Sicherheitsbewertung der Open Source Telefonanlage (Soft-PBX) Asterisk

Diplomarbeit von Jens Heidrich

Problemstellung:

Das Voice over Internet Protocol (VoIP) beschäftigt sich mit der Übertragung von Echtzeitkommunikation in paketorientierten Netzen wie dem Internet, im Gegensatz zur klassischen verbindungsorientierten Kommunikation, wie dies beim durchschaltevermittelten Telefonnetz der Fall ist. VoIP-Telefonie wird dabei zunehmend zur Konkurrenz der klassischen Telefonie. Große Telefonkonzerne erweitern ihr Portfolio um VoIP-Lösungen und auch kleinere Unternehmen bieten Produkte für Firmenkunden und Privatverbraucher an.

Durch die Einführung der VoIP-Technologie ergeben sich für den Kunden Vorteile, die durch Verschmelzung der Telefon- und Datennetze ermöglicht werden. Weltweite Erreichbarkeit, neue Anwendungen wie „Click-To-Dial“ und nicht zuletzt Kosteneinsparungen durch Reduzierung der Netzwerkinfrastruktur sind schlagkräftige Argumente, die für eine weitere Durchsetzung der VoIP-Telefonie sprechen. Obwohl es möglich ist, sich mittels Hard- oder Softphone direkt beim eigenen Provider anzumelden, wird dies bei steigender Anzahl der Endgeräte, sowie bei höheren Ansprüchen an die Komfortfunktionen der eigenen Telefonanlage unpraktikabel. Zu diesem Zweck existieren Telefonnebenstellenanlagen (Private Branch Exchange, PBX), die sowohl die Verwaltung angeschlossener Endgeräte übernehmen, als auch zusätzliche Funktionen wie Least-Cost-Routing (LCR), Voice-Mail-Systeme oder Warteschlangen- und Spracherkennungsmodule, z. B. für den Einsatz in einem Call-Center, bieten.

Da die Bedeutung von VoIP kontinuierlich steigt, soll diese Arbeit Aufschluss darüber geben, wie sicher bzw. unsicher Kommunikation per VoIP ist. Dabei wird der Schwerpunkt insbesondere auf das auch kommerziell weit verbreitete Session Inititation Protocol (SIP) sowie die Software-Telefonanlage Asterisk und dessen proprietäres Protokoll Inter-Asterisk eXchange (IAX) gelegt.

Zusätzlich soll gezeigt werden, welchen Einfluss Asterisk auf die Sicherheit der Kommunikation hat, d. h. ob durch Einsatz eines Asterisk-Servers evtl. neue Schwachstellen entstehen oder ob dieser zur Reduktion der Risiken beitragen kann. Es soll untersucht werden, unter welchen Bedingungen die Herstellung einer Verbindung unmöglich gemacht werden kann, bzw. wie eine bestehende Verbindung gestört oder unterbrochen werden kann.

Ein weiterer Aspekt ist das Aufzeigen von Möglichkeiten zum Abhören einer Kommunikationsverbindung und zum fälschen von Authentifizierungsinformationen. Diese beiden Möglichkeiten bieten dabei auch das größte Schadenspotential, da Angriffe im Regelfall unbemerkt vonstatten gehen, und einerseits sensible Informationen in den Besitz des Angreifers gelangen können, sowie andererseits die Authentifizierungsinformationen z. B. dazu benutzt werden können, um auf Kosten des Opfers zu telefonieren.

Zur konkreten Beschreibung, welche Verfahren angewandt werden können um die erwähnten Angriffe zu realisieren, wird eine Testumgebung eingerichtet, die aus verschiedenen Endgeräten und zwei Asterisk-Servern besteht. Eine genaue Beschreibung von Asterisk und des Aufbaus der Testumgebung folgt in Kapitel 3. Anhand der Ergebnisse der Untersuchungen sollen zum Abschluss eine qualifizierte Bewertung des tatsächlichen Gefahrenpotentials sowie Empfehlungen zur Reduktion des Sicherheitsrisikos bei VoIP-Telefonaten erfolgen. Da es in der Fachliteratur bisher wenige Quellen gibt, die sich mit diesem Thema, und insbesondere Asterisk bzw. dem IAX-Protokoll, beschäftigen, resultiert daraus nicht zuletzt auch eine praktische Relevanz.

