Description
(Text)
Diplomarbeit aus dem Jahr 2006 im Fachbereich Informatik - Sonstiges, Note: 1,0, Universität Duisburg-Essen (Wirtschaftswissenschaften), Sprache: Deutsch, Abstract: Inhaltsangabe:Problemstellung:
Das Voice over Internet Protocol (VoIP) beschäftigt sich mit der Übertragung von Echtzeitkommunikation in paketorientierten Netzen wie dem Internet, im Gegensatz zur klassischen verbindungsorientierten Kommunikation, wie dies beim durchschaltevermittelten Telefonnetz der Fall ist. VoIP-Telefonie wird dabei zunehmend zur Konkurrenz der klassischen Telefonie. Große Telefonkonzerne erweitern ihr Portfolio um VoIP-Lösungen und auch kleinere Unternehmen bieten Produkte für Firmenkunden und Privatverbraucher an.
Durch die Einführung der VoIP-Technologie ergeben sich für den Kunden Vorteile, die durch Verschmelzung der Telefon- und Datennetze ermöglicht werden. Weltweite Erreichbarkeit, neue Anwendungen wie Click-To-Dial und nicht zuletzt Kosteneinsparungen durch Reduzierung der Netzwerkinfrastruktur sind schlagkräftige Argumente, die für eine weitere Durchsetzung der VoIP-Telefonie sprechen. Obwohl es möglich ist, sich mittels Hard- oder Softphone direkt beim eigenen Provider anzumelden, wird dies bei steigender Anzahl der Endgeräte, sowie bei höheren Ansprüchen an die Komfortfunktionen der eigenen Telefonanlage unpraktikabel. Zu diesem Zweck existieren Telefonnebenstellenanlagen (Private Branch Exchange, PBX), die sowohl die Verwaltung angeschlossener Endgeräte übernehmen, als auch zusätzliche Funktionen wie Least-Cost-Routing (LCR), Voice-Mail-Systeme oder Warteschlangen- und Spracherkennungsmodule, z. B. für den Einsatz in einem Call-Center, bieten.
Da die Bedeutung von VoIP kontinuierlich steigt, soll diese Arbeit Aufschluss darüber geben, wie sicher bzw. unsicher Kommunikation per VoIP ist. Dabei wird der Schwerpunkt insbesondere auf das auch kommerziell weit verbreitete Session Inititation Protocol (SIP) sowie die Software-Telefonanlage Asterisk und dessen proprietäres Protokoll Inter-Asterisk eXchange (IAX) gelegt.
Zusätzlich soll gezeigt werden, welchen Einfluss Asterisk auf die Sicherheit der Kommunikation hat, d. h. ob durch Einsatz eines Asterisk-Servers evtl. neue Schwachstellen entstehen oder ob dieser zur Reduktion der Risiken beitragen kann. Es soll untersucht werden, unter welchen Bedingungen die Herstellung einer Verbindung unmöglich gemacht werden kann, bzw. wie eine bestehende Verbindung gestört oder unterbrochen werden kann.
Ein weiterer Aspekt ist das Aufzeigen von Möglichkeiten zum Abhören einer Kommunikationsverbindung und zum fälschen von Authentifizierungsinformationen. Diese beiden Möglichkeiten bieten dabei auch das größte Schadenspotential, da Angriffe im Regelfall unbemerkt vonstatten gehen, und einerseits sensible Informationen in den Besitz des Angreifers gelangen können, sowie andererseits die Authentifizierungsinformationen z. B. dazu benutzt werden können, um auf Kosten des Opfers zu telefonieren.
Zur konkreten Beschreibung, welche Verfahren angewandt werden können um die erwähnten Angriffe zu realisieren, wird eine Testumgebung eingerichtet, die aus verschiedenen Endgeräten und zwei Asterisk-Servern besteht. Eine genaue Beschreibung von Asterisk und des Aufbaus der Testumgebung folgt in Kapitel 3. Anhand der Ergebnisse der Untersuchungen sollen zum Abschluss eine qualifizierte Bewertung des tatsächlichen Gefahrenpotentials sowie Empfehlungen zur Reduktion des Sicherheitsrisikos bei VoIP-Telefonaten erfolgen. Da es in der Fachliteratur bisher wenige Quellen gibt, die sich mit diesem Thema, und insbesondere Asterisk bzw. dem IAX-Protokoll, beschäftigen, resultiert daraus nicht zuletzt auch eine praktische Relevanz.
Bevor näher auf die Protokolle eingegangen wird, auf denen die VoIP-Technik basiert, sollen zunächst die grundlegenden Unterschiede zwischen der klassischen Telefonie und der Telefonie über IP-basiert...
