Selbst das Videoconferencing ist vor Angriffen nicht sicher: Mit dem Tool »rtpmixsound« lassen sich ungesicherte Multimedia-Datenströme manipulieren, indem zu den originalen Sprachdaten fremde Audiodateien hinzugemischt werden.

Die unliebsame Folge ist mindestens ein Imageverlust des Unternehmens. Dazu benötigt das Tool als Eingabe eine speziell formatierte Wave-Datei oder eine vorgefertigte Sequenz an Ethernet-Paketen, die einen RTP-Strom enthalten.

Das RTP-Protokoll überträgt audiovisuelle Daten in IP-Netzen. Beim Start einer neuen RTP-Session mischt der Angreifer, der sich vorher beispielsweise mit ARP-Poisoning in den Datenverkehr der Kommunikationspartner eingehängt hat, einfach unliebsame Geräusche hinzu.

Als Gegenmaßnahme bietet sich hier der Einsatz von SRTP, der verschlüsselten Variante des RTP-Protokolls, an. Eine effektive Methode, den Zugang zum eigenen Netz abzusichern, ist 802.1x. Das Protokoll verhindert, dass Geräte Zugriff zum Netz erhalten, die nicht explizit dafür freigegeben sind.

Die Freigabe regeln in vielen Fällen Zertifikate, die auf den Geräten installiert sind. Mit diesem Zertifikat meldet sich das Gerät am Switch-Port an und erhält nur Zugriff, wenn der Switch diese als gültig akzeptiert. Für ältere Geräte, die kein 802.1x »sprechen«, lassen sich Ausnahmen konfigurieren. Eine Alternative wäre hier die Authentifizierung anhand der MAC-Adresse.

Sicherheitsaufgaben outsourcen

DoS, ARP-Poisoning und die RTP-Manipulation sind nur einige der Angriffe, die sich auf VoIP-Netzen durchführen lassen. Der Schlüssel zum sicheren Betrieb von UC ist ein unternehmensweit ausgelegtes IT-Security-Konzept, das organisatorische, personelle und baulich-infrastrukturelle Fragen ebenso berücksichtigt wie technische Komponenten.

Social-Engineering beispielsweise – einer der Ausgangspunkte für Angreifer überhaupt – lässt sich nur durch eine geeignete Security-Policy, die auch im täglichen Handeln der Mitarbeiter verankert ist, entgegenwirken. Und selbst professionelle Lösungen beispielsweise mit dem Cisco-Unified-Communications-Manager oder Lösungen von Avaya sind ohne ein fachgerechtes Netzdesign für einige der möglichen Attacken wie DHCP-Starvation anfällig.

Letztlich benötigt sichere Unified-Communications die Erfahrung und das Wissen von Experten. Denn mit UC – und gerade bei der IP-Telefonie – wird die Sorge um die Sicherheit der Telekommunikation vom Festnetzbetreiber auf die IT-Abteilungen der Unternehmen verlagert. Das bedeutet für CIOs, die dies in Eigenregie einführen wollen, in vielen Fällen kostspielige Investitionen in Hardware und zusätzliches Personal.

Die Alternative ist das Auslagern der Kommunikationsnetze und deren Sicherheit an einen externen Managed-Services-Provider wie BCC, der seine Lösungen durch das Nutzen von Skaleneffekten günstiger anbieten kann.

Auf jeden Fall sollten IT-Verantwortliche gerade die Security-Parameter prüfen sowie Kosten und Nutzen abwägen, bevor sie sich für den Einsatz von UC entscheiden.

Benjamin Stehr ist IT-Security-Experte und Beauftragter für Informationssicherheit bei BCC.

Hinweis auf Network-Computing-Veranstaltung zu Security

Wie sich Außenstellen in eine Unified-Communications-Infrastruktur einbinden lassen, ohne dass Sicherheitslücken entstehen, ist übrigens auch Thema eines Vortrages von Prof. Dr. Berhard Stütz auf dem Network Computing IT Solutions College Security am 24. September 2008 in Frankfurt am Main. Bernhard Stütz ist Leiter der Real World Labs von Network Computing in Stralsund.

Weitere Themen des IT Solutions College sind unter anderem die rechtlichen Risiken, die auf IT-Leiter und Geschäftsführer dank neuer Compliance-Vorschriften zukommen, die Absicherung von Endgeräten, die ins Netz eingebunden werden sollen sowie das Für und Wider von Unified-Threat-Management-Systemen.