Telekom All-IP Anschluss: Sicherheit?

Zitat

Original geschrieben von WrathOfGod
Ich würde All-IP nicht nur wegen VoIP nehmen, sondern v.a. weil Du mit einem All-IP Anschluß mit größter Wahrscheinlichkeit auch einen auf Annex J basierenden Anschluß geschaltet bekommst. Bei Annex J wird der Frequenzbereich, der bei dem sonst üblichen Annex B für analog oder ISDN freigehalten wird, für den Upload mitgenutzt, wodurch man bis zu 3,5 MBit/s Upload statt der sonst maximal möglichen 1,2 MBit/s bekommt.

Vielen Dank für deine fachlich fundierten Postings, die sich angenehm von dem hier üblichen NGN-ist-ja-so-doof-Tenor abheben.

Frage: Macht das nur die Telekom oder auch andere? Ich habe bei meinem Telefonica-Anschluss nicht den Eindruck, dass dem Upload da mehr Platz eingeräumt wurde (und auch nicht gegen Aufpreis eingeräumt würde) - was ja eine reichliche Verschwendung von Leitungskapazitäten wäre.

Meinem Kenntnisstand nach, der auf Beiträgen aus diesem onlinekosten.de Thread beruht, bietet aktuell nur die Telekom Annex J an, was auch wenige 1&1 Kunden, deren Anschlüsse über den Telekom Bitstream geschaltet sind, einschließt. Dafür schaltet die Telekom trotz RAM aber den Downstream immer noch ziemlich restriktiv - wenn es dumm läuft, bekommst Du durch einen Wechsel zur Telekom 2 MBit/s mehr Upstream, aber verlierst zugleich ebensoviel Downstream.
Vodafone hat unterdessen erklärt, daß sie kein Annex J einführen wollen: https://forum.vodafone.de/t5/D…odafone/m-p/128471#M15362 - vermutlich weil ihnen Annex J fähige Endgeräte fehlen.
In jedem Fall brauchst Du für Annex J aber einen geeigneten Router, wie z.B. die FritzBoxen 7270 und 7390.

Müsste es technisch nicht extrem aufwändig sein, als Außenstehender (ohne Zugang über den TK-Dienstleister, wie ihn etwa Ermittlungsbehörden nutzen) die in Datenpaketen gestückelten Telefonate abzuhören?

Ich kann mir kaum vorstellen, dass dies mit vertretbarem Aufwand möglich ist. Bei einer zu negativen Kosten-Nutzen-Bilanz dürfte jede Gefahr allenfalls noch eine rein theoretische sein.

Frankie

Nicht wirklich. Du mußt einfach nur den Datenverkehr mitschneiden, darin (z.B. mit Wireshark) nach sog. SIP Invites (= VoIP Rufaufbau) suchen und anschließend alle RTP-Pakete die zu der entsprechenden Gegenstelle fließen (kann man mittels IP und Port eingrenzen) herausfiltern. Das ganze muß man dann wieder zu einem flüssigen Audiostream zusammensetzen.
Wer sich etwas mehr mit SIP auskennt, dürfte da keine allzu großen Schwierigkeiten haben und halbautomatisieren läßt sich das ganze bestimmt auch.

Nun gut ... telefoniert man nicht gerade mit China oder Amiland denke ich, dass der hierzu erforderliche Aufwand (etwa für den durchschnittlich ambitionierten Hobbyhacker) schon außer Verhältnis zum Erfolg liegen dürfte.

Abgesehen von der Behandlung der Datenpakete muss man derer erst einmal habhaft werden. Gezielte Angriffe am örtlichen Verteiler setzten eine Kenntnis von der Belegung der Anschlussleisten voraus.

Ich denke (hoffe) mal, dass diejenigen, die nicht Geheimnisträger sind, (jedenfalls nach aktuellem Stand der Technik) noch weitgehend sicher davor sein dürften, Opfer solcher Attacken zu werden - zumal sich deutlich einfachere Angriffspunkte böten.

