Penetrationstestning av Asterisk-Linux baserad IPPBX
2021 (Swedish)Independent thesis Basic level (university diploma), 10 credits / 15 HE credits
Student thesis
Abstract [sv]
I denna uppsats implementerades en Linux baserad IP PBX genom att använda Asterisk som är en open source mjukvara som kan implementeras i valfri dator. Asterisk är en mjukvaru baserad IP telefoni lösning som kan köras på ett UNIX baserat operativ system men den kan även köras på Mac OS. Den brukar kallas en kommunikations server då den kan bidra med flera olika funktionaliteter. Den kan vara en IP PBX, VoIP gateway, callcenter system, konferens system, voicemail server och många andra funktionaliteter. Den är under GNU GPL licensen och projektet har en officiell hemsida där det finns information hur den ska installeras och hur den kan konfigureras. Wikin är den officiella dokumentations sidan för Asterisk och den är inte öppen för allmänheten att ändra i. Utifrån den finns rådet att Asterisk bör installeras från källkoden för att få en bra implementering i fråga om inblick och säkerhet. Det råder dock åsikter att Asterisk inte är ett lätt system att implementera inte för att själva konfigurationen är svår då Asterisk består av textfiler utan för att informationen är splittrad, motsägelsefull och ibland inte uppdaterad. I denna uppsats implementerades Asterisk från källkoden och de råd som gavs i wikin följdes för att senare bli utvärderade genom penetrationstester. De penetrationsverktyg som användes var SIPVicious, Nmap och Wireshark. Resultatet visade att det fanns vissa små ändringar som påverkade resulatatet av vad verktygen kunde se och den mest betydande faktorn för två av verktygen var TLS krypteringen men ett av penetrationsverktyget; Nmap var dock opåverkad av den åtgärden. Den åtgärd som var lättast att implementera och mest effektiva var att bara ändra port nummer till en annan för då kundeverktygen inte ge information. De verktyg som användes var få och en vidare studie med en mer omfattande penetrations testning krävs och fler säkerhets implementeringar krävs för att få ett helt säkert system. Denna uppsats visar att Asterisk kräver mycket av sin implementerare i fråga om tid och kunskap, faktorer som småföretagare kanske inte har ett överflöd av. Att Asterisk skapades av en företagare som tillhandahöll Linux support och som själv ville ha en icke proprietär lösning till sin IP telefoni lösning säger en del. Många behöver Linux support, vilket är ett open source projekt precis som Asterisk. Open sourceger en fri användbar kod men kräver support och bra dokumentation för att kunna implemeteras säkert. Information och support som är svårt att få i ett open source baserat projekt.
Abstract [en]
In this essay, a Linux based IP PBX was implemented using Asterisk which is an opensource software that can be implemented in any computer. Asterisk is a software based IPtelephony solution that can be run on a UNIX based operating system but it can also be run on Mac OS. It is usually called a communication server as it can contribute with several different functionalities. It can be an IP PBX, VoIP gateway, call center system, conferencesystem, voicemail server and many other functionalities. It is under the GNU GPL licenseand the project has an official website where there is information on how to install it and how to configure it. Wikin is the official documentation page for Asterisk and it is not open to the public to change. Based on this, it is advised that Asterisk should be installed from the source code to get a good implementation in terms of insight and security. However, there are opinions that Asterisk is not an easy system to implement not because the configuration itself is difficult as Asterisk consists of text files but because the information is fragmented, contradictory and sometimes not updated. In this essay, Asterisk was implemented from the source code and the advice given in the wiki was followed to be later evaluated through penetration tests. The penetration tools used were SIPVicious, Nmap and Wireshark. The result showed that there were some small changest hat affected the result of what the tools could see and the most significant factor for two of the tools was the TLS encryption, but one of the penetration tool Nmap was unaffected by that measure. The measure that was easiest to implement and most effective was to just change the port number to another because then the tools could not provide information. The tools used were few and a further study with a more comprehensive penetration testing is required and more safety implementations are required to get a complete safe system. This essay shows that Asterisk requires a lot of its implementers in terms of time and knowledge, factors that small business may not have an abundance of. That Asterisk was created by an entrepreneur who provided Linux support and who himself wanted a non-proprietary solution for his IP telephony solution might say it all. An open source project that provides a free usable code but that requires support and good documentation to be able to be implemented securely. Information and support that is difficult to get in an open source based project.
Place, publisher, year, edition, pages
2021. , p. 41
Keywords [sv]
IP-telefoni, Asterisk, penetrationstester, Sipvicious, Nmap, Wireshark
National Category
Computer Systems
Identifiers
URN: urn:nbn:se:hv:diva-17751Local ID: EXN300OAI: oai:DiVA.org:hv-17751DiVA, id: diva2:1610944
Subject / course
Computer engineering
Educational program
Nätverksteknik med IT-säkerhet
Supervisors
Examiners
2021-12-062021-11-122021-12-06Bibliographically approved