Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Datacenter & Verkabelung > VoIP erfordert zusätzliche Sicherheitsfunktionen

Kommentar: VoIP-Security

VoIP erfordert zusätzliche Sicherheitsfunktionen

11. Juli 2014, 14:30 Uhr | Mathias Hein, freier Consultant in Neuburg an der Donau
Fortsetzung des Artikels von Teil 1

20 Tipps zur VoIP-Sicherung

Die folgenden Hinweise dienen der Absicherung von VoIP-Netzwerken. Da die Netzwerke immer individuell auf das jeweilige Unternehmen angepasst sind, wird versucht die Hinweis so allgemein wie möglich zu formulieren:

  1. Nach Möglichkeit sollten die VoIP-Daten auf wenige VLANs beschränkt werden: Mit Hilfe getrennter VLANs zur Übermittlung von Sprache und Daten lassen sich nicht nur die Systemwelten von einander trennen, sondern auch auf der Schicht 2 priorisieren. Der Sprachverkehr wird durch VLANs vor den Datenressourcen abgeschottet. Daher sind VLANs auch nützlich Werkzeuge gegen DoS-Attacken und nicht autorisierten Lauschern im Netzwerk. Selbst im Falle eines Angriffs reduzieren sich die Störungen durch VLANs auf ein Minimum.
  2. Keine VoIP-Ressourcen ins Internet stellen: VoIP-Ressourcen gehören nicht ins Internet! Die VoIP-Sicherheit beginnt damit, dass die Signalisierungsserver und die VoIP-Netzwerke aus dem direkten Zugriff des Internets herausgenommen werden. Die IP-TK-Anlagen sind in separaten Domänen, getrennt von anderen Unternehmens-Servern, zu installieren. Darüber hinaus ist der Zugang zu den VoIP-Ressourcen zu beschränken.
  3. Überwachung der Verkehrsmuster im VoIP-Netz: Monitoring-Tools und Intrusion-Detection-Systeme tragen dazu bei, Angriffe auf das VoIP-Netz schneller zu identifizieren und zu analysieren. Eine kontinuierliche Überprüfung der VoIP-Protokolle bringt Unregelmäßigkeiten (gescheiterte Login-Versuche, Brute-Force-Attacken zum Knacken von Passworten, Sprach-Spams, etc.) ans Licht
  4. Sicherung der VoIP-Server: Server sollten so installiert werden, dass diese gegen interne und externe Eindringlinge geschützt sind. Da VoIP-Telefone über feste IP- und MAC-Adressen verfügen, sind diese schneller zu identifizieren und dienen den Angreifern als primäres Sprungbrett in das Netzwerk. Aus diesem Grund wird empfohlen alle IP- und MAC-Adressen, die für die Administration der VoIP-Systeme genutzt werden, über eine separate Firewall vor dem SIP-Gateway auszufiltern oder zu sperren.
  5. Mehrere Verschlüsselungsebenen: In der Praxis genügt es nicht, die reinen Sprachpakete zu verschlüsseln. Es müssen auch die Signalisierungsdaten abgesichert werden. Heute werden zwei Methoden zur Verschlüsselung von VoIP genutzt: das Secure-Real-Time-Protocol (SRTP) zur Verschlüsselung der Kommunikation zwischen den Endpunkten und die Transport-Level-Security (TLS) zur Verschlüsselung der Signalisierungsprozesse. Doch die Verschlüsselung des Sprachverkehr allein ist nur eine halbe Lösung. Diese Maßnahmen müssen durch zusätzliche Sicherheitsmechanismen in den Gateways, Firewalls, Netzwerken und Endgeräten unterstützt werden.
  6. Redundanz der VoIP-Netze: Täglich sind IP-Netze durch DoS-Angriffe oder Viren bedroht. Im schlimmsten Fall bringen diese ein Netzwerk zum Absturz. Ein VoIP-Netzwerk sollte so aufgebaut sein, dass es Teilausfälle toleriert. Hierzu gehören Redundanzmaßnahmen wie die Doppelung wichtiger Switches, Router, Gateways, Server und der Netzzugänge zu mehr als einem Service Provider.
  7. Regelmäßige Updates und Patches: Die Sicherheit von VoIP-Netzwerk hängt von den zugrunde liegenden Betriebssystemen und den jeweiligen Anwendungen ab. Daher ist zwingend notwendig, die Betriebssysteme und die VoIP-Anwendungen regelmäßige zu pflegen und die Installation der neuesten Patches vorzunehmen.
  8. Vorsichtiger Einsatz von Softphones: VoIP-Softphones sind anfällig für Hacker-Angriffe, auch diese sich hinter den Unternehmens-Firewalls befinden. Aus diesem Grund sollten normalen PCs als Softphones nur in Ausnahmefällen genutzt werden. Da diese Geräte in der Regel keine Trennung zwischen Sprache und Daten vornehmen können, sind sie besonders anfällig für Viren, Würmer und Trojaner.
  9. Regelmäßige Sicherheitsaudits: Vertrauen ist gut. Kontrolle ist besser! Eine regelmäßige Überprüfung der Verbindungen und der Serviceaktivitäten trägt dazu, dass Unregelmäßigkeiten aufgedeckt werden.
  10. Analyse des SIP-Verkehrs: Der Blick auf den SIP-Verkehr und die Kontrolle anormaler Pakete genügt in der Regel bereits um Anomalien in den Kommunikationsmustern festzustellen. Darüber hinaus sind die Log-Files der wichtigen SIP-Komponenten regelmäßig zu analysieren beziehungsweise zu kontrollieren.

Anbieter zum Thema

Vertiv GmbH
nexspace data centers GmbH
Rittal GmbH & Co. KG
Riello UPS GmbH
Panduit
Matchmaker+
zu Matchmaker+
  1. VoIP erfordert zusätzliche Sicherheitsfunktionen
  2. 20 Tipps zur VoIP-Sicherung
  3. Tipp 11 bis 20 zur VoIP-Sicherung

Lesen Sie mehr zum Thema

connect professional Server, Datacenter
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu connect professional

Meetingbox Huus Meet Pro im Test

Schöner meeten

Digitale Gesundheitsdaten

Bundesweiter Start der E-Patientenakte rückt näher

KI-Tools für die Lehre

Baustein für bessere Bildung

Kundenbarometer Internet B2B 2025

Welcher Internetanbieter überzeugt?

Eintritt in Europas größten TK-Markt

Schwedische Vinnergi beteiligt sich an deutscher Vivax Net

Weitere Artikel zu Server, Datacenter

Neue Jobs für Rootsey und Krebs

Lenovo verändert Führungsstruktur

FTS ist jetzt Fsas

Fujitsu unter neuer Flagge

Stuart Enghofer startet am 1. April

Führungswechsel in der SAP-Business Unit von Akquinet

Abstand zu Nvidia verkürzen

AMD kauft Serverhersteller ZT Systems

Boomender RZ-Markt fordert Effizienz

Wachstums-Schmerzen lindern

Matchmaker+
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
Securepoint GmbH

Securepoint GmbH
nexspace data centers GmbH

nexspace data centers GmbH
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
KONZEPTUM GmbH

KONZEPTUM GmbH
Softing IT Networks GmbH

Softing IT Networks GmbH