Bevor näher auf die Protokolle eingegangen wird, auf denen die VoIP-Technik basiert, sollen zunächst die grundlegenden Unterschiede zwischen der klassischen Telefonie und der Telefonie über IP-basierte Netze erläutert werden.

Das klassische Telefonnetz basiert auf einem durchschaltevermittelten Netzwerk. Dieses auch Public Switched Telephone Network (oder PSTN) genannte Netzwerk stellt eine direkte Verbindung zwischen Gesprächsteilnehmern her, indem exklusiv ein Kanal reserviert wird, über den alle Daten zwischen Quelle und Ziel fließen. Da Netzwerk-Ressourcen dem Kanal zugeordnet werden, führt dies im Allgemeinen zu einem zeit-basierten Abrechnungssystem. Die Verbindung wird im Regelfall aufgrund der von der rufenden Endstelle vorgegebenen Zielinformationen aufgebaut und nach Beendigung des Nachrichtenaustausches wieder abgebaut.

Die Steuerung des Auf- und Abbaus der Verbindung wird von Vermittlungsstellen vorgenommen, wobei im öffentlichen Telefonnetz zwei Arten zum Einsatz kommen: zum einen Fernvermittlungsstellen, die die oberste Ebene bilden und stark miteinander vermascht sind. Diese besitzen häufig Netzübergangsfunktionen, um Gespräche aus dem eigenen Netz in die Netze anderer nationaler Telefongesellschaften weiterleiten zu können. Die untere Ebene bilden dagegen Ortsvermittlungsstellen, die sternförmig an die Fernvermittlungsstellen angeschlossen werden und die die Kundenanschlüsse verwalten.

In Deutschland wurden im Jahr 1996 die letzten analogen Vermittlungsstellen durch digitale Vermittlungsstellen ersetzt. Diese wandeln die analoge Sprache in digitale Daten um, die dann über den reservierten Kanal ausgetauscht werden, der in der Regel eine Bandbreite von konstant 64 kbit/s, bzw. ein ganzzahliges Mehrfaches davon (z. B. für Videokonferenzen), aufweist.

Die Umwandlung der analogen Sprachsignale in digitale Daten wird mit Hilfe der Puls-Code-Modulation (PCM) vorgenommen, wobei das analoge Signal mit einer bestimmten Frequenz in zeitgleichen Abständen abgetastet wird, in diesem Fall mit einer Abtastrate von 8 kHz. Da jeder Wert als 8-Bit-Zahl übertragen wird, wird so die Bandbreite von 64 kbit/s erreicht (8 kHz * 8 bit = 64 kbit/s).

Im Gegensatz dazu handelt es sich bei IP-basierten Netzen um paketvermittelte Netze. Hierbei wird keine feste Leitung zwischen Gesprächsteilnehmern vermittelt, sondern Nachrichten werden in einzelne Datenpakete, sog. Datagramme, verpackt und als eigenständige Einheiten an den Empfänger gesendet. In jedes Datagramm werden Kontrollinformationen integriert, die es befähigen, sich den Weg zum Empfänger unabhängig von anderen Datagrammen zu suchen. Pakete müssen daher den Empfänger nicht unbedingt in der korrekten Reihenfolge erreichen, bzw. können auf dem Weg zum Empfänger verloren gehen.

In VoIP-Netzen wird Sprache in Echtzeit in Pakete umgewandelt. Protokolle werden verwendet, um Signalisierungsinformationen auszutauschen, mit denen ein Gespräch auf- oder abgebaut werden kann sowie um die eigentlichen Sprachdaten auszutauschen. Die VoIP-Protokolle, die hierfür benutzt werden, basieren dabei auf den Protokollen des TCP/IP-Modells, welches in Kapitel 2 ausführlich erläutert wird.

Die Paketierung und Versendung von Sprache verläuft nach diesem Schema: Das analoge Sprachsignal wird per PCM in einen digitalen Strom von 128 kbit/s umgewandelt. Das Leitungs-Echo wird aus dem PCM-Strom entfernt und evtl. eine „Silence Suppression“ durchgeführt, mit der verhindert werden soll, Daten derjenigen Zeit zu senden, in der der Sender nicht spricht. Der resultierende PCM-Strom wird durch ein Codierungsverfahren, wie z. B. G.729A komprimiert, was zu einem 10 ms langen Rahmen mit 10 Byte Sprachdaten führt.

