Sicherheitsbewertung der Open Source Telefonanlage 'Asterisk' unter besonderer Berücksichtigung verschiedener VoIP-Protokolle

Diplomarbeit aus dem Jahr 2006 im Fachbereich Informatik - Wirtschaftsinformatik, Note: 1,0, Universität Duisburg-Essen, Sprache: Deutsch, Abstract: [...] Da die Bedeutung von VoIP kontinuierlich steigt, soll diese Arbeit Aufschluss darüber geben, wie sicher bzw. unsicher Kommunikation per VoIP ist. Dabei wird der Schwerpunkt insbesondere auf das auch kommerziell weit verbreitete Session Initiation Protocol (SIP) sowie die Software- Telefonanlage Asterisk und dessen proprietäres Protokoll Inter Asterisk eXchange (IAX) gelegt. Zusätzlich soll gezeigt werden, welchen Einfluss Asterisk auf die Sicherheit der Kommunikation hat, d. h. ob durch Einsatz eines Asterisk-Servers evtl. neue Schwachstellen entstehen oder ob dieser zur Reduktion der Risiken beitragen kann. Es soll untersucht werden, unter welchen Bedingungen die Herstellung einer Verbindung unmöglich gemacht werden kann, bzw. wie eine bestehende Verbindung gestört oder unterbrochen werden kann. Ein weiterer Aspekt ist das Aufzeigen von Möglichkeiten zum Abhören einer Kommunikationsverbindung und zum Fälschen von Authentifizierungsinformationen. Diese beiden Möglichkeiten bieten dabei auch das größte Schadenspotential, da Angriffe im Regelfall unbemerkt durchgeführt werden und einerseits sensible Informationen in den Besitz des Angreifers gelangen können sowie andererseits die Authentifizierungsinformationen z. B. dazu genutzt werden können, um auf Kosten des Opfers zu telefonieren. Zur konkreten Beschreibung, welche Verfahren angewandt werden können, um die erwähnten Angriffe zu realisieren, wird eine Testumgebung eingerichtet, die aus verschiedenen Endgeräten und zwei Asterisk-Servern besteht. Eine genaue Beschreibung von Asterisk und des Aufbaus der Testumgebung folgt in Kapitel 3. Anhand der Ergebnisse der Untersuchungen sollen zum Abschluss eine qualifizierte Bewertung des tatsächlichen Gefahrenpotentials sowie Empfehlungen zur Reduktion des Sicherheitsrisikos bei VoIP-Telefonaten erfolgen. Da es in der Fachliteratur bisher wenige Quellen gibt, die sich mit diesem Thema und insbesondere Asterisk bzw. dem IAX-Protokoll beschäftigen, resultiert daraus nicht zuletzt auch eine praktische Relevanz.