Freie Leitung

von Thomas Joos

Die Telekommunikation in Unternehmen basiert inzwischen fast vollständig auf VoIP. Im Zentrum dabei steht das Session Initiation Protocol, das sowohl die Grundlage für Gespräche als auch ein potenzielles Einfallstor für Angreifer bildet. Unsichere Passwörter, falsch konfigurierte Server und blockierte Ports zählen zu den häufigsten Stolpersteinen. Wir stellen Ihnen Open-Source-Tools wie SIPVicious, sngrep und Wireshark vor, mit denen Sie VoIP-Netzwerke testen und absichern können.

Allen E-Mail, Messengern und Co. zum Trotz fußt ein Großteil der Kommunikation in Firmen auf Telefonaten. Werfen wir zunächst einen Blick auf die VoIP-Technologie dahinter. Ein Gespräch beginnt zunächst mit der Registrierung eines Endgeräts beim SIP-Server. Dieser Prozess erfolgt über das REGISTER-Kommando, bei dem das Endgerät seine SIP-ID und die Zugangsdaten an den Server übermittelt. Dabei kann es sich um eine lokale Telefonanlage handeln, aber auch um eine Anlage in der Cloud, mit der sich lokale Endgeräte verbinden. Danach erfolgt der Verbindungsaufbau über das INVITE-Kommando.

Der SIP-Server signalisiert dem Zielgerät die eingehende Einladung und verhandelt mit dem Session Description Protocol (SDP) die Verbindungsparameter, etwa den Codec und die Ports für den Medienstrom (RTP). Der eigentliche Datentransfer erfolgt über RTP, während SIP die Steuerung übernimmt. Am Ende wird die Verbindung mit dem BYE-Kommando beendet. Probleme entstehen häufig durch Blockierungen in Firewalls, die SIP- oder RTP-Pakete filtern, oder durch fehlerhafte Konfigurationen auf den Endgeräten und dem Server. Um solchen Problemen auf den Grund zu gehen, helfen die Tools in diesem Beitrag.

Wichtige Ports in VoIP-Netzwerken

SIP nutzt standardmäßig die Ports 5060 für unverschlüsselte Verbindungen und 5061 für verschlüsselte Verbindungen über TLS (Transport Layer Security). Die Ports lassen sich allerdings frei wählen. Für die Übertragung der Medienströme, wie Sprache oder Video, kommt das Real-time Transport Protocol (RTP) zum Einsatz, das meist Ports im Bereich von 10.000 bis 20.000 verwendet. Diese sind ebenfalls nicht festgelegt und variieren je nach Konfiguration.

Ist der SIP-Port blockiert, können sich Endgeräte nicht beim SIP-Server registrieren. Dies führt dazu, dass Endgeräte nicht in der Lage sind, Anrufe zu initiieren oder zu empfangen. Blockiert die Firewall hingegen RTP-Ports, kommt es zu Verbindungsabbrüchen oder fehlendem Audio in Gesprächen, da die Medienströme nicht beim Ziel ankommen.

Mithilfe von Tools wie sngrep testen Sie, ob REGISTER- oder INVITE-Pakete den SIP-Server erreichen. Bleiben diese Pakete aus, ist oft eine Firewall die Ursache. Sie können dann gezielt die relevanten Ports in der Firewall freigeben oder Portweiterleitungen einrichten. Eine tiefergehende Analyse mit Wireshark hilft zusätzlich, die genaue Stelle der Blockierung zu identifizieren, indem das Tool die Pakete auf dem Weg vom Client zum Server verfolgt. So lässt sich auch sicherstellen, dass die Firewall-Regeln den Zugriff auf autorisierte Geräte beschränken.

SIP-Extensions: Risiken und Problemlösungen

SIP-Extensions sind die Identitäten innerhalb eines VoIP-Systems. Jede Extension oder auch Erweiterung repräsentiert eine spezifische Nummer oder ein Endgerät, das mit einem SIP-Server verbunden ist. Die Erweiterungen müssen registriert und authentifiziert sein, um unbefugten Zugriff oder Angriffe zu verhindern. Häufig auftretende Probleme sind fehlerhafte Konfigurationen, schwache Passwörter oder unzureichende Authentifizierungsmechanismen. Solche Schwachstellen können zu Angriffen wie Brute-Force-Versuchen, Spoofing oder unautorisierter Nutzung führen.