Die einzelnen Rahmen werden in Sprach-Pakete integriert. Wird SIP als VoIP-Protokoll eingesetzt, erfolgt die Übertragung der Sprach-Pakete per Realtime Transfer Protocol (RTP). Der Rahmen wird in ein RTP-Paket verpackt, welches an ein UDP-Paket angehängt wird. Das UDP-Paket wiederum wird an einen IP-Header angefügt. Dieses Prinzip der Kapselung wird in Kapitel 2 veranschaulicht.

Das Paket wird durch das Netz geschickt, wobei Router und Switches das Paket anhand der Ziel-Adresse in den Header-Informationen an den Empfänger weiterleiten. Erhält der Empfänger ein Paket, so durchläuft dieses den Prozess aus 4. in umgekehrter Reihenfolge. Zusätzlich muss der Empfänger, ausgehend von den Header-Informationen der Pakete, dafür sorgen, dass die Pakete in der korrekten zeitlichen Reihenfolge zu Sprachinformationen zusammengesetzt werden.

Obwohl dem PSTN eine etablierte Technik zugrunde liegt, ist insbesondere in der Geschäftswelt in letzter Zeit der Wunsch entstanden, in eine neue Technologie zu investieren, bei der Sprachübermittlung in einem Datennetzwerk stattfindet. Dies hat folgende Gründe:

Daten haben Sprache als den primären Verkehr auf den ursprünglich nur für Sprache ausgelegten Netzen abgelöst. Daten-Verkehr besitzt allerdings andere Charakteristika als Sprach-Verkehr, beispielsweise die Nachfrage nach höherer Bandbreite und die variable Belegung der Bandbreite.

Im PSTN können neue Funktionen nicht schnell genug entwickelt und eingesetzt werden: Mit zunehmendem Wettbewerb im Telekommunikationsmarkt, suchen Anbieter nach Möglichkeiten, sich von Konkurrenten abzusetzen. Dies kann durch das Anbieten neuer Funktionen und Anwendungen geschehen. Das PSTN beruht allerdings auf einer Infrastruktur, bei der allein die Hersteller der Systeme Anwendungen für diese entwickeln können.

Die Einführung der VoIP-Technologie entspricht dem Wunsch der Zusammenführung von Sprach- und Datennetz. Der Einsatz von VoIP bietet dem Anwender eine Reihe von Vorteilen gegenüber dem PSTN: Die Konvergenz von Sprach- und Datennetzen bei Einsatz von VoIP führt zu Kosteneinsparungen, da die IP-Netzwerke, auf denen VoIP basiert, in jedem Unternehmen vorzufinden sind. So kann beim Aufbau eines VoIP-Netzes auf bereits vorhandene Netzwerkkomponenten zurückgegriffen werden, die bisher für Anwendungen wie Internet-Zugriff, verteilte Datenbanken o. ä. eingesetzt werden.

Eine effizientere Verwendung der verfügbaren Bandbreite ist möglich: Im PSTN wird für jede Verbindung ein 64 kbit/s-Kanal reserviert, wohingegen VoIP nur die tatsächlich benötigte Bandbreite für den Austausch von Paketen belegt.

VoIP ermöglicht neue Anwendungen, wie Unified Messaging oder Click-To-Dial, und bietet auf diese Weise Anbietern von VoIP-Telefonie die Möglichkeit, sich von Mitbewerbern abzugrenzen. Den Endanwendern versprechen diese Applikationen eine gesteigerte Produktivität und eine Erhöhung des Komforts.

Ein flexibler Zugriff auf Kommunikationsgeräte wird möglich. Dies bedeutet auf der einen Seite, dass ein Anwender überall auf der Welt mit seinen VoIP-Zugangsdaten erreichbar sein kann. Da VoIP auf der IP-Technologie basiert, können auf der anderen Seite neue Arten von Endgeräten, die über einen geeigneten Netzwerkanschluss verfügen, für die Kommunikation per VoIP erschlossen werden, z. B. Set-Top-Boxen oder Personal Digital Assistants (PDA’s).

