Wie detektiere ich ein Abhören bei VoIP
Hallo Welt,
folgendes Problem: Der Admin eines Netzwerkes, in dem mittels VoIP telefoniert wird, weiß mehr über die Inhalte vertrauliche Telefonate seiner Geschäftsführung als er eigentlich wissen dürfte / könnte. Er nutzt dieses Wissen gezielt, um neue Projekte zu torpedieren. Eine andere Erklärung als das Abhören der Telefone lässt sich nicht finden. A bisserl blöd, jetzt telefonieren Geschäftsleitung und IT-Leitung nur noch über ihre Handies mit den Projektbeteiligten.
Frage: Wie kann ich das Abhören eines VoIP-Gespräches EDV-technisch detektieren?
Danke schon mal im Voraus.
Pitti
folgendes Problem: Der Admin eines Netzwerkes, in dem mittels VoIP telefoniert wird, weiß mehr über die Inhalte vertrauliche Telefonate seiner Geschäftsführung als er eigentlich wissen dürfte / könnte. Er nutzt dieses Wissen gezielt, um neue Projekte zu torpedieren. Eine andere Erklärung als das Abhören der Telefone lässt sich nicht finden. A bisserl blöd, jetzt telefonieren Geschäftsleitung und IT-Leitung nur noch über ihre Handies mit den Projektbeteiligten.
Frage: Wie kann ich das Abhören eines VoIP-Gespräches EDV-technisch detektieren?
Danke schon mal im Voraus.
Pitti
Please also mark the comments that contributed to the solution of the article
Content-ID: 176310
Url: https://administrator.de/contentid/176310
Printed on: December 5, 2024 at 22:12 o'clock
9 Comments
Latest comment
Was nutzt ihr denn für eine Telefonanlage?
Es gibt da mehrere Methoden für das Abhören: Entweder er lässt Gespräche auf der Telefonanlage als Sprachdatei aufzeichnen (wenigster Aufwand) oder aber er hört den Datenverkehr z.B. mit Port-Mirroring ab und kann sich dann gemütlich mit Wireshark aus den aufgezeichneten Paketen den RTP-Stream herausholen.
Letzteres ließe sich mit SRTP (verschlüsselte Datenübertragung) deutlich erschweren, aber wenn das ohnehin der Admin einrichten müsste hätte er ja auch die Keys für die Verschlüsselung, was die Entschlüsselung der Daten nur ein ganz kleines bisschen aufwändiger macht.
Bei manchen VoIP-Anlagen gibt es auch den Channel-Spy, der z.B. dafür gedacht ist, dass in einer Hotline der Ausbilder seinen Azubis über die Schulter hören kann. Der Channel-Spy mischt die Kanäle der beiden Gesprächspartner zusammen und schickt sie zusammen an ein drittes Telefon, welches einfach nur eine bestimmte interne Durchwahl anrufen müsste um einzelne Gespräche direkt live mithören könnte.
Dazu wäre interessant: Habt ihr Busy-Lamp-Fields, wo ihr sehen könnt wer gerade telefoniert? Das würde jemandem mit Zugang zu solchen Funktionen helfen zu erkennen, wann er mithören muss.
Es gibt jetzt mehrere Möglichkeiten, das Abhören herauszufinden:
Kommt ihr selbst an Trafficstatistiken der Telefonanlage resp. deren Switchport? Wenn die Aufzeichnungen auf der Anlage angelegt werden würde das abrufen der Daten zu Peaks führen, die sich nicht mit plötzlichen gleichzeitigen Telefonaten erklären ließen.
Um Port-Mirroring zu entdecken reicht es während eines Telefonates den Switchport auf Ports zu untersuchen die synchron mit dem Port der Telefonanlage Dauertraffic haben (alle Telefone außer einem abklemmen um sicherzugehen, dass da niemand anderes telefoniert). Wenn du auflegst und zeitgleich drei Ports keinen Traffic mehr haben ist das ein sehr verdächtiges Anzeichen für Datenaufzeichnung per Port-Mirroring.
Es dürften ja bei nur einem angeschlossenen Telefon ausschließlich der Port des Telefons und der Telefonanlage synchronen Traffic haben. Notfalls den Test mehrfach wiederholen (mit Handy vor dem Switch stehen und ein bestimmtes Telefon anrufen) um sicherzugehen, dass da nicht irgendeine Workstation Updates für den Virenscanner heruntergeladen hat....
Wie aber dog schon schrieb ist die allerbeste Möglichkeit, dem Abhörer eine Falle zu stellen.
Die Geschäftsführung soll dann mal gezielt Phantasienamen von Phantasieprojekten, die an Phantasieterminen stattfinden platzieren. Wenn euer Admin darüber Bescheid weiß, kann er das nur über das Abhören der Telefone herausgefunden haben.
In diesem Fall solltet ihr während der Abwesenheit des Admins mal die Polizei ins Haus holen, denn das ist ein Verstoß gegen das Fernmeldegeheimnis - und da stehen tatsächlich drakonische Strafen drauf.
Egal woher der Admin das weiß ist aber auch angesagt, sich von dieser Person über kurz oder kürzer zu trennen - denn wenn ihr eurem Administrator nicht mehr vertrauen könnt... Wer sagt denn, dass der nicht irgendwann auch den Mailverkehr mitliest und vertrauliche Dokumente aus dem Unternehmen schafft?
