklicken....

??? RTP doch auch!?

Mir fallen im Moment nur 2 Nachteile von IAX2 ein:

- Wenn die Medienströme direkt von Endgerät zu Endgerät läuft, kriegt der Server absolut nichts mehr von dem Gespräch mit. D.h. der Server kann nicht mehr nachvollziehen, wann das Gespräch beendet wurde. Normalerweise ist das kein Problem, weil bei einem reinen IP-Gespräch die Länge ja eigentlich egal ist, aber für einen VoIP-Reseller heisst das, dass er alle Gespräch komplett über seinen Server leiten muss. Das bedeutet deutlich mehr Traffic und Systemlast.

- IAX2 hat immer noch wesentlich weniger Features als z.B. SIP oder ISDN.
 
Also, wenn du an einer Arbeit zum Thema schreibst, dann ist wohl der wichtigste Link der hier: http://www.cornfed.com/iax.pdf Das ist das Whitepaper welches IAX2 beschreibt und das solltest du dann selber mal durchlesen und zu einem Ergebniss kommen.

Prinzipiell sind mir mehrere Dinge aufgefallen. Nur weil es für das SIP Protokoll, speziell den RTP Stream ein Modul für Ethereal gibt, macht es das Protokoll nicht unsicher. Man muß bei dem SIP Protokoll und allen anderen VoIP Protokollen beachten das es bei dem Design der Protokolle nicht um die Sicherheit der Datenpakete geht, sondern um besonders geringe Latenz- und Übertragungszeiten.
Prinzipiell sehe ich allerdings einen kleinen Sicherheitsvorsprung beim SIP Protokoll, da es nicht wie IAX2 nur über einen Port läuft. Bei unserem herkömmlichen (ISDN) Telefonsystem läuft das eigentliche Gespräch ja auch auf einem anderen Kanal als die Kontrolldaten. Bei IAX2 ist dies nicht so, bei SIP wurde diese Trennung von Kontroll- und Gesprächsdaten auch spezifiziert.
Ich denke aber nicht das ein Design eines Protokolls von sich aus unsicher sein kann. Die Implementierung kann unsicher sein und da mußt du dann mal in den quellcode von Asterisk einsteigen und da ein bischen rumwühlen.
 
ceicke schrieb:
Also, wenn du an einer Arbeit zum Thema schreibst, dann ist wohl der wichtigste Link der hier: http://www.cornfed.com/iax.pdf Das ist das Whitepaper welches IAX2 beschreibt und das solltest du dann selber mal durchlesen und zu einem Ergebniss kommen.
Zum Vergrößern anklicken....

Inzwischen gibt's ne neuere Version der Spec unter http://splurge.peoples-wireless.com/iax/iax.txt

Prinzipiell sehe ich allerdings einen kleinen Sicherheitsvorsprung beim SIP Protokoll, da es nicht wie IAX2 nur über einen Port läuft. Bei unserem herkömmlichen (ISDN) Telefonsystem läuft das eigentliche Gespräch ja auch auf einem anderen Kanal als die Kontrolldaten. Bei IAX2 ist dies nicht so, bei SIP wurde diese Trennung von Kontroll- und Gesprächsdaten auch spezifiziert.
Zum Vergrößern anklicken....

Und warum sollte das jetzt sicherer sein?

Ich denke aber nicht das ein Design eines Protokolls von sich aus unsicher sein kann.
Zum Vergrößern anklicken....

Das sehe ich ganz anders. Beim Design eines Protokolls kann man sehr viele Fehler machen, die das ganze extrem unsicher machen. Ein gutes Beispiel ist WEP.
 
Ein gutes Beispiel ist WEP.
Zum Vergrößern anklicken....

WEP... :blonk: ich vergaß... ;-)

Ich finde die Trennung von Sprache- und Kontrollströmen eine erhebliche Verbesserung gegenüber dem Prinzip alles über einen Kanal zu schieben. Es ist ja wohl ein erheblich größerer Aufwand einen passenden Sprachstrom zu einem Kontrollstrom herauszufinden und aufzuzeichnen, als wenn man es - wie bei IAX oder dem uralten Telefonsystem - auf dem Teller serviert bekommen hat.
 
@beta

was hat UDP mit "sicherer" zu tun grübel
Zum Vergrößern anklicken....

"sicherer" gegen DoS-Attacken oder
Bufferoverflows und nicht "sicher" im Hinblick
auf geheime bzw. verschlüsselte Übertragung.

UDP bzw. RTP sind verbindungslose Protokolle und
müssen keine ICMP-Nachrichten zurückschicken,
sich mit Fragmentierung quälen oder SYN-Floods
beantworten.

Schien mir ganz logisch, als ich es gelesen habe.
Allerdings weiß ich nicht mehr wo. :(

Gruß
britzelfix
 
Um antworten zu können musst du eingeloggt sein.
Kostenlos!
Jetzt holen

Neueste Beiträge

Kategorien

Wissenswertes

Zurzeit aktive Besucher

Gesamt: 627 (Mitglieder: 32, Gäste: 595)

Statistik des Forums

Themen
248,445
Beiträge
2,291,599
Mitglieder
377,863
Neuestes Mitglied
chauf

3CX jetzt einen Monat kostenlos testen

Die Verbindung, Zusammenarbeit und Kommunikation mit Ihrem Team und Ihren Kunden war noch nie so einfach. Nutzen Sie unsere kostenlose 30-Tage-Testversion und entdecken Sie die richtige Lösung für Ihr Unternehmen.

3CX start your free trial guy
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten