Viele Firewalls sind nur bedingt sprachtauglich: Trendthema mit Türöffner-Funktion

Viele Firewalls sind nur bedingt sprachtauglich: Trendthema mit Türöffner-Funktion. IP-basierender Sprachverkehr unterscheidet sich theoretisch nicht vom gewöhnlichen Datenverkehr. Praktisch bietet er Resellern von Security-Lösungen jedoch ein weites Betätigungsfeld.

Autor:Redaktion connect-professional • 27.7.2005 • ca. 3:55 Min

Viele Firewalls sind nur bedingt sprachtauglich: Trendthema mit Türöffner-Funktion

Autorin: Annette Stadler
IP-basierende Telefonie hat sich bereits relativ weit verbreitet: Rund ein Drittel der 2.000 größten Unternehmen weltweit nutzen oder testen laut einer Marktuntersuchung des Beratungsunternehmens Deloitte die Telefonietechnologie.

Cisco vermeldete vor wenigen Tagen den Verkauf des fünfmillionsten IP-Telefons. Dabei verkauft der Hersteller immer mehr IP-Telefone in kürzeren Abständen: Benötigte Cisco für den Absatz der ersten zwei Millionen IP-Telefone noch viereinhalb Jahre, wurden die nächsten zwei Millionen Geräte bereits in 14 Monaten veräußert. Die fünfte Million verkaufte sich innerhalb von sechs Monaten.

Damit sich die Erfolgsgeschichte fortsetzt, ist es notwendig, dass IP-Telefonie kein zusätzliches Sicherheitsrisiko für Unternehmen darstellt. »Theoretisch ist die Menge an Voice-over-IP-Schwachstellen beängstigend«, meint Brian Hein, Sales-Engineer bei Tipping Point, Hersteller von Intrusion-Prevention-Lösungen, den 3Com Anfang des Jahres übernommen hat. »Zwar gibt es noch fast keine gezielten Angriffe auf IP-basierte Telefonie, jedoch zeigt uns dies, dass nun der richtige Zeitpunkt gekommen ist, um sich stärker mit dem Schutz der Systeme auseinander zu setzen.«

An mehreren Fronten wächst das Bestreben, Anwendern sichere Lösungen zur Verfügung zu stellen. Mit der »VoIP Security Alliance« hat sich Anfang des Jahres eine herstellerübergreifende Vereinigung formiert, die sich dem Thema unter verschiedenen Aspekten widmet. Hersteller von IT-Security-Produkten richten ihr Augenmerk auf Voice-over-IP-Sicherheit und Reseller zeigen dafür großes Interesse. »Für einen Reseller ist es ein Traumthema mit Türöffnerfunktion«, denkt Dr. Christian Skornia, technischer Leiter von Check Point. »Es bietet ihm Möglichkeiten, den Kundenkontakt zu stärken, sein Know-how zu beweisen und dem Kunden Gutes zu tun. Nicht zuletzt kann er damit zusätzlichen Umsatz generieren.«

Generell stellen die Ausfall- und die Abhörsicherheit die Hauptgefahrenquellen der IP-Telefonie dar. Die gleichen Gefahren wie in einem Datennetzwerk können IP-basierende Sprachnetze bedrohen. Viren, Denial of Service-Attacken und Spam, das sich im Falle der Telefonie Spit (Spam over Internet Telephony) nennt, gefährden die Sicherheit. Gefahrenpotenzial schlummert auch in Löchern des zugrunde liegenden Betriebssystems, das unter Umständen nicht so häufig aktualisiert wird, wie im normalen Datennetz. Um Fehler im Betriebssystem oder in Applikationen zu vermeiden, verwendet Cisco den Cisco Security Agent (CSA). Er härtet das Betriebssystem und überwacht Anwendungen. Mit Hilfe einer Positivliste überprüft er, welche Aktionen einer Anwendung erlaubt sind.

