Überblick:

Der 3-tägige Workshop von VoIPCode.org vermittelt einen detaillierten Einblick in die Gefahren und Sicherheitsproblematik bei Voice-over-IP (VoIP).

Die Teilnehmer lernen,

• wie sich VoIP von anderen Internet Protokollen unterscheidet
• warum sich traditionelle IP Sicherheitssysteme nicht unbedingt zum Schutz von VoIP Anwendungen eignen
• worauf man bei VoIP Security Assessments achten muss
• wie man VoIP Security Assessments durchführt
• welche Tools es auf dem Markt hierzu gibt (kommerziell / open source)

VoIPCode.org hat ferner ein Toolkit zum Überprüfen und Demonstrieren von VoIP Security Vulnerabilities entwickelt. Jeder Teilnehmer erhält im Rahmen des Workshop eine Kopie dieses Toolkits und kann anschliesend damit selbst Systeme und Netzwerke überprüfen. Wir betrachten neben den Protokollen H.323, Skype und Skinny hauptsächlich das Session Initiation Protokoll (SIP). Die meisten Übungen werden mit SIP Anwendungen durchgeführt.

Zielgruppe:

Es ist ein technischer Workshop und daher für folgende drei Gruppen geeignet:

• Entwickler und Berater von VoIP Netzwerken/Anwendungen
• Entwickler und Sicherheitsspezialisten mit Telco Erfahrung, die mehr über die VoIP und IP Gefahren lernen möchten
• Entwickler und Sicherheitsberater mit Erfahrung in IP Security, die mehr über die Gefahren im Bereich VoIP lernen möchten

Voraussetzungen zur Teilnahme an diesem Workshop:

Es wird vorausgesetzt, dass der Teilnehmer Kenntnisse im Bereich TCP/IP & Netzwerke besitzt sowie ihm ferner die Grundlagen von IP Netzwerk Sicherheitskonzepten geläufig sind (z.B. Firewalls, Web Proxy, etc.). Praktische Kenntnisse, wie das Durchführen von 'port scans' oder Schwachstellenanalyse mittels Werkzeugen wie Nessus, sollten vorhanden sein. Auch ist es nützlich, Grundlagenwissen im Bereich Unix/Linux, Shell code oder C Programmierung zu haben (dieses ist aber nicht zwingend notwendig).

Schulungsinhalte

Tag 1

• Einführung in die VoIP Protokolle SIP und H.323
• Vergleich von VoIP mit Standard IP Anwendungen
• Überblick über weitere VoIP Anwendungen, wie z.B. Skype und andere proprietäre Protokolle
• VoIP System Komponenten, User Agents, IP-PBX
• Überblick über VoIP Gefahren und Angriffsziele
• Praktische Übung: Installation und Konfiguration einer IP-PBX

Tag 2

• VoIP Gefahren im Detail
• Konformität von Protokollen (protocol fuzzing)
• Signaling und Media Gefahren
• Flooding Angriffe
• VoIP Spam
• Call Hijacking
• Caller Impersonation
• Call Eavesdropping / Abhören von Gesprächen
• Directory Harvesting
• Angriffe auf Passwortdatenbanken
• Praktische Übung: Registration Flooding, Call Hijacking and Passwort Angriffe

Tag 3

• Vorgehensweise und Analyse von VoIP Schwachstellen
• Aufzeigen von Limitierungen bei Standard Analyse Verfahren
• Einführung in das VoIP Vulnerability Toolkit
• Massnahmen theoretisch und praktisch gegen VoIP Gefahren
• Praktische Übung: Aufbau und Konfiguration eines VoIP Spam Generators

Dokumentation / Software

Jeder Teilnehmer erhält am Ende des Workshops eine CD-Rom mit sämtlichen Informationen zu dem Kurs, eine Anzahl von relevanten Whitepapers und eine Kopie des 'VoIP Vulnerability Testing Toolkit'. Das Toolkit ist unter Win32 (nur binary) und Unix/Linux (source code) lauffähig.