[Back]

M. Maier:
"Secure Operation of Open Source Private Branch Exchange (PBX) Servers to Provide reliable VoIP Services";
Supervisor: T. Grechenig, F. Fankhauser; E183/1, 2012.

Since the invention of the telephone about 150 years ago, communication systems have been subject to continuous improvement and form an important factor in modern life. Current development favors Voice over IP based systems, which utilize regular Internet infrastructure and their advantages. Also the ongoing evolvement of software development enables open source products to mature and to form a viable alternative to other software design approaches.
The designers of open source private branch exchange (PBX) Asterisk pursue utilizing open source software for the development of a Voice over IP systems. As it combines advantages of both, open source software and Voice over IP systems, a promising future of Asterisk is guaranteed.
Although great benefit can be achieved, the openness of and integration into regular Internet infrastructure evokes doubts about the security of the system.
This thesis presents an approach to point out potential security threats of an open source PBX system, to analyize their system vulnerabilities and to estimate the risk of such vulnerabilities getting exposed. For an Asterisk based reference system, mitigation strategies for identified risk are presented.

Seit der Erfindung des Telefons vor etwa 150 Jahren haben sich Kommunikationssysteme ständig weiterentwickelt und stellen heute einen wichtigen Teil der Kommunikationskultur dar. Die aktuelle Entwicklung bewegt sich hin zu Voice over IP (VoIP) Systemen, die auf der Infrastruktur des Internet aufsetzen. Auf der anderen Seite trägt die laufende Evolution von Softwareentwicklungsstandards dazu bei, Open Source Software Produkte laufend in ihrer Qualität zu verbessern und somit auch eine praktikable Alternative zu kommerziellen Softwareentwicklungsansätzen zu bieten.
Trotz des großen Nutzens, welcher durch den Einsatz des Open Source Konzept in Verbindung mit VoIP Systemen erzielt werden kann, entstehen durch die daraus resultierende Offenheit und Integration in die Internet Infrastruktur neue Sicherheitsprobleme.
Die weitverbreitete Open Source Telefonanlagensoftware Asterisk wird im Rahmen der vorliegenden Arbeit herangezogen, um examplarisch bestehende Sicherheitsprobleme bei VoIPLösungen aufzuzeigen. Dabei wird eine Methode vorgestellt, deren Anwendung zur zuverlässigen Identifikation von Sicherheitsbedrohungen in Open Source Telefonanlagen führt. Anhand einer Beispielinstallation wird ein Maßnahmenkatalog präsentiert, der zur Minimierung der dargestellten Risken führt. Der Maßnahmenkatalog beschreibt technische sowie organisatorische Maßnahmen, welche einen sicheren Betrieb einer Open Source Telefonanlagensoftware ermöglichen.