Tipp: Wie man VoIP-Telefonie vor Angriffen schützt (Fortsetzung)

VLANs erhöhen die Sicherheit, aber sie richten nicht alles. So kann ein Angreifer in das Voice-VLAN kommen, in dem er sich an eine LAN-Buchse hängt und das VLAN per Software emuliert. Es lassen sich aber die UDP- und TCP-Port begrenzen, die auf die PBX vom LAN her zugreifen dürfen. Hierzu gibt es Access-Control-Lists auf Switches oder Routers. Auch eine Firewall kann dazu dienen, die TCP- und UDP-Ports zu begrenzen. Auch die Ethernet-Adressen einzuschränken, die auf das zugreifen dürfen, ist eine Möglichkeit.

Ein Extra-VLAN für die Telefone erleichtert es auch, die Bandbreite zu kontrollieren, um QoS sicherzustellen. Dies schützt auch die IP-PBX bei Denial-of-Service-Attacken (DoS), die von Würmern innerhalb des LANs kommen. VoIP verbraucht nicht so viel Bandbreite. Aber es reagiert empfindliche bei Paket-Verlust und Verzögerungen.

Administratoren sollten auch vorsichtig mit Protokollen für Autokonfiguration wie LLDP-MED (Logical-Link-Discovery-Protocol-Media-Endpoint-Device) oder dem proprietären CDP (Cisco-Discovery-Protocol). Sie erleichtern zwar die Netzwerkverwaltung, lassen sich aber auch leicht fälschen.