Mit Tools wie SIPVicious lässt sich überprüfen, welche Extensions auf Ihrem Server aktiv sind und ob diese eine Authentifizierung erfordern. Der Befehl svwar 192.168.1.103 zeigt für die entsprechende IP-Adresse, welche Erweiterungen existieren und ob sie geschützt sind. Falls eine Extension ohne Authentifizierung auskommt, wird dies in der Ausgabe entsprechend markiert.

Echtzeitanalyse von SIP-Verbindungen mit sngrep

Das Tool sngrep [1] dient der Visualisierung der SIP-Kommunikation. Es zeigt SIP-Nachrichten und deren Fluss in einer übersichtlichen Ansicht, was die Fehlersuche erheblich erleichtert. Nach der Installation unter Linux mit apt install sngrep starten Sie das Tool mit administrativen Rechten. Nach dem Start listet sngrep alle SIP-Pakete auf, die durch das Netzwerk fließen.

Sie sehen in sngrep die einzelnen Schritte des SIP-Verkehrs und können dadurch Fehler schnell eingrenzen. So lässt sich zum Beispiel überprüfen, ob Registrierungsanfragen erfolgreich sind oder ob ein Gerät 401-Unauthorized-Meldungen vom Server erhält. Die erfolgreiche Registrierung ist ebenfalls zu sehen. Ferner prüfen Sie mit dem Tool, ob das Gerät überhaupt REGISTER-Pakete sendet. Kommen die Pakete an, analysieren Sie den Server-Response. Bleibt der Server stumm, weist dies auf ein Netzwerkproblem hin, etwa eine Firewall-Blockierung.

Zeigt sngrep keine oder nicht alle SIP-Nachrichten an, liegen mögliche Ursachen in nicht sichtbarem SIP-Verkehr, einer falschen Auswahl der Netzwerkschnittstelle oder fehlenden Berechtigungen. Zunächst prüfen Sie, ob SIP-Verkehr vorhanden ist, indem Sie den Befehl sudo tcpdump -i eth0 port 5060 ausführen. Nutzen Sie andere Ports für SIP, passen Sie den Befehl entsprechend an. Alternativ filtern Sie den Verkehr in Wireshark mit einem Filter wie sip || udp.port == 5060.

Für die Nutzung von sngrep wählen Sie die korrekte Netzwerkschnittstelle aus. Ein weiterer Grund für fehlende Anzeigen liegt oft in verschlüsseltem SIP-Verkehr. SIP-Nachrichten über TLS laufen in der Regel über Port 5061. Mit dem Befehl sudo sngrep -p 5061 analysieren Sie den Verkehr auf diesem Port. Zusätzlich schauen Sie, ob Firewalls oder NAT-Konfigurationen SIP-Pakete blockieren oder umleiten. Der Befehl sudo iptables -L zeigt Ihnen, ob die relevanten Ports offen bleiben.

Sobald sngrep SIP-Verkehr mitschneidet, sind die einzelnen Pakete im Fenster zu sehen. Rufen Sie die Details eines Pakets auf, finden Sie die IP-Adresse des Endgeräts vor, meistens den Typ sowie weitere Informationen zum Paket, zum Beispiel die erfolgreiche Kommunikation mit dem Server. Interessant ist an dieser Stelle das Speichern dieser Daten in eine PCAP-Datei, die Sie anschließend mit Wireshark weiter analysieren können.

Tiefgehende Protokollanalyse mit Wireshark

Wireshark [2] ergänzt sngrep, indem es detaillierte Einblicke in die Struktur von SIP- und RTP-Paketen bietet. Sie erfassen zum Beispiel mit sngrep eine fehlerhafte Registrierung, exportieren die Daten als PCAP-Datei und untersuchen mit Wireshark die SIP-Header, um unpassende Parameter oder Routing-Fehler zu identifizieren.

Mit Wireshark analysieren Sie Probleme, die auf Protokollebene auftreten. Sie können die Pakete mit Wireshark selbst mitschneiden oder aus sngrep speichern und die Datei zur weiteren Analyse direkt in Wireshark öffnen. Das hilft dabei, Probleme wie fehlerhafte Header, ungültige Authentifizierungsdaten oder RTP-Jitter zu identifizieren.

