VoIP-Systeme gefährden gesamte IT-Infrastruktur

VoIP-Systeme gefährden gesamte IT-Infrastruktur

Artikel erschienen in IT Magazine 2008/14

Unverschlüsselte Kommunikation

Die zwei meistgebrauchten Signalisierungsprotokolle SIP und H.323 sind unverschlüsselt und werden als Plain-Text übermittelt. Diese Pakete enthalten sämtliche technischen Informationen über das Gespräch, wie beispielsweise die Rufnummern. Diese können im Kontext mit einer Personenüberwachung, bei der man das Telefonieverhalten genau analysieren will, interessant sein. Die Pakete vom zurzeit am meisten eingesetzten Protokoll für den Datenstream, also das Gespräch an sich, sind ebenfalls unverschlüsselt und können mit einfachsten Mitteln gesammelt und zum Beispiel als normale MP3-Datei abgespeichert und abgespielt werden.


Hier bietet sich jedoch seit längerem die Möglichkeit, diesen Datenstream mit dem Advanced Encryption Standard (AES) zu verschlüsseln. Allerdings wird das von vielen Endgeräten nicht unterstützt. Das ist bedenklich, denn unter Windows ist es bereits sehr einfach geworden, mit Programmen wie beispielsweise «Wireshark», das eigentlich für die zur Netzwerk-Analyse entwickelt wurde, solche Pakete zu sammeln.


Gespräche aufzeichnen und mithören

Anhand eines Beispiels soll aufgezeigt werden, wie das konkrete Sammeln und Auswerten von SIP- und RTP-Paketen funktioniert. Gegeben ist, dass wir uns in einem Bürogebäude eines Unternehmens mit drei Stockwerken befinden, das ein Intranet besitzt und jedes Stockwerk mit einem gemanagten Switch verbunden ist. Von dort aus geht es zu den Endgeräten. Ebenfalls muss ein DHCP-Server vorhanden sein.


Als erstes schliessen wir uns mit einem Notebook an den Switch. Beim Sammeln der IP-Pakete, was mit Wireshark recht schnell geht, sehen wir nur einen sehr bescheidenen Fluss an Daten, nämlich nur den zwischen unserem Notebook und dem angesprochenen Zielsystem, jedoch nicht den Verkehr (die Frames) der anderen Endgeräte. Das muss auch so sein, aufgrund des Layer-2-Switch.


Um nun beispielsweise an den Voice-Traffic eines Endgerätes zu kommen, braucht es also noch etwas mehr. Mit einer Mac-Flooding-Attacke auf den Switch bringt man dessen «Stack» zum Überlaufen, in dem man Tausende von Mac-Adressen auf beispielsweise 2,3 Ports gleichzeitig sendet. Der Switch geht dann in den «Bypass-Modus», da er nicht mehr managen kann, und man erhält den Zugriff auf sämtlichen Traffic, welcher über diesen Switch geschaltet wird.


Nun kann man alle gewünschten Pakete sammeln und findet auch schnell Pakete vom SIP-Typ, die gleich im Plain-Text angeschaut und interpretiert werden können. Auch der RTP-Stream ist, auf Grund der vielen Pakete, deutlich sichtbar. Er kann mittels Wireshark einfach markiert und als RAW- oder MP3-Datei auf dem PC zusammengesetzt und gespeichert werden. Mit ein wenig Zusatzprogrammierung ist es auch möglich, realtime das Gespräch mitzuhören.


Neuen Kommentar erfassen

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER