Analyse und Weiterentwicklung der Software-PBX Asterisk im Hinblick auf die Realisierung des IT-Schutzzieles »Vertraulichkeit«
Ziel der Bachelor-Abschlussarbeit ist es zunächst, potentielle Sicherheitslücken der Software-PBX Asterisk im Hinblick auf Sicherstellung der Vertraulichkeit aufzuzeigen und anhand eines Testnetzes zu verifizieren. Die Testumgebung soll mindestens drei Endgeräte und einen Asterisk Server beinhalten. Bei den Endgeräten sollte es sich um Hardware- oder Software-IP-Telefone handeln; die physikalische Anbindung der Endgeräte kann drahtlos oder drahtgebunden erfolgen.
Im ersten Schritt soll aufgezeigt werden, welche Angriffe im Hinblick auf die Vertraulichkeit der Nutz- und Signalisierungsdaten durchführbar sind. Dies soll unter anderem mit der Software Wireshark und Cain & Abel erfolgen. Für die Angriffe wird ein Zugriff auf das Übertragungsnetz vorausgesetzt. Es soll ebenso überprüft werden, ob die Angriffe Auswirkungen auf das IT-Schutzziel: »Integrität« haben.
Ziel des zweiten Teils der Arbeit ist die Konzeption von Gegenmaßnahmen, die zu einem erhöhten Schutz der Vertraulichkeit führen. Hierbei soll insbesondere die Verwendung von SRTP, sowie TLS unter Zuhilfenahme des SER (SIP Express Router) in Betracht gezogen werden. Angriffe über die Betriebssystemebene sollen nicht berücksichtig werden.
Die Gegenmaßnahmen sollen stufenweise im Testsystem implementiert werden. Die Wirkungsweise und Wirksamkeit, sowie die Umsetzbarkeit und eventuelle Probleme der Gegenmaßnahmen sind zu analysieren und zu bewerten. Als potentielle Probleme sind insbesondere Performanceeinbußen, sowie Speicherung, Schutz und bertragung von Zertifikaten und Schlüsseln zu überprüfen.
