pitti259
Goto Top

Wie detektiere ich ein Abhören bei VoIP

Hallo Welt,

folgendes Problem: Der Admin eines Netzwerkes, in dem mittels VoIP telefoniert wird, weiß mehr über die Inhalte vertrauliche Telefonate seiner Geschäftsführung als er eigentlich wissen dürfte / könnte. Er nutzt dieses Wissen gezielt, um neue Projekte zu torpedieren. Eine andere Erklärung als das Abhören der Telefone lässt sich nicht finden. A bisserl blöd, jetzt telefonieren Geschäftsleitung und IT-Leitung nur noch über ihre Handies mit den Projektbeteiligten.

Frage: Wie kann ich das Abhören eines VoIP-Gespräches EDV-technisch detektieren?

Danke schon mal im Voraus.

Pitti

Content-ID: 176310

Url: https://administrator.de/contentid/176310

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

Hitman4021
Hitman4021 15.11.2011 um 21:04:08 Uhr
Goto Top
Hallo,

was ist das für eine Telefonanlage?
Was für ein Protokoll benutzt ihr?
Hat dieser Admin Zugang zur Telefonanlage oder wird diese von einem externen Admin verwaltet?

Grundsätzlich kannst du die Datenströme mit Wireshark verfolgen.

Gruß
dog
dog 15.11.2011 um 21:06:48 Uhr
Goto Top
Am Besten: Falle stellen.

Je nachdem welche Methode der Admin benutzt gibt es keine andere Möglichkeit.
LordGurke
LordGurke 15.11.2011 um 22:13:27 Uhr
Goto Top
Was nutzt ihr denn für eine Telefonanlage?
Es gibt da mehrere Methoden für das Abhören: Entweder er lässt Gespräche auf der Telefonanlage als Sprachdatei aufzeichnen (wenigster Aufwand) oder aber er hört den Datenverkehr z.B. mit Port-Mirroring ab und kann sich dann gemütlich mit Wireshark aus den aufgezeichneten Paketen den RTP-Stream herausholen.
Letzteres ließe sich mit SRTP (verschlüsselte Datenübertragung) deutlich erschweren, aber wenn das ohnehin der Admin einrichten müsste hätte er ja auch die Keys für die Verschlüsselung, was die Entschlüsselung der Daten nur ein ganz kleines bisschen aufwändiger macht.
Bei manchen VoIP-Anlagen gibt es auch den Channel-Spy, der z.B. dafür gedacht ist, dass in einer Hotline der Ausbilder seinen Azubis über die Schulter hören kann. Der Channel-Spy mischt die Kanäle der beiden Gesprächspartner zusammen und schickt sie zusammen an ein drittes Telefon, welches einfach nur eine bestimmte interne Durchwahl anrufen müsste um einzelne Gespräche direkt live mithören könnte.
Dazu wäre interessant: Habt ihr Busy-Lamp-Fields, wo ihr sehen könnt wer gerade telefoniert? Das würde jemandem mit Zugang zu solchen Funktionen helfen zu erkennen, wann er mithören muss.

Es gibt jetzt mehrere Möglichkeiten, das Abhören herauszufinden:
Kommt ihr selbst an Trafficstatistiken der Telefonanlage resp. deren Switchport? Wenn die Aufzeichnungen auf der Anlage angelegt werden würde das abrufen der Daten zu Peaks führen, die sich nicht mit plötzlichen gleichzeitigen Telefonaten erklären ließen.
Um Port-Mirroring zu entdecken reicht es während eines Telefonates den Switchport auf Ports zu untersuchen die synchron mit dem Port der Telefonanlage Dauertraffic haben (alle Telefone außer einem abklemmen um sicherzugehen, dass da niemand anderes telefoniert). Wenn du auflegst und zeitgleich drei Ports keinen Traffic mehr haben ist das ein sehr verdächtiges Anzeichen für Datenaufzeichnung per Port-Mirroring.
Es dürften ja bei nur einem angeschlossenen Telefon ausschließlich der Port des Telefons und der Telefonanlage synchronen Traffic haben. Notfalls den Test mehrfach wiederholen (mit Handy vor dem Switch stehen und ein bestimmtes Telefon anrufen) um sicherzugehen, dass da nicht irgendeine Workstation Updates für den Virenscanner heruntergeladen hat....