Bei RTP-Jitter handelt es sich um Schwankungen in der Verzögerung bei der Übertragung von RTP-Paketen (Real-time Transport Protocol) in einem Netzwerk. Idealerweise sollten RTP-Pakete in gleichmäßigen Abständen ankommen, um eine stabile Sprach- oder Videoübertragung zu gewährleisten. Jitter treten auf, wenn die Paketlaufzeiten variieren, zum Beispiel durch Netzwerküberlastung, unterschiedliche Routing-Wege oder Hardwareverzögerungen. Diese Schwankungen führen zu hörbaren Störungen wie Aussetzern oder verzerrtem Audio. Jitter wird meistens in Millisekunden gemessen und sollten in einem VoIP-Netzwerk einen Wert von 30 ms nicht überschreiten.

Nutzen Sie Filter wie sip oder rtp, um die Übersichtlichkeit zu erhöhen, wenn Sie eine Echtzeitüberwachung durchführen. Jede Phase eines Gesprächs erzeugt spezifische Pakete, die in Wireshark klar unterscheidbar sind. Das INVITE-Paket startet die SIP-Kommunikation. Ein Beispielpaket kann folgendermaßen aussehen:

Wenn Sie das Paket öffnen, sehen Sie im SIP-Protokoll-Abschnitt:

- Request-Line: "INVITE sip:1234@ 192.168.1.104 SIP/2.0" zeigt, dass die Nummer 1234 auf dem Server mit der IP-Adresse 192.168.1.104 angerufen wird.

- From: "sip:5678@192.168.1.101" ist die Nummer des Anrufers.

- To: "sip:1234@192.168.1.104" gibt das Ziel an.

- Call-ID: "abc123xyz@192.168.1.101" identifiziert das Gespräch eindeutig.

- SDP-Nutzlast: Details zur Sitzung, etwa "m=audio 5004 RTP/AVP 0", zeigen, dass Port 5004 für den RTP-Strom zum Einsatz kommt und der Codec PCMU (G.711) vorgeschlagen wird.

Kurz nach dem INVITE erscheint die Nachricht "100 Trying", die signalisiert, dass der Server die Anfrage verarbeitet. Die Anzeige in Wireshark sieht folgendermaßen aus:

Hier sehen Sie, dass die Nachricht von der gleichen Call-ID wie das INVITE-Paket stammt. Die Nachricht "180 Ringing" erscheint, wenn das Zielgerät den Anruf signalisiert. In Wireshark finden Sie:

Die Contact-Adresse zeigt hier die IP des klingelnden Geräts, in diesem Beispiel 192.168.1.105. Sobald der Anruf angenommen wird, erscheint die Nachricht "200 OK". Wireshark zeigt:

Die SDP-Daten zeigen, dass der Ziel-Codec PCMU ist und Port 6004 für den Medienstrom verwendet wird. Nach dem ACK-Paket beginnt die Übertragung von RTP-Daten. Ein RTP-Paket in Wireshark sieht in diesem Beispiel folgendermaßen aus:

Die Sequenznummer und der Zeitstempel helfen, Verzögerungen und Paketverluste zu identifizieren. Probleme wie fehlende Sequenzen deuten auf Paketverluste hin, während inkonsistente Zeitstempel ein Hinweis auf Jitter sind.

Erhält ein INVITE-Paket keine Antwort, deutet dies auf blockierte Ports oder Routingprobleme hin. Nutzen Sie in diesem Fall sngrep, um zu prüfen, ob das Paket den Server erreicht. Bleibt eine 200-OK-Nachricht aus, liegt oft ein Codec-Problem vor. Mit Wireshark vergleichen Sie die SDP-Daten beider Geräte, um Inkompatibilitäten zu erkennen. Ein Test mit Sipsak wie sipsak -s sip:1234@192.168.1.104 kann bestätigen, ob die Zielnummer korrekt arbeitet. So kombinieren Sie Wireshark mit anderen Tools, um SIP-Probleme effizient zu analysieren und zu lösen.

SIP-Analyse mit sipsak

Das Tool sipsak [3] hilft bei der Analyse und Überprüfung von SIP-Servern und Endpunkten. Sie können die Software, genauso wie alle anderen Werkzeuge, zum Beispiel auf Kali-Linux installieren. Mit sipsak lassen sich SIP-Anfragen senden, um die Erreichbarkeit von Servern, die Funktionalität von Extensions und die Serverantworten zu überprüfen. Daher ist das Tool eine gute Ergänzung zu sngrep und Wireshark.