Bandbreite wird beim Einsatz von VoIP dynamisch zugewiesen, daher lassen sich variable Abrechnungstarife einführen. So kann z. B. statt der gängigen Abrechnung nach der Dauer der Verbindung auch eine Abrechnung nach übertragenem Daten-Volumen stattfinden.

Pakete können sich eine neue Route durch das Netzwerk suchen, falls einzelne Teile des Netzes ausfallen sollten. Fällt ein an der Kommunikation beteiligtes System im PSTN aus, wird die Verbindung unterbrochen.

Doch VoIP besitzt im Vergleich mit dem PSTN auch einige Nachteile, die insbesondere die Qualität der Verbindung betreffen: da keine dedizierten Kanäle mit einer reservierten Bandbreite zwischen Endpunkten geschaltet, sondern nur logische Verbindungen aufgebaut werden, können keine Dienstgütegarantien für eine Verbindung getroffen werden. Die Dienstgüte von Übertragungskanälen wird auch Quality of Service (QoS) genannt und setzt sich aus einer Reihe von Eigenschaften wie Paketverlustrate, Latenz und Verzögerungsschwankungen zusammen.

Paketverluste in Datennetzen können durch zuverlässige Protokolle wie TCP ausgeglichen werden, indem verlorene Pakete erneut gesendet werden. Bei der VoIP-Telefonie kommt es jedoch auf eine verzögerungsfreie Übertragung der Daten in Echtzeit an, so dass für den Transport auf ein unzuverlässiges Protokoll wie UDP zurückgegriffen werden muss (s. Kapitel 2). Ein IP-Netz kann Pakete verwerfen, wenn das Netz stark überlastet ist. Bestimmte Codec-Algorithmen können zwar geringe Mengen von Paketverlusten korrigieren; ein zu hoher Verlust von Paketen bedingt jedoch eine schlechte Verbindungsqualität durch Sprünge und Aussetzer.

Unter der Latenz oder auch absoluten Verzögerung wird die Zeit verstanden, die es dauert, Pakete vom Sender zum Empfänger zu schicken. Eine Verzögerung von ca. 150 ms ist für eine Sprachverbindung akzeptierbar; unter höheren Latenzzeiten leidet die Verbindungsqualität, da die Teilnehmer eine deutliche Pause in der Übertragung wahrnehmen.

Die Latenz setzt sich aus zwei Komponenten zusammen: der fixen Netzwerk-Verzögerung, die u. a. durch die Encodierung und Paketierung der Sprache entsteht und der variablen Netzwerk-Verzögerung, die auftritt, wenn Netzwerkanbindungen überlastet sind und Pakete deswegen zurückgehalten werden.

Verzögerungsschwankungen werden auch als Jitter bezeichnet. Hierunter ist die Abweichung zwischen der erwarteten Ankunftszeit und der tatsächlichen Ankunftszeit eines Paketes zu verstehen. VoIP-Geräte besitzen einen sog. Jitter Buffer, in dem Pakete zwischengespeichert werden, um Verzögerungsschwankungen in einen konstanten Paketfluss umzuwandeln. Wenn neue Pakete eintreffen, der Puffer jedoch gefüllt ist, da er zu gering dimensioniert ist, so werden Pakete verworfen. Ein zu großer Puffer hingegen erhöht die absolute Verzögerung, da erst eine bestimmte Anzahl von Paketen im Puffer gesammelt werden muss.

Neben diesen Nachteilen, die die Verbindungsqualität betreffen, existieren auch Nachteile, die aus der für VoIP verwendeten Infrastruktur resultieren. So sind die verwendeten Computersysteme z. B. anfällig gegen Viren und auch Fehlkonfigurationen von Programmen oder Systemen können eine Kommunikation per VoIP unmöglich machen. Ein weiteres Problem, das die Telefonie über Datennetze kennzeichnet, betrifft den Sicherheitsaspekt. Da Datennetze seit jeher von Angreifern bedroht werden, besteht diese Gefahr auch für die VoIP-Telefonie. Welche Möglichkeiten sich einem Angreifer bieten, um Authentizität, Vertraulichkeit und Verfügbarkeit von VoIP-Systemen zu gefährden, wird in Kapitel 5 dargelegt.

Inhaltsverzeichnis: