[Frage] Sicherheit von normalen VoIP Telefonaten

[murks86]

Hallo zusammen,

ich bin kürzlich von ISDN-Telefonie auf die VoIP-Telefonie umgestiegen und beschäftige mich gerade mit der Sicherheit der VoIP-Telefonie. Mir ist durchaus bewusst, dass das gesprochene Wort bei analogen Telefonanschlüssen und auch bei ISDN-Anschlüssen unverschlüsselt übertragen wurde. Wie verhält es sich eigentlich bei der VoIP-Telefonie der Telekom? Man findet dazu relativ widersprüchliche Informationen in Foren (auch den Telekom hilft Foren) und ich habe im Endeffekt nur einen relativ offiziellen Artikel in einem Blog finden können: http://blog.telekom.com/2015/05/29/voip-sicherheit/

In manchen Foren wird auch berichtet, dass die Anmeldedaten an den VoIP-Servern der Telekom angeblich unverschlüsselt übertragen werden (auch wenn die Anmeldedaten wohl nur in bestimmen Szenarien mit z.B. Inklusivnutzern notwendig sind), was ich dann doch etwas befremdlich finden würde. Kann hier jemand der Profis etwas zu sagen?

Ich benötige nicht wirklich eine End2End-Encryption bei meinen Telefonaten, fände es aber auch befremdlich, wenn de facto jeder Internet-Teilnehmer weltweit (und nicht nur Behörden, Geheimdienste) meine Telefonate mithören könnte, wenn diese nicht direkt von einem Telefonnetz ins andere Telefonnetz geleitet werden. Die erhöhte Sicherheit durch ein getrenntes Netz für die VoIP-Telefonie gilt zunächst ja mal nur für die Telekom und jeden anderen Anbieter mit getrenntem Netz und auch nur solange die Übergabe nicht über das "normale" Internet erfolgt. Zumindest verstehe ich das bisher so.

Ich habe eine Fritz!Box 7490 mit neuester Firmware im Einsatz, den entsprechenden DECT-Repeater von AVM (auch mit neuester Firmware) und insgesamt 5 Fritz!Fon C5 (auch mit neuester Firmware). Die DECT-Verschlüsselung und die erweiterten Sicherheitsfunktionen habe ich aktiviert. Das hat an sich natürlich erst mal nichts mit der IP-Telefonie zu tun, verhindert aber schon mal das simple Abhören der Gespräche bei der DECT-Übertragung.

Kann ich mit einfachen Maßnahmen bei der vorhandenen Hardware die Sicherheit der IP-Telefonie weiter erhöhen?

 

[rollo]

Verschlüsselung wird leider von den klassichen Telefon-Providern nicht angeboten. Gegenüber ISDN/Analog ergibt sich IMHO allerdings keine Verschlechterung. Das IP-Netz der Telekom ist ja erstmal ein geschlossenes Netz. Einfacher wird das Abhören in ungeschützten lokalen Netzen, was sich aber noch am einfachsten verhindern läßt, und wenn das Ziel bei einem providerunabhängigen Anbieter liegt. In dem Fall geht das Gespräch über öffentliche Netze. Das war aber auch schon so, wenn von einem klassischen Anschluss ein entsprechender VoIP-Anschluss angerufen wurde.

Es ist nun nicht so, dass "jeder" die Gespräche abhören kann. Allerdings reicht ein Zugriff auf einen beteiligten Switch oder Router um Daten mitlesen/-hören zu können wovon gewisse Kreise ja auch regen Gebrauch machen.

jo

 

[koyaanisqatsi]

Moins


Wenn unsere Staatsoberhäupter nicht mal mit ihren Kryptohandys sicher telefonieren können, wie soll das dann einem Normalo möglich sein :?:

Ausnahme: Völlige Ignoranz
Da "Sicherheit" nur ein Gefühl ist, rate ich dir dich so wenig wie möglich mit diesem Thema zu beschäftigen.
Schwarze undurchsichtige Sonnenbrille aufgesetzt und: "Ich seh nix, also ist da auch nix"*


* Frei zitiert aus: "The Hitch-Hikers Guide To The Galaxy"

 

[MuP]

Die sog. gesetzlich fixierte "Lawful Interception" gilt auch in DE für alle Provider, detailliert basierend auf der TKÜV > "Bereithalten von unverschlüsselten Schnittstellen für staatliche Abhörmaßnahmen"

 

[KunterBunter]

In manchen Foren wird auch berichtet, dass die Anmeldedaten an den VoIP-Servern der Telekom angeblich unverschlüsselt übertragen werden (auch wenn die Anmeldedaten wohl nur in bestimmen Szenarien mit z.B. Inklusivnutzern notwendig sind), was ich dann doch etwas befremdlich finden würde. Kann hier jemand der Profis etwas zu sagen?

Ich bin kein Profi, aber das ist dann falsch, was so in manchen Foren berichtet wird. Ich kenne keinen VoIP-Provider, bei dem das Anmeldekennwort unverschlüsselt übertragen wird. Wo hast du das gelesen?