Wie aber dog schon schrieb ist die allerbeste Möglichkeit, dem Abhörer eine Falle zu stellen.
Die Geschäftsführung soll dann mal gezielt Phantasienamen von Phantasieprojekten, die an Phantasieterminen stattfinden platzieren. Wenn euer Admin darüber Bescheid weiß, kann er das nur über das Abhören der Telefone herausgefunden haben.
In diesem Fall solltet ihr während der Abwesenheit des Admins mal die Polizei ins Haus holen, denn das ist ein Verstoß gegen das Fernmeldegeheimnis - und da stehen tatsächlich drakonische Strafen drauf.
Egal woher der Admin das weiß ist aber auch angesagt, sich von dieser Person über kurz oder kürzer zu trennen - denn wenn ihr eurem Administrator nicht mehr vertrauen könnt... Wer sagt denn, dass der nicht irgendwann auch den Mailverkehr mitliest und vertrauliche Dokumente aus dem Unternehmen schafft?
Hitman4021
Hitman4021 15.11.2011 um 22:53:37 Uhr
Goto Top
<OT>
Jeder Admin sieht/weiß Sachen die er nicht wissen sollte/dürfte.
Der vertrauenswürdige Admin vergisst die nur gleich wider und zieht keine Konsequenzen und keinen Nutzen daraus
</OT>
Gruß
brammer
brammer 16.11.2011 um 06:22:50 Uhr
Goto Top
Hallo,

anstelle des angedeuteten Mirroring und dem mitsniffen der Pakete was sehr arbeitsintensiv werden könnte, würde auch ich hier den Weg des Fallenstellers gehen.
Hebt ein mittleres, aber aufwendiges Projekt aus der Traufe und lasst den Admin gegen die Wand laufen.

Anschließend könnt ihr ihn vor die Wahl stellen, entweder er verlässt das Unternehmen sofort, oder die gewonnenen Information gehen an die Polizei und es folgt die fristlose Kündigung.
Außerdem solltet ihr sofort einen Stellvertreter von ihm einarbeiten lassen, der Zugriff zu allen Systemen bekommen soll, so das ihr nach der Aktion mit der Falle nicht ohne Passwörter dasteht., dem Admin kann man ja neue "interessante" Aufgaben zukommen lassen...

Auf jeden Fall soltet ihr das ganze aber mit einem Anwalt abklären, und das nicht über eure Telefonanlage und euer Mailsystem.

brammer
Lochkartenstanzer
Lochkartenstanzer 17.11.2011 um 07:23:58 Uhr
Goto Top
Sofern der Admin fit ist, wirst Du es sehr schwer haben, technisch ihm auf die Schliche zu kommen. Da wird nur eine "Falle" helfen.
msr972
msr972 25.11.2011 um 11:45:54 Uhr
Goto Top
Mich würde interessieren, ob und wie ihr das "Problem" nun angegangen seid und ob ihr es lösen konntet.
Lochkartenstanzer
Lochkartenstanzer 25.11.2011 um 12:00:36 Uhr
Goto Top
UPS: falscher thread. bitte ignorieren.
Pitti259
Pitti259 25.11.2011 um 13:26:55 Uhr
Goto Top
Die Geschäftsleitung will erst noch juristische Klärungen durchführen lassen, solange soll ich nichts unternehmen. Einerseits bin ich froh drüber, andererseits werde ich auch schon paranoid und glaube dass er meine Telefonate abhört...

Lösung also noch nicht in Sicht.