Internet, Telefon & TV über Kabel

Vodafone SIP Zugang Verschlüsselung
Smart-Analyzer

Hallo,

 

bei den Zugangsdaten für das SIP Gateway bzw. Proxy von Vodafone finde ich nur einen unverschlüsselten Zugang für das SIP Protokoll (Port 5060 ohne TLS). Außerdem ist nicht ersichtlich, ob der Medien Stream verschlüsselt wird (SRTP). Kann man mir hierzu Auskunft geben? Falls nein, ist in der Zukunft eine Verbesserung/Umstellung in dieser Hinsicht geplant?

 

VG

Mehr anzeigen
5 Antworten 5
Giga-Genie

Hi,

 

meines Wissens bietet VF KD kein SIPS oder SRTP an. Dies ist meines Erachtens auch nicht zwingend notwendig.  Die Datenpakete werden eh vom Kabelmodem bis zur CMTS (Transportverschlüsselung aller Datenpakete) verschlüsselt. Ab dort werden diese zum internen SIP-Server von VF KD weitergeleitet. Ab dem SIP-Server ist eh keine Verschlüsselung mehr möglich, da ab dort dort die Gespräche über die Voice Gateways ins öffentliche Telefonnetz geleitet werden.

 

Gruß

Mehr anzeigen
Smart-Analyzer

Ist das wirklich so mit der Verschlüsselung zwischen dem Modem und dem CMTS? Ich dachte immer bei Docsis handelt es sich um ein geteiltes Medium ohne weitere Sicherheitsmaßnahmen. Ich bekomme auf logischer Ebene ja auch eine IP in einem /24er Block von Vodafone. Mal angenommen jemand benutzt ein manipuliertes Modem oder ähnliches, sind dann keine Man in Middle Attacken wie bei Ethernet (ARP Poisoning etc.) in meinem Netzwerksegment denkbar?

Mehr anzeigen
Giga-Genie

Hi,

 

da die Kabelmodems zertifiziert und besonders abgesichert werden müssen, ist es sehr schwierig, ein manipuliertes Kabelmodem in Betrieb zu bekommen. Die Datenpakete werden mit der MAC-Adresse des Kabelmodems zwangsweise verschlüsselt, da diese ja an jedem Anschluss des Segmentes empfangbar sind.

 

Aber ja, es gab da schon Sicherheitsvorfälle z. B. den eines Berliner Routerherstellers Smiley (zwinkernd)

Mehr anzeigen
Smart-Analyzer

Ok danke dafür, das ist ja mal eine Horizonterweiterung Smiley (fröhlich) !

Sprich die Modem MAC ist quasi der Common Name von dem Zertifikat mit dem sich meinetwegen eine FritzBox am CMTS autorisiert. Die CA teilen dann in dem Fall AVM und Vodafone und Vodafone verifiziert so das Zertifikat des Modems oder wie darf man das verstehen?

 

Mehr anzeigen
SuperUser

Nicht ganz... Das Modem besitzt ein eigenes Zertifikat, welches mit dem Herstellerzertifikat signiert wurde. Dieses Herstellerzertifikat wiederum wurde von einer gemeinsamen Root-Zertifizierungsstelle signiert.

Wenn nun also das Modem sich am CMTS anmelden will, muss es sein eigenes (mit dem Herstellerzeritifikat unterschriebenes) Zertifikat zur Verifikation an das CMTS schicken und dieses kann das Zertifikat dann gegen das öffentliche Rootzertifikat sowie herausgegebene Sperrlisten vergleichen.

 

Daraufhin handeln CM und CMTS dann die Verschlüsselungsparameter für die DOCSIS-Schicht (56 bit DES resp. 128 bit AES) aus. Sämtliche Unicasts zwischen CM und CMTS sind damit verschlüsselt, während Multicasts (CMTS an alle CM) unverschlüsselt übertragen werden.

 

Solange also dein Nachbar nicht zufällig den DES/AES-Schlüssel kennt, kann er deine Datenpakete nicht lesen.

Mehr anzeigen