.titleBar { margin-bottom: 5px!important; }

Sicherheitsrisiko VoIP

Dieses Thema im Forum "Grundsätzliches" wurde erstellt von leohelm, 27 Apr. 2004.

  1. leohelm

    leohelm Neuer User

    Registriert seit:
    22 Apr. 2004
    Beiträge:
    172
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Tor schreibt:

    Wie sollten das in einem eigenen Thread diskutieren. Thema: Sicherheitsrisiko VoIP. Ich denke an all die Freunde hier, die großzügig Ihre NATs und damit Angriffen aller Art Tür und Tor öffnen. Softphones und Software-Firewalls und Virenscanner sind auch nicht gerade ein "Traumteam". Da droht schlimmeres als Spam!
     
  2. exim

    exim Admin a.D.

    Registriert seit:
    27 Apr. 2004
    Beiträge:
    1,013
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Und was lernt man daraus?
    1. Normalerweise müsste man sich zu Hause netztechnisch eine echte DMZ einrichten, mit internem und externem Router, das SIP-Gerät steht in der DMZ. Und mit DMZ meine ich nicht das Setzen irgendeines Hakens in einer Webkonfig-Oberfläche eines Media-Markt-Routers. Doch wer betreibt schon so einen Aufwand!?
    2. Niemals mehr als 10 EUR Guthaben auf dem Nikotel/Sipgate-Konto haben :)

    Gruß,
    exim
     
  3. leohelm

    leohelm Neuer User

    Registriert seit:
    22 Apr. 2004
    Beiträge:
    172
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich glaube, es ist wirklich wichtig, daß die Routerhersteller VoIP- oder vielleicht einfach nur SIP-Support in ihren Geräten integrieren. Man sollte so wenig öffnen müssen wie unbedingt nötig. Dann müssen die Firewall-Pogrammierer auf das Problem aufmerksam werden und sich mit den für SIP notwendigen Datentransfers beschäftigen. Nur so kann es einigermaßen befriedigende Sicherheit geben.

    Eine DMZ - das bedeutet militärisch gegen den demilitarisierten Teil gesicherte Zonenränder - dafür sind wir Deutschen ja Experten. Aber in meinem Haus will ich sowas nicht. ;-)
     
  4. andreas

    andreas Mitglied

    Registriert seit:
    29 März 2004
    Beiträge:
    485
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Dazu muß man noch nicht mal ein Incomming NAT einrichten, es reicht wenn die Firmware auf den Telefonen mit einer netten kleinen "Zusatzoption" ausgerüstet ist. Zumindest bei den SNOM-Telefonen gibt es den Quellcode. Bei den anderen kenne ich mich nicht aus.
    Allerdings ist diese Problematik ja nicht erst aktuell, seit es VOIP gibt. Selbst bei den ISDN-Telefonen gibt es ja schon lange nicht mehr den wunderbaren Gabelumschalter, der das Mikrofon Hardwaremäßig abschaltet.

    Nein, ich leide nicht unter Paranoia;-) Aber es ist auch nicht verkehrt immer mal wieder auf den zunehmenden Verlust der Privatsphäre hin zu weißen und die Schattenseiten der schönen neuen Welt darzulegen.

    Und ich will's nicht ohne;-)

    Viele Grüße,
    Andreas
     
  5. leohelm

    leohelm Neuer User

    Registriert seit:
    22 Apr. 2004
    Beiträge:
    172
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Zwischen Paranoia und sträflichem Leichtsinn gibt es viele Abstufungen. Aber da muß jeder selbst die passende Stufe finden. Hier sollten wir deshalb diskutieren, was man machen kann und was man machen muß, um sich vor den Gefahren zu schützen. Und was wir von der Industrie zu unserem Schutz erwarten.
     
  6. exim

    exim Admin a.D.

    Registriert seit:
    27 Apr. 2004
    Beiträge:
    1,013
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @leohelm: Genau, und netztechnisch geht an einer DMZ in einem großen Netz kein Weg vorbei, insbesonderen wenn man Dienste nach außen anbietet, also Server für externen Zugriff laufen hat. Wenn der Server (oder eben der Grandstream :) ) gehackt wird, tja schlecht gelaufen, aber die internen Maschinen gehen niemanden was an. Über Firewallarchitekturen gibt es seit Jahren endlose Abhandlungen, aber dem VoIP-User zu Hause, dessen Paketfilter Portforwarding auf das interne SIP-Teil macht und dessen SIP-Büchse oder -Software dann angegriffen und eventuell kompromittiert wird, dem nützt das leider wenig. Den ganzen "von draußen" kommenden Unfug nimmt bei mir zwar der 24/7-Linuxrechner weg, aber bei der SIP-Büchse kann ich auch nur hoffen, dass sie das macht was sie vorgibt (und nur das!) und möglichst keine Backdoors oder Schwachstellen hat.
    Hat eigentlich schonmal jemand nmap auf einen Grandstream angesetzt?