Alles in allem gehe ich davon aus, dass die Hürden für Angriffe auf VOIP-Verbindungen aktuell noch derart hoch sind, dass die Gefahr (theoretisch) denkbarer Abhörmaßnahmen in der Praxis gegen Null tendieren dürfte (behördliche Maßnahmen, die ohnehin woanders ansetzen, mal ausgenommen).

Darf man das für die praktische Nutzung von VOIP zum gegenwärtigen Zeitpunkt so festhalten?

frankie

Ja, wobei das Risiko bei Verwendung von over-the-top VoIP-Anbietern etwas größer ist, da der Datenverkehr hierbei nicht im IP-Netz des eigenen ISP bleibt, sondern auch Netze Dritter durchäuft. sipgate beispielsweise peert zwar direkt mit den meisten deutschen ISPs, aber wenn man einen etwas exotischeren VoIP-Anbieter verwendet, können da schon ein paar andere Parteien am Routing beteiligt sein. Das hält mich trotzdem seit nunmehr sechs Jahren nicht davon ab, bedenkenlos per VoIP zu telefonieren und zwar ausschließlich über andere Anbieter als meinen ISP. Die FritzBox kann die Audiostrems übrigens schon seit längerem per SRTP verschlüsseln, aber außer dus.net ist mir kein deutscher VoIP Anbieter bekannt, der das unterstützt.
Das Risiko bleibt aber begrenzt, da es für den gemeinen Hacker nahezu unmöglich ist Zugang zur entsprechenden Infrastruktur zu erhalten und die Admins der großen Carrier finden sicherlich interessanteres als meine Telefonate.
Übrigens habe ich es früher (vor 2006) oft erlebt, daß ISDN-Anrufe über sehr günstige Call-by-Call Anbieter tatsächlich über ferne Länder (oft China) geroutet wurden, da dortige Carrier biis heute ihre Überkapazitäten verscherbeln und man per Internet saugünstig nach China routen kann. Bei Dellmont (ein für seine Billigmarken bekannter VoIP-Anbieter) beobachte ich bis heute, daß bei Anrufen in ausländische Mobilfunknetze oft russische oder fernöstliche Rufnummern übermittelt werden, was darauf hindeutet, daß solche exotischen Routings bis heute praktiziert werden. Ich gehe davon aus, daß auch Call-by-Call Anbieter das bis heute noch so machen.
Wenn man sich vor VoIP fürchtet, sollte man also auch auf Call-by-Call verzichten.

Die Frage ist doch, welchen 'Nutzen' ein potentieller Bösewicht aus einem abgehörten Gespräch ziehen kann. Das automatische Überwachen à la echelon & Co spielt sicher eher im Bereich der Wirtschafts- oder Militärspionage eine Rolle. Dafür spielt dann auch die technische Hürde keine Rolle.

Für den 'Otto-Normal-Gangster' dürfte es eher interessant sein, ein zuvor ausgesuchtes potentielles Opfer an allen Punkten zu überwachen, um beispielsweise die geplante Urlaubszeit für den Einbruch nutzen zu können o.ä.
Dazu gibt es mehr Möglichkeiten als nur VoIP-Pakete mitzuschneiden.

Wenn ich mir anschaue, wie unbekümmert (oder besser naiv) viele Leute heute alles mögliche über sich geradezu herausposaunen, dann spielt das Abhören von Telefongesprächen da sicher eher eine untergeordnete Rolle.
Macht mal einen kostenlosen Wlan-Hotspot auf. Ihr werdet staunen, wie viele Leute sich da ohne VPN ohne jeden Argwohn drin tummeln.
Das wäre sicher auch die einfachste Schnittstelle zum Mithören von VoIP-Gesprächen.

Insofern ist die Gefahr der Überwachung am eigenen NGN-Anschluss fast schon bedeutungslos im Vergleich zu anderen, 'einfacheren' Angriffspunkten. Auch Ganoven bewerten Ihre Maßnahmen sicher nach Effizienz-Kriterien