Um eine Voice-over-IP-Anwendung grundlegend zu schützen, gelten prinzipiell die gleichen Grundsätze wie beim Schutz eines Datennetzes. Klaus Lenßen, Business Development Manager für den Security-Bereich bei Cisco, meint sogar: »Ein Unternehmen, das bereits sicherheitssensible Anwendungen auf seinem Netz laufen hat, ist auch für Voice over IP geschützt.« Dem ist jedoch zu entgegnen, dass gezielte Angriffe bislang nicht erfolgten und damit entsprechende Erfahrungen noch nicht vorliegen. Daher ist nicht automatisch davon auszugehen, dass ein vollständiger Schutz besteht. Viele Fehler treten bereits in der Administration der Sicherheitssysteme auf, wobei IT-Administratoren eventuell vorhandene technische Schutzmechanismen unbewusst oder aufgrund von Performance-Problemen ausschalten. »Eine Voice-Implementierung sollte so restriktiv wie möglich erfolgen. Beispielsweise ist es nicht empfehlenswert, Sprachverkehr generell zu erlauben«, weiß Dr. Peter Marte, Mitgründer des Firewall-Anbieters Phion.

Gewisse Voraussetzungen sollten die verwendeten Security-Produkte, allen voran die Firewalls, aber auch Endpoint-Security- Systeme und Intrusion Detection-Systeme allerdings mitbringen. Auch wenn die meisten gängigen Firewalls Sprachunterstützung offerieren, ist deren Funktionstiefe unterschiedlich ausgeprägt.

Sprache ist ein Echtzeitdienst, der die Pakete über das Real Time Protocol (RTP) überträgt. Um eine Echtzeitübertragung zu ermöglichen, setzt RTP auf das User Datagram Protocol (UDP) auf. Hierbei werden die Datenpakete ohne vorherigen Handshake und ohne nachträgliche Quittierung verschickt. Das ist zwar schneller, aber längst nicht so sicher wie etwa TCP. H.323 und SIP handeln die UDP-Ports beim Verbindungsaufbau zwischen den Endteilnehmern dynamisch aus. »Die Übertragung der Signalisierung geschieht bei den beiden Standardprotokollen H.323 und SIP getrennt von den Sprachdaten. Klassische Filterregeln von Firewalls, die sich an den Adressen orientieren, greifen folglich nicht«, erklärt Thomas Brinkschröder, Produktmanager von Entrada. Daher ist es für VoIP-
Firewalls elementar, die entsprechenden Protokolle zu unterstützen. Neben H.323 und SIP sind auch das proprietäre Cisco-Protokoll Skinny und das Media Gateway Control Protocol (MGCP) relevant. »Zusätzlich zur Protokollkonformität ist es auch wichtig, eine Normalitätsprüfung vorzusehen, damit klar ist, dass das Protokoll wie beabsichtigt eingesetzt wird«, ergänzt Skornia.

Im Gegensatz zu reinen Datennetzen ist in konvergenten Umgebungen die Verbindungszahl deutlich höher, was klassische Firewalls überfordern kann. Daher darf sich eine VoIP-Firewall nicht auf die Inhalte und Adressen der Datenpakete beschränken, sondern muss feiner justierbar sein. Ihre Filter sollten auf der Subprotokoll- oder Anwendungsebene greifen.

Neben den Analysemöglichkeiten ist es wegen den hohen Datenmengen auch wichtig, dass die Firewall die vorhandene Bandbreite optimal managt.

Dazu zählt, dass sie Sprachdaten richtig priorisiert. »Die reine Sprachprotokollunterstützung ist für die Leistung der VoIP-Firewall nicht ausschlaggebend. Entscheidend ist die intelligente Kombination aus Protokollanalyse und Bandbreitenmanagement«, beschreibt etwa Marte die anzulegenden Kriterien. Viele der gegenwärtigen Lösungen stoßen hier an ihre Grenzen. Zahlreiche VPNs sind daher heute nicht für den Sprachverkehr geeignet.

______________________________________________