    Die eigentliche Gefahr sehe ich bei den Leuten, die auf die Werbung "auspacken, anstecken, sparen" (Nikotel) reinfallen und eigentlich gar nicht wissen, was sie da tun, geschweige denn wissen, was eine IP-Adresse ist. Leider gibt es von dieser "Press-Any-Key"-Sorte viel zu viele Leute und die sehe ich eigentlich eher als potentielle Opfer denn als "clevere Sparer". Aber nun ja, ich verdiene mein Geld mit Sicherheitslösungen und bin über die Jahre vielleicht doch schon etwas paranoid geworden ...

    Gruß,
    exim
    (in Realität Andreas und jetzt weiß ich endlich, wer mir den Accountnamen auf dem Board weggeschnappt hat! :) )
     
  7. andreas

    andreas Mitglied

    Registriert seit:
    29 März 2004
    Beiträge:
    485
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ja, genau das ist das Problem!
    Seit Jahren wird in der Presse über die Gefahr von WLAN's gesprochen. Und, wenn ich mit Netstumbler durch die Stadt fahre finde ich immer noch hunderte, offene WLAN's (nein, wird nicht OT;-))
    Genau so wird es auch mit VOIP laufen. Die Hersteller haben ja auch keine andere Wahl, Sicherheit ist umgekehrt proportional zur Funktionalität. Da werden immer tausende von Fragen auftreten, die beantwortet werden müssen und das kann kein Hersteller für Geräte leisten, die nicht mehr als 50,00 Eur kosten sollen, so wie hier im Board verlangt.


    Diese Frage stelle ich mir immer, bin ich es oder sind die anderen so leichtgläubig.


    Aber, nun was konkretes:
    Router: Ich wünsche mir _sichere_ Defaulteinstellungen der Router (zum Glück werden ja immer mehr Router eingesetzt). Bei den Routern, die einen eingebauten Hub/Switch haben würde ich es gerne sehen, wenn die Hersteller die Möglichkeit vorsehen für jeden Port eine spezielle Nutzung einzutragen, so könnte dann der Port 1 für den Rechner sein, der Webseiten ansehen darf, E-Mails versenden darf und dann aber auch basta, Port 2 dann für VOIP....usw... Der Port 4 darf dann Rot sein und wegen mir alles dürfen. Und für die Leute, die näher in die Materie einsteigen möchten gibt es dann den "Expertenmodus" wo man alles nach eigenem gutdünken verbiegen darf..... Und ich ahne schon, das viele meiner Bekannten sich einen zusätzlichen Switch kaufen und alle Netzteilnehmer in Port 4 stecken:-(

    VOIP:
    Eine standardmäßige Verschlüsselung sollte es auf jeden Fall geben, obgleich bei SIP ja nur die Nutzdaten verschlüsselt werden können und nicht der Verbindungsaufbau selber. Filter im Telefon gegen unerwünschte Anrufer.



    Viele Grüße,
    Andreas

    @exim: Ich war auch ganz verdutzt, dass der Name noch frei war ;-)
     
  8. rajo

    rajo Admin-Team

    Registriert seit:
    31 März 2004
    Beiträge:
    1,958
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Das ist auch einer der Aspekte, weshalb ich SIP nicht soo doll finde - neben dem "üblichen" Problem, dass man eigentlich SIP+SDP+RTP hat, was ja bekanntermaßen bei Firewall/NAT wenig begeistert.

    Deshalb mag ich IAX(2), da es im Gegensatz bloss einen UDP-Port für alles benötigt (womit man idR auch ohne grosse Probleme raustelefonieren kann, selbst wenn man hinter FW/NAT hängt -- manchmal seehr praktisch :lol: )
    Dummerweise ist das bis jetzt noch kein RFC und es gibt erst wenige (Hardware-) Endgeräte.


    Aufgrund des Sicherheitsproblems mit VoIP kenne ich Installationen, wo ein extra Netz für alle VoIP-Geräte aufgebaut wurde, damit da nix passieren kann -- was ja eigentlich dem Vorteil der Netzkonvergenz entgegenspricht.

