Schwachstellen von Voice over IP aufdecken

VoIP-Infrastrukturen sind internen und externen Angriffen ausgesetzt. Ein Blick auf mögliche Abwehrmaßnahmen – und darauf, wie sie sich testen lassen.

Artikel verschenken

4

03.12.2019, 09:03 Uhr

Lesezeit: 19 Min.

iX Magazin

Von

Benjamin Pfister

Schwachstellen von Voice over IP aufdecken
- Details des Pentests
- Im VLAN mitmischen
Exploitation auf Netzwerkebene
Angriffsvektor WLAN-Telefone
Sprache vortäuschen
Allgemeine Sicherheitsempfehlungen

Artikel in iX 12/2019 lesen

Klassische Telefonie konnte keine Datenpakete übertragen, die sich kopieren oder manipulieren ließen, sondern nur leitungsvermittelte Verbindungen zwischen den Gesprächsteilnehmern aufbauen. Wer hier eingreifen wollte, benötigte einen direkten Zugriff auf den Kommunikationsweg. Das Netz war autark und nicht aus anderen Netzen angreifbar.

Wer die IP-Telefonie nutzt, muss mit allen Angriffen rechnen, die auf Datennetze zielen – insbesondere mit applikationsspezifischen Angriffen auf Voice over IP (VoIP), etwa auf das Session Initiation Protocol (SIP). Dieses Signalisierungsprotokoll stellt Verbindungen her, überträgt Metadaten und dient meist der Kopplung mit öffentlichen Netzbetreibern. Neben Denial-of-Service-Angriffen (DoS) und dem Abgreifen von Metadaten gehört Gebührenbetrug zu den Bedrohungen im VoIP-Umfeld. Hier können innerhalb kurzer Zeit hohe Rechnungen auf die Betroffenen zukommen.

Zudem lassen sich Datennetze über schlecht gesicherte VoIP-Endgeräte angreifen– etwa IP-Telefone. Zum Prüfen der eigenen Systeme auf eventuelle Verwundbarkeiten gibt es zahlreiche Pentest-Werkzeuge.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Das Bild zeigt zwei Kreditkarten von Mastercard und Visa.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

Security: Passkeys mit Open-Source-Tools nutzen

Sie können das sichere und komfortable Login-Verfahren auch mit Open-Source-Tools verwenden, ohne sich von Google oder Apple abhängig zu machen. So geht's!

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Wir zeigen, wie Sie Proxmox aufsetzen, virtuelle Maschinen erstellen oder bestehende importieren und was man beachten muss, um es produktiv zu nutzen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

Security: Passkeys mit Open-Source-Tools nutzen

Sie können das sichere und komfortable Login-Verfahren auch mit Open-Source-Tools verwenden, ohne sich von Google oder Apple abhängig zu machen. So geht's!

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Wir zeigen, wie Sie Proxmox aufsetzen, virtuelle Maschinen erstellen oder bestehende importieren und was man beachten muss, um es produktiv zu nutzen.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Schwachstellen von Voice over IP aufdecken

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Security: Passkeys mit Open-Source-Tools nutzen

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Security: Passkeys mit Open-Source-Tools nutzen

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.