Ein häufiges Problem bei der Verwendung von SIP sind fehlerhafte Zugangsdaten oder blockierte Ports, die dazu führen, dass sich Endgeräte nicht registrieren können. Mit sipsak testen Sie, ob eine Extension korrekt konfiguriert ist. In Kombination mit Authentifizierungsdaten erlaubt es sipsak, registrierte Nutzer zu prüfen. Der Befehl sipsak -U -s sip:100@192.168.1.103 -u <Username> -a <Passwort> sendet eine authentifizierte Anfrage und überprüft, ob die Zugangsdaten korrekt sind, zum Beispiel mit sipsak -U -s sip:thomas@ 10.0.5.219 -u thomas -a test.

Scheitert die Registrierung, können Sie mit sngrep die Kommunikation zwischen Client und Server visualisieren. SIP-Fehlercodes wie "401 Unauthorized" oder "403 Forbidden" liefern Hinweise darauf, ob das Problem bei den Zugangsdaten oder der Serverkonfiguration liegt. Ein weiterer Anwendungsfall ist das Senden von OPTIONS-Anfragen, um zu prüfen, ob ein SIP-Server erreichbar ist und welche Funktionen er unterstützt.

Der Befehl sipsak -s sip:192.168.1.103 sendet eine OPTIONS-Anfrage an den Server mit der IP-Adresse 192.168.1.103. Die Antwort gibt Aufschluss über die Verfügbarkeit und die unterstützten SIP-Methoden. Möchten Sie diese Anfrage an einen spezifischen Port richten, geben Sie den Port mit "-p" an, etwa sipsak -s sip:192.168.1.103 -p 5061, wenn der Server TLS-basierte Verbindungen auf Port 5061 nutzt.

Sipsak lässt sich mit anderen Tools wie sngrep, Wireshark und SIPVicious kombinieren, um umfassendere Analysen durchzuführen. So senden Sie zum Beispiel mit sipsak eine gezielte Anfrage an einen Server und visualisieren parallel mit sngrep die SIP-Nachrichten. Das hilft, die Kommunikation zwischen Client und Server zu verfolgen. Während sipsak zum Beispiel eine OPTIONS-Anfrage sendet (sipsak -s sip:192.168.1.103), lässt sich mit sngrep die gesamte Nachricht und deren Header analysieren, um potenzielle Fehler zu identifizieren.

In Verbindung mit Wireshark exportieren Sie die SIP-Nachrichten optional in PCAP-Dateien zur tiefergehenden Analyse. Sie können mit sipsak eine Anfrage simulieren und gleichzeitig mit tshark -r dump.pcap -Y sip in Wireshark nach spezifischen Fehlercodes suchen, etwa "403 Forbidden" oder "401 Unauthorized".

Auch mit SIPVicious ergeben sich Möglichkeiten: Während Sie sipsak zur Kommunikation mit einzelnen Extensions nutzen, können Sie mit svwar oder svmap parallele Scans auf dem gleichen Server ausführen, um weitere Schwachstellen wie ungesicherte Ports oder Extensions zu identifizieren. Ein Benutzer kann sich zum Beispiel nicht am SIP-Server anmelden. Sie verwenden zunächst sipsak -s sip:192.168.1.103, um sicherzustellen, dass der Server erreichbar ist.

Dann prüfen Sie mit sipsak -U -s sip: 100@192.168.1.103 -u user -a pass, ob die Zugangsdaten korrekt sind. Parallel starten Sie sngrep, um die genaue Antwort des Servers zu analysieren. Falls keine Anfrage den Server erreicht, verwenden Sie tcpdump, um die Netzwerkroute der Pakete zu überprüfen (tcpdump -i eth0 port 5060). Mit Wireshark analysieren Sie abschließend die erfassten Datenpakete, um Firewalls oder Netzwerkprobleme zu identifizieren.