Es gibt da mehrere Methoden für das Abhören: Entweder er lässt Gespräche auf der Telefonanlage als Sprachdatei aufzeichnen (wenigster Aufwand) oder aber er hört den Datenverkehr z.B. mit Port-Mirroring ab und kann sich dann gemütlich mit Wireshark aus den aufgezeichneten Paketen den RTP-Stream herausholen.
Letzteres ließe sich mit SRTP (verschlüsselte Datenübertragung) deutlich erschweren, aber wenn das ohnehin der Admin einrichten müsste hätte er ja auch die Keys für die Verschlüsselung, was die Entschlüsselung der Daten nur ein ganz kleines bisschen aufwändiger macht.
Bei manchen VoIP-Anlagen gibt es auch den Channel-Spy, der z.B. dafür gedacht ist, dass in einer Hotline der Ausbilder seinen Azubis über die Schulter hören kann. Der Channel-Spy mischt die Kanäle der beiden Gesprächspartner zusammen und schickt sie zusammen an ein drittes Telefon, welches einfach nur eine bestimmte interne Durchwahl anrufen müsste um einzelne Gespräche direkt live mithören könnte.
Dazu wäre interessant: Habt ihr Busy-Lamp-Fields, wo ihr sehen könnt wer gerade telefoniert? Das würde jemandem mit Zugang zu solchen Funktionen helfen zu erkennen, wann er mithören muss.
Es gibt jetzt mehrere Möglichkeiten, das Abhören herauszufinden:
Kommt ihr selbst an Trafficstatistiken der Telefonanlage resp. deren Switchport? Wenn die Aufzeichnungen auf der Anlage angelegt werden würde das abrufen der Daten zu Peaks führen, die sich nicht mit plötzlichen gleichzeitigen Telefonaten erklären ließen.
Um Port-Mirroring zu entdecken reicht es während eines Telefonates den Switchport auf Ports zu untersuchen die synchron mit dem Port der Telefonanlage Dauertraffic haben (alle Telefone außer einem abklemmen um sicherzugehen, dass da niemand anderes telefoniert). Wenn du auflegst und zeitgleich drei Ports keinen Traffic mehr haben ist das ein sehr verdächtiges Anzeichen für Datenaufzeichnung per Port-Mirroring.
Es dürften ja bei nur einem angeschlossenen Telefon ausschließlich der Port des Telefons und der Telefonanlage synchronen Traffic haben. Notfalls den Test mehrfach wiederholen (mit Handy vor dem Switch stehen und ein bestimmtes Telefon anrufen) um sicherzugehen, dass da nicht irgendeine Workstation Updates für den Virenscanner heruntergeladen hat....
Wie aber dog schon schrieb ist die allerbeste Möglichkeit, dem Abhörer eine Falle zu stellen.
Die Geschäftsführung soll dann mal gezielt Phantasienamen von Phantasieprojekten, die an Phantasieterminen stattfinden platzieren. Wenn euer Admin darüber Bescheid weiß, kann er das nur über das Abhören der Telefone herausgefunden haben.
In diesem Fall solltet ihr während der Abwesenheit des Admins mal die Polizei ins Haus holen, denn das ist ein Verstoß gegen das Fernmeldegeheimnis - und da stehen tatsächlich drakonische Strafen drauf.
Egal woher der Admin das weiß ist aber auch angesagt, sich von dieser Person über kurz oder kürzer zu trennen - denn wenn ihr eurem Administrator nicht mehr vertrauen könnt... Wer sagt denn, dass der nicht irgendwann auch den Mailverkehr mitliest und vertrauliche Dokumente aus dem Unternehmen schafft?
Hallo,
anstelle des angedeuteten Mirroring und dem mitsniffen der Pakete was sehr arbeitsintensiv werden könnte, würde auch ich hier den Weg des Fallenstellers gehen.
Hebt ein mittleres, aber aufwendiges Projekt aus der Traufe und lasst den Admin gegen die Wand laufen.
Anschließend könnt ihr ihn vor die Wahl stellen, entweder er verlässt das Unternehmen sofort, oder die gewonnenen Information gehen an die Polizei und es folgt die fristlose Kündigung.
Außerdem solltet ihr sofort einen Stellvertreter von ihm einarbeiten lassen, der Zugriff zu allen Systemen bekommen soll, so das ihr nach der Aktion mit der Falle nicht ohne Passwörter dasteht., dem Admin kann man ja neue "interessante" Aufgaben zukommen lassen...
Auf jeden Fall soltet ihr das ganze aber mit einem Anwalt abklären, und das nicht über eure Telefonanlage und euer Mailsystem.
brammer
anstelle des angedeuteten Mirroring und dem mitsniffen der Pakete was sehr arbeitsintensiv werden könnte, würde auch ich hier den Weg des Fallenstellers gehen.
Hebt ein mittleres, aber aufwendiges Projekt aus der Traufe und lasst den Admin gegen die Wand laufen.
Anschließend könnt ihr ihn vor die Wahl stellen, entweder er verlässt das Unternehmen sofort, oder die gewonnenen Information gehen an die Polizei und es folgt die fristlose Kündigung.
Außerdem solltet ihr sofort einen Stellvertreter von ihm einarbeiten lassen, der Zugriff zu allen Systemen bekommen soll, so das ihr nach der Aktion mit der Falle nicht ohne Passwörter dasteht., dem Admin kann man ja neue "interessante" Aufgaben zukommen lassen...
Auf jeden Fall soltet ihr das ganze aber mit einem Anwalt abklären, und das nicht über eure Telefonanlage und euer Mailsystem.
brammer