VOIP and Security

VoIP and Security (Prof. Koops, Dipl.-Ing. Struß)

 

Was steckt hinter SecVoIP?

"Normale" VoIP-Verbindungen, also Telefongespräche über das Internet, werden zum größten Teil mit Hilfe der Protokolle SIP und RTP übertragen. Alle zur Zeit am Markt befindlichen SIP-Provider nutzen diese Standards.

Wenig bekannt bzw. nicht mit dem richtigen Stellenwert bemessen scheint zu sein, dass mit frei erhältlichen Software-Tools eine Umleitung der RTP-Datenströme über einen eigenen Rechner leicht möglich ist ("man in the middle attack"). Auf diesem eigenen Rechner können die Sprach-Datenströme in Echtzeit gespeichert und decodiert werden, ein Mithören ist also problemlos möglich.

Die Gesprächspartner auf beiden Seiten merken davon nichts. Eine ähnliche Art des Angriffs lässt sich auch im WAN, also dem Internet durchführen. Allerdings nicht ohne dabei zahlreiche Gesetze und Verordnungen zu missachten, was gewisse Personen nicht stört bzw. stören muss! Es gibt nur sehr wenige Provider, die eine Verschlüsselung im Bereich VoIP anbieten. Bekannt ist uns nur ein Düsseldorfer Provider, der aber "nur" SRTP anbietet, nicht SIPS. Höchste Zeit also, eine potente Lösung online zu stellen, die eine gesicherte Privatsphäre garantiert.

Link zum sicheren VoIP-Server
SecVoIP

Die Idee zu diesem Projekt entstand im Labor für Kommunikationsnetze und Übermittlungstechnik der Jade Hochschule in Wilhelmshaven. Im Rahmen einer Bachelorarbeit wurde im Jahr 2009 im Labor der Grundstein für den öffentlichen, hochsicheren Telefonie-Server gelegt.

Wir untersuchen seit Jahren die Möglichkeiten und Gefahren der Kommunikation über öffentliche Datennetze, also kurz VoIP über das Internet.

Im Rahmen dieser Untersuchungen, die sowohl von Diplomarbeiten als auch von Studienarbeiten in Projektform begleitet wurden, wurden zahleiche TelefonieServer-Lösungen aufgesetzt, konfiguriert und untersucht.

Die Spanne ging von proprietären Lösungen, wie z.B. dem Cisco CallManager, Callmanager Express und Panasonic Unified Communication Server bis hin zu Open Source Lösungen wie Asterisk und FreeSWITCH.

Eher am Rande wurde zeitgleich die paketbasierte Übertragung der bei VoIP anfallenden Sprach- Datenströme im LAN untersucht. Es stellte sich heraus, dass mit frei erhältlichen Software-Tools eine Umleitung der Datenströme über einen eigenen Rechner leicht möglich ist (man in the middle attack). Auf diesem eigenen Rechner können die Sprach-Datenströme in Echtzeit gespeichert und decodiert werden, ein Mithören ist also problemlos möglich. Die Gesprächspartner auf beiden Seiten merken davon nichts. Diese Tatsache ist im Moment nicht sehr bekannt bzw. ihr wird nicht der richtige Stellenwert beigemessen !

Eine ähnliche Art des Angriffs lässt sich auch im WAN, also dem Internet durchführen. Allerdings nicht ohne dabei zahlreiche Gesetze und Verordnungen zu missachten, was gewisse Personen nicht stört bzw. stören muss !

Es gibt nur sehr wenige Provider, die eine Verschlüsselung im Bereich VoIP anbieten. Bekannt ist uns nur ein Düsseldorfer Provider, der aber "nur" SRTP anbietet, nicht SIPS.

Wir möchten diese Lücke schließen.

Wenn Sie Wert auf kompromisslose Privatsphäre legen, so melden sie sich an unserem System an und laden sich die kostenlose Software PhonerLite herunter, oder kaufen sich ein SNOM320 IP-Telefon. Nach der Registrierung auf unserem FreeSWITCH, der auf einem leistungsfähigen, von der Außenwelt abgeschotteten Server in unserem Rechenzentrum läuft, können sie mit anderen angemeldeten Teilnehmern "unabhörbar" telefonieren.

In einem späteren Ausbauschritt ist außerdem an ein Routing in das öffentliche Telefonnetz geplant. Die Nutzung dieser Funktion wird nicht mehr kostenlos angeboten werden können.

Was machen wir besser ?
Grundlage unserer Lösung ist eine Open Source Software namens "FreeSWITCH". Mit FreeSWITCH ist es möglich, über das Internet geführte Telefongespräche (VoIP-Calls) mit den Protokollen SIPS und SRTP zu verschlüsseln. Wird der Sprach-Datenstrom verschlüsselt, so ist dem Lauscher in der Mitte die Grundlage genommen. Ermöglicht wird die Verschlüsselung durch eine Protokollerweiterung des bei SIP-basierter Kommunikation eingesetzten Übetragungsprotokolls RTP (Real Time Protocol) hin zu SRTP (Secure Real.....). Die Daten werden bei SRTP mit dem hocheffizienten AES Verschlüsselungsalgorithmus verschlüsselt. Um auch den beim Anrufaufbau übertragenen Schlüssel sowie die Aufbaudaten selbst zu verschlüsseln wird die Erweiterung des SIP verwendet, namentlich SIPS. (Session Initiation Protocol Security). Die Verschlüsselung erfolgt nach TLS/SSL. Dieses Verfahren wird auch bei sicheren Web-Verbindungen angewandt (https).

Die zugrundeliegenden Algorithmen sind derart komplex, dass eine Entschlüsselung nach derzeitigem Stand der Wissenschaft in vertretbarer Zeit nicht möglich ist! - Welche Geräte arbeiten mit SecVoIP zusammen? - Leider ist nicht jedes VoIP-Telefon bzw. Softclient in der Lage diese Verschlüsselungen durchzuführen.

Empfohlene Hard- bzw. Software
Wir haben nach zahlreichen Tests zwei Telefonielösungen gefunden, die den hohen Ansprüchen genügen. Wir empfehlen für vollverschlüsselte Kommunikation die Nutzung der VoIP-Telefonlösungen: 1. Hardware-Telefon: "SNOM 320" und/oder... 2. Software-Telefon: "PhonerLite" Möglich ist aber auch die unverschlüsselte Nutzung unseres Servers in Funktion eines "normalen" SIP-Servers. In diesem Fall sind alle auf dem Markt erhältlichen SIP basierten Telefonie-Clients nutzbar.

Sollten Sie ein Telefon oder eine Telefonsoftware finden, die die Anforderungen der Vollverschlüsselung erfüllt, sich also mit unserem FreeSWITCH betreiben lässt, so lassen Sie es uns bitte wissen!
mailto:webmaster@secvoip.de