Schwachstellen aufdecken mit SIPVicious

SIPVicious [4] ist ein weiteres Open-Source-Toolset für die Sicherheitsanalyse von SIP-basierten Systemen und deren Konfiguration. Es enthält mehrere Module, die spezifische Aufgaben übernehmen. Die Software bietet Ihnen umfangreiche Möglichkeiten, SIP-Server in Ihrem Netzwerk zu identifizieren und ihre Sicherheitslücken aufzudecken. Dadurch ergänzen sich die Tools optimal mit sngrep, sipsak und auch Wireshark. Der Befehl svmap 10.0.0.0/16 durchsucht ein gesamtes Subnetz nach SIP-Servern und zeigt IP-Adressen sowie Ports an. Möchten Sie gezielt nach Servern suchen, die nicht den Standardport 5060 verwenden, nutzen Sie die Option "-p", um eine Portliste anzugeben, zum Beispiel svmap 192.168.1.0/24 -p 5060,5061,5070. Damit erhalten Sie eine Übersicht, welche Ports aktiv sind und welche Geräte darauf antworten.

Sie können mit svmap auch nur spezifische Geräte scannen, etwa einzelne Server. Mit dem Befehl svmap 192.168.1.103 beschränken Sie die Analyse auf eine IP-Adresse. Eine Erweiterung hierfür ist der Scan über mehrere Ports hinweg, etwa svmap 192.168.1.103 -p 5060-5080, um auch Ports zu prüfen, die außerhalb der Standards liegen. Wenn Sie in einem Netzwerk mehrere Segmente einsetzen, lassen sich mit svmap gezielt VLANs oder Subnetze überprüfen. Durch Kombination mit Tools wie Nmap identifizieren Sie potenziell verdächtige Geräte und setzen svmap ein, um spezifisch SIP-Dienste zu scannen. Beispiel: nmap -p 5060 192.168.2.0/24 | grep open | cut -d ' ' -f 1 | xargs -I {} svmap {}. Damit verbinden Sie die Ergebnisse von Nmap direkt mit svmap, um ausschließlich offene Ports zu analysieren.

Tiefergehende Analyse mit svwar und svcrack

Für eine noch tiefere Analyse kombinieren Sie svmap mit anderen Tools aus dem SIPVicious-Set. Nach einem Scan können Sie mit svwar überprüfen, welche Extensions auf den erkannten SIP-Servern aktiv sind, oder mit svcrack testen, ob die Passwörter ausreichend geschützt sind:

- svmap: Mit diesem Modul lassen sich SIP-Server im Netzwerk identifizieren. So scannen Sie mit dem Befehl svmap 10.0.0.0/16 zum Beispiel ein gesamtes Subnetz, um alle erreichbaren SIP-Server zu ermitteln. Die Ausgabe enthält Informationen zu IP-Adressen und Ports, die von den SIP-Servern genutzt werden.

- svwar: Dieses Modul prüft, welche Extensions auf einem SIP-Server registrierbar sind. Ein Beispiel ist svwar 192.168.1.103. Die Ausgabe zeigt, welche Extensions verfügbar sind und ob eine Authentifizierung erforderlich ist.

- svcrack: Mit diesem Modul lassen sich SIP-Passwörter per Brute-Force oder mit einer Wörterbuchdatei knacken. Der Befehl svcrack 192.168.1.103 -u 100 -d passwords.txt testet die Passwortstärke für die Extension 100. Damit decken Sie schwache Passwörter auf und ersetzen diese bei Bedarf.

Wenn Sie vermuten, dass unbefugte Geräte auf Ihren SIP-Server zugreifen, helfen die Tools ebenfalls. Mit svwar identifizieren Sie alle registrierbaren Extensions. Anschließend prüfen Sie mithilfe von svcrack, ob Passwörter ausreichend stark sind. Falls Sie Sicherheitslücken finden, ändern Sie die Passwörter und aktivieren Mechanismen wie IP-Whitelisting oder Authentifizierungszertifikate.

Fazit

Werkzeuge wie SIPVicious, sngrep, sipsak, Wireshark und andere Open-Source-Tools helfen, Schwachstellen in VoIP-Netzwerken aufzudecken, typische Probleme wie fehlende Registrierungen oder Verbindungsabbrüche zu beheben und die Sicherheit sowie Funktionalität der Infrastruktur zu verbessern.

VoIP-Netze mit SIPVicious, sngrep und Co. überprüfen

Freie Leitung

Wichtige Ports in VoIP-Netzwerken

Wichtige Ports in VoIP-Netzwerken

SIP-Extensions: Risiken und Problemlösungen

Echtzeitanalyse von SIP-Verbindungen mit sngrep

Tiefgehende Protokollanalyse mit Wireshark

SIP-Analyse mit sipsak

Schwachstellen aufdecken mit SIPVicious

Tiefergehende Analyse mit svwar und svcrack

Fazit