VoIP erfordert zusätzliche Sicherheitsfunktionen

Tipp 11 bis 20 zur VoIP-Sicherung

11. Physische Sicherheit: In jedem Netzwerk dürfen nur solche Geräte und Benutzer integriert werden, die sich authentisieren können und die über einen genehmigten Zugang zum Netzwerk verfügen.
12. Digitale Sicherheitszertifikate: Bietet der Hersteller der VoIP-Komponenten (in der Regel mobile Geräte) digitale Zertifikate für die Authentifizierung der VoIP-Geräten an, dann sollten diese auch im Netzwerk genutzt werden.
13. Absicherung der Gateways: Die Gateways zu den öffentlichen Netzen sind so zu konfigurieren, dass nur zugelassene Personen Telefonate empfangen beziehungsweise initiieren können. Die zugelassenen Benutzer müssen sich aus diesem Grund im Netzwerk beziehungsweise in den VoIP-Systemen authentifizieren. Der Schutz der Gateways beziehungsweise der VoIP-Ressourcen erfolgt mit Hilfe einer Kombination aus Stateful-Packet-Inspection- (SPI-)Firewalls, Application-Layer-Gateways (ALG) und den entsprechenden Network-Address-Translation- (NAT-)Werkzeugen.
14. Schutz durch Firewalls: Durch separate Firewalls (Proxis) wird der Datenverkehr über VLAN-Grenzen hinweg nur für die hierfür vorgesehenen Protokolle und Nutzer erlaubt. Dadurch wird verhindert, dass sich Viren und Trojanern auf die VoIP-Ressourcen ausbreiten. Außerdem vereinfacht ein solcher Lösungsansatz die Aufrechterhaltung der Sicherheit. Die Firewall-Konfigurationen müssen geschaffen sein, dass nur die benötigten die Ports geöffnet werden.
15. Trennung der Server-Verwaltungsebenen: Die in den Unternehmen installierten VoIP-Server sind oft die Ziele der Angreifer. Entscheidende Schwächen dieser Systeme sind die darauf installierten Betriebssysteme und Anwendungen. Damit den Hacker das Leben erschwert wird, empfiehlt es sich die jeweiligen SIP-Server-Funktionen auf getrennten Geräten zu realisieren und die Administration der Server auf mehrere Verwaltungsebenen aufzuteilen.
16. Isolierung des Sprachverkehrs im WAN: Bei der externe Kommunikation zwischen Niederlassungen oder Home-Offices sollte auch im Virtual-Private-Network (VPN) darauf geachtet werden, dass eine Trennung zwischen dem Sprach- und Datenverkehr erfolgt. Dies verhindert eine Vermischung dieser beiden Welten und schafft einen höheren Schutz gegen unerwünschte Nebeneffekte.
17. IPSec-Tunneling: Beim Tunneling durch das VPN muss beachtet werden, dass IPSec in zwei Arbeitsmethoden realisiert werden kann. IPSec im Transportmodus sorgt nur für die Verschlüsselung und den sicheren Austausch von Paketen auf der IP-Schicht. IPSec im Tunnelmodus kapselt das ursprüngliche Paket gekapselt und die Sicherheitsdienste von IPsec auf das komplette Paket angewandt. Der neue (äußere) IP-Header dient dazu, die Tunnelenden (also die kryptografischen Endpunkte) zu adressieren, während die Adressen der eigentlichen Kommunikationsendpunkte im inneren IP-Header stehen. Der ursprüngliche (innere) IP-Header stellt für Router etc. auf dem Weg zwischen den Tunnelenden nur Nutzlast (Payload) dar und wird erst wieder verwendet, wenn das empfangende Security-Gateway (das Tunnelende auf der Empfangsseite) die IP-Kapselung entfernt hat und das Paket dem eigentlichen Empfänger zustellt.
18. Endpoint-Security: Der Einsatz von portbasierten Netzzugangsdiensten (auf Basis von IEEE 802.1x ist unabdingbar. Die bekanntesten Werkzeuge in diesem Bereich sind unter folgenden Namen bekannt: Network-Access-Control (NAC), Network-Admission-Control (NAC), Network-Access-Protection (NAP) und Trusted-Network-Connect (TNC). Diese Konzepte verhindern bereits auf der Zugangsebene den Missbrauch der VoIP-Ressourcen.
19. Remote-Management vermeiden: Wenn möglich, sollten die VoIP-Ressourcen nicht über Remote-Managementanwendungen, sondern immer vor Ort überwacht und geprüft werden. Ist eine Wartung und Pflege der Systeme am Standort nicht möglich, sollten für den Zugriff vom entfernten Standort nur Secure-Shell (SSH) oder IPSec genutzt werden.
20. Sicherung der VoIP-Plattformen: Im Netzwerk kommen nur solche Systeme als VoIP-Plattformen in Betracht, die ein gehärtetes Betriebssystem und zusätzliche Schutzmechanismen gegen Cyber-Attacken bieten. Auf diesen Systemen müssen vom Administrator alle Dienste und Services deaktiviert werden, die für den Betrieb nicht notwendig sind oder sich bereits in anderen VoIP-Umgebungen als problematisch herausgestellt haben. Auf diesen Systemen muss zusätzlich eine Host-basierte Intrusion-Detection-/ Intrusion-Prevention-Anwendung aktiviert sein.

Die Sicherung von VoIP-Netzwerken ist eine nie endende Aufgabe. Durch neue Entwicklungen, neue Standards und neue Anwendungsbereiche treten immer wieder Lücken in den Systemen auf, die von Angreifern gnadenlos ausgenutzt werden. Die Sicherheit der VoIP-Ressourcen hängt von der Wahl der richtigen Hard-und Software ab. Dadurch kann die VoIP-Kommunikation mittelfristig sicherer und zuverlässiger als herkömmliche Telefonie werden.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. VoIP erfordert zusätzliche Sicherheitsfunktionen
2. 20 Tipps zur VoIP-Sicherung
3. Tipp 11 bis 20 zur VoIP-Sicherung

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Meetingbox Huus Meet Pro im Test

Schöner meeten

Digitale Gesundheitsdaten

Bundesweiter Start der E-Patientenakte rückt näher

KI-Tools für die Lehre

Baustein für bessere Bildung

Kundenbarometer Internet B2B 2025

Welcher Internetanbieter überzeugt?

Eintritt in Europas größten TK-Markt

Schwedische Vinnergi beteiligt sich an deutscher Vivax Net

Weitere Artikel zu Server, Datacenter

Neue Jobs für Rootsey und Krebs

Lenovo verändert Führungsstruktur

FTS ist jetzt Fsas

Fujitsu unter neuer Flagge

Stuart Enghofer startet am 1. April

Führungswechsel in der SAP-Business Unit von Akquinet

Abstand zu Nvidia verkürzen

AMD kauft Serverhersteller ZT Systems

Boomender RZ-Markt fordert Effizienz

Wachstums-Schmerzen lindern