Penetrationstest von PBX (Software-Telefonanlagen)

Art der Arbeit: Bachelorarbeit, Projektarbeit

Fachlicher Hintergrund:

Moderne Telefonanlagen bestehen seit Jahren nur noch aus Software auf einem Server und virtuellen oder echten Endgeräten. Typischerweise sind diese Telefonsystem an das Internet angebunden und tief in die Netzwerke von Unternehmen und Institutionen integriert.

Aufgabenbeschreibung:

In dieser Arbeit soll eine einfache Sicherheitsanlyse durchgeführt werden. Dabei können Tests durchgeführt, Berichte über bereits gefundene Sicherheitslücken gesammelt und bereits durchgeführte Tests durch Dritte ausgewertet werden.

Es sollen folgende Fragestellungen beantwortet werden:

  • Welche Methodik eignet sich für die Untersuchung von Sicherheitsrisiken in Software-Telefonanlagen?
  • Wie hoch ist das Risiko?
  • Welche Angriffe sind bekannt?
  • Welche Auswirkungen haben diese Angriffe?

Mögliche Arbeitsschritte:

  • Betrachtung gängiger Protokolle für Public Branch Exchanges (PBX, Telefonanlagen), wie z.B. die Protokolle des Cisco Call Managers, SIP, RTP, RTCP usw.
  • Betrachtung einiger Hardware-Geräte (Telefone).
  • Installation einer eigenen Telefonanlage zum Experimentieren.
  • Betrachtung der typischen Anwendungsarchitekturen.
  • Betrachtung der Sicherheitsmechanismen dieser Protokolle und Systeme.
  • Entwurf von möglichen Angriffsszenarios.
  • Bewertung von Angriffen bezüglich Durchführbarkeit und Auswirkungen (Risiko).
  • Sammlung von Informationen über bekannte Angriffe.
  • Durchführung von Tests.
  • Auswertung.

Die genaue Festlegung des Themas erfolgt in Abstimmung mit dem Betreuer.

Literatur und Ressourcen:

  • Ochang, Paschal A., and Philip Irving. "Security Analysis of VoIP Networks Through Penetration Testing." International Conference on Information and Software Technologies. Springer, Cham, 2017.
  • Kumar, Vinod, and O. P. Roy. "Reliability and Security Analysis of VoIP Communication Systems." Rising Threats in Expert Applications and Solutions. Springer, Singapore, 2021. 687-693.

Betreuer: Dr. Thomas Mundt (thomas.mundt@uni-rostock.de)

Voraussetzungen: Grundfertigkeiten auf dem Bereich Datenanalyse sind von Vorteil.