 

[mrknister2009]

Hallo,

also zumindest bei der Telekom wird KEIN Kennwort unverschlüsselt übertragen. Bei einigen Providern gibt es eine sog. SIP-Digest-Authentication, dort wird tatsächlich ein Kennwort übertragen, aber das ganze passiert in Challenging-Verfahren, da spielt das keine Rolle.
Übrigens war das Abhören in Zeiten der analogen Telefonie sogar noch einfacher als heute. Ich erinnere nur mal an den einfacher Lautsprecher zum Anklemmen.

Gruß
Mrknister

 

[thtomate12]

also zumindest bei der Telekom wird KEIN Kennwort unverschlüsselt übertragen.

Doch, das VoIP-Kennwort für die Hauptrufnummer wird auf der DSL-Leitung unverschlüsselt übertragen, beim Aufbau der PPP-Verbindung.

 

[PeterPawn]

Ja, das mit dem Lautsprecher ist/war schlimm und einfach (die haben aber dann meist die Hörergarnitur mit der Kroko-Klemme verwendet, sogar richtig zum Testen der Leitung ) ... aber das eigentliche Problem ist ja nicht das Abhören an sich (und auch keine "lawful interception"), sondern die anlaßlose Massenüberwachung und die funktioniert nun mal nur dann, wenn die Daten digitalisiert werden oder bereits so vorliegen und einfach automatisch analysiert werden können.

Beim Abhören von analog mitgeschnittenen Telefonaten kam schon die Stasi im Osten nicht immer nach - hier dann eine reine Frage der Man-Power und sogar noch mit dem "menschlichen Faktor" verknüpft, der anhand der Satzmelodie oder anhand des Kontextes zwischen der "Sex-Bombe" und dem "Sex auf der Bombe" oder den "sechs Bomben" unterscheiden kann - bei automatischer Auswertung erfordert das schon eine deutlich höhere Komplexität in den kognitiven Funktionen der Software bzw. da wird dann schon mal das eher harmlose Gespräch verdächtig und näherer Untersuchung zugeführt.

Auch wenn vermutlich kein ernstzunehmender Terrorist und/oder Terrorsympathisant mehr über Bomben am Telefon offen reden dürfte ... da diese Leute vermutlich die Bedeutung sicherer Telefonate und Kommunikation im Allgemeinen ohnehin besser verstehen werden als z.B. künftige Präsidentschaftskandidatinnen der Demokraten in den USA oder unsere Proktologin für Hrn. Obama, die ja auch mal gerne über das private Handy telefoniert (zumindest gibt es entsprechende Quellen, deren Glaubwürdigkeit aber auch jeder selbst beurteilen sollte), wenn die Verwendung der passenden Gerätschaften dann als "zu kompliziert" erscheint.

 

[mrknister2009]

Hallo thtomate12,

was soll ich denn damit anfangen? Also, die PPP-Verbindung wird mit dem BRAS oder dem BNG aufgebaut. Da kann gar kein VoIP-Kennwort übertragen werden, da VoIP (wie der Name schon sagt) über IP übertragen wird und PPP(oE) gar nicht bis zum SIP-Proxy kommt. Also, wo kein IP, da kein VoIP.
Und dann muss ich dein Weltbild leider ein zweites Mal zerstören: Die Telekom verwendet im Normalfall gar keine Kennwörter, da dort sogenanntes "NASS Bundled Authentication" eingesetzt wird.

Alles andere wäre auch eine völlige Katastrophe...

 

[rerhafnhabu]

Doch, das VoIP-Kennwort für die Hauptrufnummer wird auf der DSL-Leitung unverschlüsselt übertragen, beim Aufbau der PPP-Verbindung.

Und wie ist das an BNG-Anschlüssen, bei denen gar keine Eingabe der Nutzerdaten notwendig ist?
Ich habe das noch nicht selbst ausprobiert, ob das auch mit einer Fritzbox funktioniert.

 

[mrknister2009]

Bei den BNG-Anschlüssen wirst du anhand deines physikalischen Anschlusses identifiziert. In der Vermittlungsstelle ist ja bekannt, an welchem Port dein Anschluss liegt und daran kann dann ein MSAN die entsprechenden Informationen einfließen lassen.

 

[rerhafnhabu]

Bei den BNG-Anschlüssen wirst du anhand deines physikalischen Anschlusses identifiziert. In der Vermittlungsstelle ist ja bekannt, an welchem Port dein Anschluss liegt und daran kann dann ein MSAN die entsprechenden Informationen einfließen lassen.

Genau so habe ich das auch verstanden.
Hier sollten also keine PPP-Einwahldaten unverschlüsselt über die Leitung rauschen, oder?

 

[thtomate12]

Da kann gar kein VoIP-Kennwort übertragen werden,

Doch, es ist zwangsweise das gleiche.


Ja, BNG bringt etwas Besserung.