nw  

Sicheres Voice over IP in einer heterogenen Umgebung

Zusammenfassung

Der erste Teil umfasst den Aufbau und die detaillierte Dokumentation einer heterogenen VoIP-Laborumgebung mit Dual-Stack-Unterstützung, sowie die Durchführung einer Analyse der Interkompatibilität mit Endgeräten (Cisco IP Phone 7911G, Snom 300, Linksys SP942, CSipSimple). Es soll die Interkompatibilität bezüglich unverschlüsselten bzw. verschlüsselten Telefongesprächen, NAT und IPv6 empirisch eruiert werden. Ferner wird auf den Einsatz von herstellerspezifischen Telefon-Managementlösungen verzichtet. Letzteres führte teilweise zu grossem manuellem Konfigurationsaufwand. Unseren Ergebnissen zufolge ist die unverschlüsselte Kommunikation über IPv4 und NAT mit allen Endgeräten uneingeschränkt möglich. Das Führen von verschlüsselten Telefongesprächen ist aus unterschiedlichen Gründen nur mit dem Snom 300 Hardwaretelefon und dem CSipSimple Softwaretelefon möglich. Die Unterstützung für SIP über IPv6 beherrscht nur CSipSimple. Das fehlende Interesse an IPv6 bei Hardwaretelefonen erklären wir uns mit dem geringen Mehrwert, der durch die weitverbreitete Verwendung in IPv4-Firmennetzen zurückzuführen ist.

Im zweiten Teil wurde ein VoIP Security Labor, inklusiv Theorieteil, für zukünftige ICT-Studierende erarbeitet. Ziel dieses Labors ist die Vermittlung von VoIP-Grundlagen, sowie das Aufzeigen der Wichtigkeit von Verschlüsselung bei VoIP. Im Theorieteil erlernen die Studierenden die Grundlagen von VoIP. Der darauffolgende praktische Teil setzt den Fokus auf die Analyse von Gesprächsabläufen und das Mithören von unverschlüsselten Gesprächen in Echtzeit. Dieses VoIP Security Labor nimmt in zukünftigen Vorlesungen einen festen Platz ein.

Der letzte Teil befasst sich mit der Installation und Konfiguration eines VoIP-Servers im produktiven Netz der Fachhochschule Nordwestschweiz. Der VoIP-Server wird zukünftig als Spielwiese für wissenschaftliche Arbeiten und Tests von Angehörigen der Fachschule Nordwestschweiz verwendet. Eine produktive Nutzung ist nicht vorgesehen. Entgegen unseren Befürchtungen wird die verschlüsselte Kommunikation über das Internet nicht durch unangenehme Verzögerungen oder Paketverluste getrübt. Selbst über eine mobile Internetverbindung ist der VoIP-Server problemlos nutzbar.


Schlüsselbegriffe
Technologien VoIP, TCP, UDP, IPv6, SIP, RTP, DNS, FTP, NAT, Routing, Switching
Tools VMware Workstation, AsteriskNOW,

Ziele

Ausgangslage

In Vorgängerarbeiten wurden die Verschlüsselung des Kontrollkanals und des Sprachkanals bei OpenSource Voice over IP (VoIP) Anwendungen untersucht. Mit den OpenSource Clients CSipSimple für Android Telefone und dem Jitsi-Client für Rechner einerseits und mit einem SIP-Server andererseits, sollte es möglich sein, sicheres VoIP sowohl über IPv4 als auch IPv6 laufen zu lassen.


Ergebnisse

Heterogene VoIP-Umgebung im Labor

Die Kompatibilität für das Führen von unverschlüsselten Gesprächen ist bei allen geprüften Telefonen sehr gut. Es wurden in der Sprachqualität und der Übermittlungsverzögerung keine Unterschiede unter den einzelnen Telefonen festgestellt. Weniger positiv fällt die Kompatibilität im Hinblick auf verschlüsselte Gespräche aus. So unterstützen die Telefone von Linksys, die Verschlüsselung der Gespräche nicht vollständig und im Falle von Cisco, ohne den Einsatz der kostenpflichtigen Verwaltungssoftware „Cisco CallManager“, erst gar nicht. Die verschlüsselte Kommunikation funktioniert nur mit dem Snom 300 Hardwaretelefon und dem CSipSimple Softwaretelefon ohne Einschränkungen.




NAT bereitete uns, entgegen seinem Ruf im Zusammenhang mit VoIP, keine Probleme. Hier ist jedoch anzumerken, dass es unterschiedliche NAT-Arten gibt, die je nach Art der IP-Übersetzung zu Problemen führen können.

Der VoIP-Server AsteriskNOW bietet volle Unterstützung für IPv6 und ermöglicht Telefongespräche zwischen IPv6- und IPv4-Endgeräten. Wie unsere Analysen und Recherchen ergeben haben, bietet keines der getesteten Hardwaretelefone mit der neusten Firmware Version Unterstützung für SIP über IPv6. Lediglich das getestete Softwaretelefon CSipSimple funktioniert mit kleineren Einschränkungen über IPv6.


VoIP Security Labor

Im zweiten Teil dieser Arbeit wurde ein VoIP Security Labor, inklusiv Theorieteil für zukünftige ICT-Studierende, erarbeitet. Ziel dieses Labors ist die Vermittlung von VoIP-Grundlagen sowie das Aufzeigen der Wichtigkeit von Schlüsselung bei VoIP. Im Theorieteil werden den Studierenden die Grundlagen von VoIP, der Gesprächsablauf und wichtige Teile einer VoIP-Infrastruktur vermittelt. Im darauffolgenden Security Labor kann das theoretisch erworbene Wissen durch praktische Aufgaben weiter vertieft werden. Die Studierenden lernen auf spielerische Art, in vier Teilaufgaben, das Zusammenspiel der VoIP-Protokolle, die Auswirkungen bei sicherheitsrelevanten Konfigurationsanpassungen und können Gesprächsabläufe in Echtzeit mitverfolgen und mithören. Um den Lernerfolg zusätzlich zu verbessern, werden anhand verschiedener Kontrollfragen die wesentlichen Aspekte der Teilaufgaben nochmals beleuchtet. Mit vorkonfigurierten Hardwaretelefonen und VoIP-Servern ausgestattet, steht der erfolgreichen Durchführung des Security Labors nichts mehr im Weg.


VoIP-Server im FHNW Netz

Im letzten Teil wurde ein VoIP-Server im produktiven Netz der Fachhochschule Nordwestschweiz aufgebaut. Dieser Server dient als zukünftige Spielwiese für Angehörige der Fachhochschule Nordwestschweiz und wird nicht produktiv eingesetzt. Entgegen unseren Befürchtungen wird die verschlüsselte Kommunikation über das Internet nicht durch unangenehme Verzögerungen oder Paketverluste getrübt und ist selbst über eine mobile Internetverbindung problemlos nutzbar.


Projektdaten
Projekttyp Bachelorthesis
Projektdauer 1 Semester
Aufwand in Personenstunden 360 Stunden je Teammitglied
Teamgrössse 2 Personen

Auftraggeber

Fachhochschule Nordwestschweiz

Bahnhofstrasse 6, 5210 Windisch

www.fhnw.ch/technik


Betreuer:

Dr. Prof. Peter Gysel


Projektteam

Patrick Kolmann

Kevin Wieser


Kontakt

Dr. Prof. Peter Gysel, peter.gysel@fhnw.ch


<< zurück