Kommentar: VoIP-Sicherheit
VoIP-Trends bergen neue Gefahrenquellen
Fortsetzung des Artikels von Teil 1
Schutz der Netzwerkarchitektur
Als Voraussetzung für den gesicherten VoIP-Betrieb muss die Netzwerkinfrastruktur abgesichert werden. Hier stehen folgende Sicherheitsmechanismen zur Verfügung:
- Netzwerkstruktur: Durch logische Unterteilung eines Netzes (VLANs) kann der Telefoniedatenverkehr von ,,normalem” Datenverkehr (wie E-Mail-, Browser- oder Dateizugriffe) getrennt werden. Dies wiederum erlaubt eine bessere Überwachung.
- Anti-Spoofing: Sicherung von Rechnern gegenüber der Fälschung von DNS-Einträgen durch zusätzliche Verifizierung der angegebenen Adressdaten.
- L2/L1-Sicherheit: Während Angriffe auf kabelgebundene Netze einen direkte Zugang zum Netzwerk erfordern, ist es möglich, die Kommunikation aller WLANs in Reichweite zu belauschen. Insbesondere da diese für mobile Endgeräte zunehmend genutzt werden, müssen WLAN Schwachstellen abgesichert werden.
- DoS-Protection: Schutz durch Rate-Limiting, Mehrfach-Handshakes, redundante Systeme oder Challenge-Response.
- Intrusion-Detection/-Protection: Erkennung ungewöhnlicher Vorgänge durch Datenverkehrsanalyse.
- Authentisierung, Authorisierung und Accounting: Einsatz von Mechanismen zur Öffnung von Zugängen nur auf Basis sicherer Authentifizierung.
- Session-Border-Controller: Dient der Verbindung und der Kontrolle zwischen verschiedenen VoIP/Video-Netzen.
Sicherungsmechanismen auf Protokollebene
Die weitere Sicherung betrifft den Schutz der eingesetzten Protokolle. Dabei wird zwischen einer Ende-zu-Ende-Sicherheit und einer Hop-zu-Hop-Sicherheit unterschieden. Die Hop-zu-Hop-Sicherung bietet jeweils nur Sicherheit auf dem Weg zwischen zwei Knotenpunkten auf dem Kommunikationsweg. Eine Ende-zu-Ende-Sicherheit schützt den kompletten Pfad zwischen den beiden kommunizierenden Endsystemen. Bekannte Verfahren der Protokollsicherung sind:
- IPsec: IPsec authentifiziert oder verschlüsselt die Daten auf der Netzwerkschicht.
- Virtual-Private-Networks (VPNs): VPNs sind Tunnel zwischen zwei Knotenpunkten, in denen der Datenaustausch gesichert ist.
- Transport-Layer-Security (TLS): Dieses Protokoll wird als Sicherungsmechanismus auf der Transportschicht eingesetzt und stellt die Vertraulichkeit und Prüfung der Integrität zur Verfügung. Darüber hinaus ist mittels des TLS-Handshake-Protokolls eine wechselseitige Authentifizierung möglich.
- Secure-MIME: S/MIME arbeitet auf der Anwendungsschicht und wird in der Regel für eine Ende-zu-Ende-Sicherheit eingesetzt. Es kann sowohl zur Sicherung der Integrität der Signalisierungsdaten als auch zur Verschlüsselung von Nachrichteninhalten genutzt werden.
- SRTP: Der Einsatz des auf digitalen Zertifikaten oder symmetrischen Schlüsseln basierenden Secure-RTP schützt den Medienstrom zwischen zwei Geräten.
- Digest-Authentifizierung/Signatur: Dieser auch in HTTP genutzte Mechanismus verwendet einen Challenge-Response-Algorithmus zur Authentifizierung – wird unter anderem in SIP angewendet.
Auf dem Weg zur Verbesserung der Sicherheit müssen die durch VoIP im Netz entstehenden Risiken verstanden und quantifiziert und entsprechende Gegenmaßnahmen ergriffen werden. In der Praxis endet die VoIP-Sicherheit spätestens beim VoIP-Endgerät. Wäre der Gebührenbetrug die einzige VoIP-bezogene Bedrohung, dann müsste man sich nicht mit dem Thema VoIP-Sicherheit beschäftigen. Solche Angriffe zielen zwar auf den Geldbeutel des VoIP-Betreibers, aber die durch NSA, Wikileaks, Stuxnet angerichteten Schäden sind bei weitem größer. Auch bei den jüngst bekannt gewordenen Kreditkartenbetrügereien legten die Hacker großen Wert darauf, den Zugriff auf jede Form von Unternehmensdaten zu erhalten. Daher zielten solche Angriffe auf das schwächste Glied in der Sicherheitskette. In vielen Fällen, drangen die Hacker via VoIP in die Unternehmen ein.
- VoIP-Trends bergen neue Gefahrenquellen
- Schutz der Netzwerkarchitektur
Lesen Sie mehr zum Thema