    Was mir eigentlich viel mehr Kopfzerbrechen bei VoIP macht, als die Tatsache, dass jemand mein Telefon hacken könnte ist der Punkt, dass es keine Sicherheit für die Gespräche gibt -- weder für die Signalisierung (z.B. einstreuen gefakter VIA-Header o.ä. damit das Gespräch einen anderen Weg nimmt -- Man in the middle etc.) und das Mithören-/schneiden des RTP-Stroms.
    Eigentlich haben sowohl H.323 als auch SIP entsprechende Mechanismen spezifiziert -- allerdings hat die so gut wie keiner umgesetzt. Das einzige Telefon mit SIP-Verschlüsselung das ich kenne ist das Zultys ZIP 4x4 (wurde IIRC auch schonmal hier im Forum erwähnt).
    IMO ist das ein ebenso interessantes/dringendes Problem.
     
  9. ganjamen

    ganjamen Mitglied

    Registriert seit:
    6 Apr. 2004
    Beiträge:
    539
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    echte sicherheits risiken die verbraucher direkt im geldbeutel spüren werden sind adapter die rufumleitungen unterstützen ...
    da die meiste VOIP Hardware web-interfaces hat und die oft nur unzureichend geschützt sind wird sicherlich irgendwann auch das mal ein problem werden.

    eine andere sicherheits lücke bei routern und voip- adaptern ist der TFTP port , es gibt einige geräte mit denen man von aussen ein neues updateaufspielen kann , wahlweise auch alles kapputmacht oder eben auch die daten alle auslesen kann.


    Tftp funktioniert OHNE authentifizierung und ist ein steinaltes sicherheitsrisiko , das schon anfang der 90er bei sehr vielen unix systemen den systemadministratoren dieser welt grosse kopfschmerzen bereitet weil man in nullkommanix /etc/passwd (unix passwort datei) auslesen konnte, wenn das system schlecht administiert war.


    @rajo übrigens unterstützen alle sipura adapter Verschlüsseltes SIP seit dem letzten firmware update. müssen nur beide teilnehmer können ;) siehe setup menue screenshot
     
  10. Tor

    Tor Neuer User

    Registriert seit:
    16 Apr. 2004
    Beiträge:
    37
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich denke es ist ein Bisschen zu einfach die Problematik auf die Router- und Firewall-Konfiguration zu beschränken. In der theoretischen, heilen Welt ist die Firewall ja nur eine eigentlich unnötige Sicherheitsvorrichtung. Die Systeme dahinter sollten eigentlich selbst mit bösen Daten von draußen klarkommen.

    Was ich befürchte ist, dass SIP noch so jung ist, dass viele Entwickler einfach nicht der Sicherheitsproblematik bewusst sind und ohne es zu wissen große Sicherheitslöcher in ihrer Software einbauen. Nach ein paar Tests zeigt sich z.B. Asterisk und SIP Xpress recht naiv bei den Authentifizierungsanfragen und ich behaupte mal, dass es für einen Trojaner kein Problem ist im Intranet eine Weile "legalen" SIP-Traffic zu snfifen, um danach selbst Verbindungen aufzubauen. Asterisk und SIP Xpress wird von z.B. Sipgate eingesetzt.

    Andere Möglichkeiten, die mir einfallen, ist dass ein Angreifer von draußen sich als "guter Server" ausgibt. Wenn ich eine normale Verbindung zu einem SIP-Teilnehmer aufbaue, erhalte ich in den SIP-Nachrichten eine ganze Menge Daten, die sich vielleicht missbrauchen lassen. Eine Möglichkeit wäre z.B., dass ich direkt an die IP-Adresse des Teilnehmers gehe (steht in den beim Rufaufbau ausgetauschten SDP-Nachrichten), mich als den richtigen Gateway ausgebe und eine Client-Authentifizierung erzwinge. So bekomme ich zwar zuerst nur einen Hash des Passwortes, kann aber mit Brute-Force-Angriffen in relativ kurzer Zeit einiges schaffen. Mit nur sechs Zeichen dauert eine Suche nach einem Sipgate-Passwort nur wenige Wochen und ich könnte in einem solchen Durchlauf durchaus auch mehrere Passwörter gleichzeitig "entschlüsseln". Für ein paar Euro Guthaben auf einem Sipgate-Account lohnt sich der Aufwand vielleicht nicht, aber auch im VoIP-Bereich werden mit Sicherheit nach und nach mehrere Postpaid-Anbieter auftauchen.

    Es gibt einfache Lösungen. SIP-Pakete können verschlüsselt werden und die Identität der Teilnehmer durch Zertifikate belegt. Im Moment gibt es wohl aber kaum Soft- oder Hardware, die mit Verschlüsselung umgehen kann.

    Gruß, Tor