Kommentar: VoIP-Sicherheit
Top 5 Mythen der VoIP-Sicherheit
Fortsetzung des Artikels von Teil 3
Mythos 4: Unsere VoIP-Infrastruktur ist sicher, da die eingesetzte Firewall die VoIP-Protokolle beherrscht und/oder im Netz ein Session-Border-Controller installiert wurde
Für VoIP geeignete Firewalls und Session-Border-Controller (SBCs) sind eng verwandte Anwendungen mit ähnlicher Funktionalität. Für VoIP geeignete Firewalls werden in der Regel in Unternehmen eingesetzt und SBC finden ihren Einsatz in Service-Provider-Netzwerken.
Da die meisten im Markt verfügbaren Firewalls nicht in der Lage sind, die Echtzeitströme (VoIP, Video) zu kontrollieren, werden diese Datenströme ungeprüft durchgelassen. Daher wird den Firewalls ein Session-Border-Controller (SBC) zur Kontrolle der die Echtzeitströme (VoIP, Video) nachgeschaltet.
Ein Session-Border-Controller (SBC) ist eine Netzkomponente zur sicheren Kopplung von Rechnernetzen mit unterschiedlichen Sicherheitsanforderungen. Ein SBC ermöglicht die Steuerung und Kontrolle über Signalisierung und in der Regel auch Media-Streaming sowie Aufbau, Durchführung und Abbau von Telefongesprächen oder anderen interaktiven Medien die an einer Kommunikation beteiligt sind. SBCs analysieren die verschiedenen Datenströme und greifen, je nach Konfiguration, in die verschiedenen Datenströme ein. Zu den Funktionen von SBCs gehören:
- Security-Offloading: Unterstützung von Verschlüsselungstechniken (SIPS, TLS, SRTP).
- Media-Pinholing: Gezielte Freischaltung von UDP/TCP-Ports zur Übertragung von Mediadaten.
- Transcoding: Umwandlung zwischen verschiedenen Sprach/Video-Codecs.
- Protocol-Translation: Umwandlung und Anpassungen von verschiedenen Signalisierungsprotokollen.
- Header-Manipulation: Anpassung von SIP und SDP.
- Media-Anchoring: Kopplung der Sprachdaten von SIP-Endgeräten, die nur über NAT erreichbar sind.
Gewisse Sicherheitsfunktionalität wurde in SBCs vielfach erst im Nachhinein integriert. Aus diesem Grund verfügen einige dieser Geräte keine signaturbasierten Kontrollfunktionen und erkennen daher die Protokollanomalien in den VoIP-Strömen nicht oder nur rudimentär. Darüber hinaus weisen die derzeitigen Implementierungen eine Reihe von Schwachstellen auf:
- Das Verhältnisse der falsch und positiven Meldungen liegt bei der Anomalieerkennung immer noch viel höher als bei klassischen Signatur-basierten Lösungen.
- Nur Standard-VoIP-Protokollanomalien (SIP, RTP) werden erkannt und herstellerspezifische Erweiterungen werden ignoriert.
- Nur eine kleine Anzahl von SIP- und RTP-bezogenen Angriffen werden erkannt.
Auch SBCs bietet keinen vollständigen Schutz für die VoIP-Ströme. Deshalb muss dieser Sicherheitsbaustein um weitere VoIP-spezifische Komponenten erweitert werden. Hierzu gehören beispielsweise VoIP-Intrusion-Prevention-Systeme, VoIP-Network-Access-Control und Anti-SPIT-Mechanismen.
- Top 5 Mythen der VoIP-Sicherheit
- Mythos 2: Unsere VoIP-Infrastruktur ist sicher, da wir VLANs nutzen und die VoIP-Ressourcen von anderen Datennetzen isolieren
- Mythos 3: Unsere VoIP-Infrastruktur ist sicher, da diese fester Bestandteil der Sicherheitsinfrastruktur des Datennetzes ist
- Mythos 4: Unsere VoIP-Infrastruktur ist sicher, da die eingesetzte Firewall die VoIP-Protokolle beherrscht und/oder im Netz ein Session-Border-Controller installiert wurde
- Mythos 5: Unsere VoIP-Infrastruktur ist sicher, weil wir im Netz nur proprietäre Protokolle und Anwendungen eines Anbieters nutzen
Lesen Sie mehr zum Thema
