Sicherheit von Daten und IT-Infrastrukturen ist heute Topthema auf der Agenda von CIOs und IT-Managern. Moderne IP-Netze werden neben Datenkommunikation auch für Echtzeit-IP-Kommunikation, vor allem Voice-over-IP, genutzt. Daraus erwächst die neue Anforderung, auch Echtzeit-IP-Kommunikation gegen Angriffe zu schützen.

Mit Hilfe der MPLS-Technologie können VPNs mit verschiedenen CoS für unterschiedliche Applikationen ausgestattet werden.

In der traditionellen TDM-basierten Telefonie war Sicherheit wegen der Geschlossenheit der TK-Anlagen und dem hohen Aufwand für Einbrüche kein großes Problem. Mit der Konvergenz ändert sich dies grundlegend: Echtzeitkommunikation wie Voice-over-IP, Video-over-IP, Instant-Messaging/Presence und Daten verwenden gemeinsam das IP-Protokoll. Telefonie wird zur Echtzeit-IP-Anwendung, ähnlich IT-Anwendungen, und ist wie diese vor Angriffen zu schützen. IP-PBX-Systeme sind offene Systeme, das heißt ein Datenangriff kann zum Ausfall der Kommunikation führen. Angriffe können weltweit über das Netz oder intern über das LAN erfolgen. Vorteilhaft ist, dass Schutzmaßnahmen für Echtzeit-IP-Kommunikation diejenigen für Daten mit nutzen können.

Zur VoIP-Signalisierung werden wie bei IT-Anwendungen feste IP-Ports verwendet. Ports für die eigentliche Sprachübertragung werden dynamisch ausgehandelt. Dadurch sind VoIP-Systeme leichter verwundbar. Eine ganze Reihe wichtiger Bedrohungen für VoIP-Systeme und typische Gegenmaßnahmen sind zu beachten.

Unberechtiger Zugang zu Systemen

Unberechtigter Zugang kann lokal im LAN oder per Fernzugriff erfolgen. Schutzmaßnahmen sind: Autorisierung und Authentisierung von VoIP-Benutzern beziehungsweise -Endgeräten, beispielsweise entsprechend IEEE-802.1x-Standard auf Schicht 2. Fernzugang ist nur über ein VPN und/oder mit strenger Authentisierung zu gestatten. Firewalls sollten den Datenverkehr auf dem LAN-Zugang prüfen. Mit einer Public-Key-Infrastructure (PKI) lässt sich die Identität von Benutzern und Geräten prüfen. Intrusion-Detection/Prevention-Systeme (IDS und IPS) können Eindringversuche Unbefugter erkennen beziehungsweise verhindern, indem sie ungewöhnliche Muster im Datenverkehr identifizieren.

Abhören von Gesprächen

Der Angreifer befindet sich beim Abhören von Gesprächen zwischen den beiden Endpunkten einer Kommunikationsverbindung, um den Datenstrom zu überwachen, aufzuzeichnen, zu manipulieren oder gar, um die Kontrolle über die Verbindung komplett zu übernehmen (Connection-Hijacking, Man-in-the-middle-Angriff). Abhilfe bieten folgende Techniken und Maßnahmen: Nutzung von Sicherheitsfunktionen im Netz, Verschlüsselung der Payload von Sprache/Video und der Signalisierung, IEEE-802.11i-Standard für WLAN, VPN-Verschlüsselung mit IPsec oder – für verzögerungsempfindliche Anwendungen wie VoIP nicht empfohlen – SSL.

Gebührenmissbrauch ist die unberechtigte Nutzung gebührenpflichtiger Ressourcen, ohne entsprechende Gebühren zu zahlen. Folgende Gegenmaßnahmen bieten sich an: Authentisierung, Einsatz von IDS/IPS-Non-Repudiation-Mechanismen sowie Separieren des lokalen Datennetzwerks mittels VLANs.

Denial-of-Service-Angriffe wie Load-based- oder Malformed-Request-DoS bedrohen die Verfügbarkeit von Ressourcen, was Dienstqualität und -verfügbarkeit beeinträchtigt. Auch gegen diese Bedrohung stehen Gegenmaßnahmen zur Verfügung: Einsatz geeigneter Netzkomponenten und Maßnahmen innerhalb des betreffenden Anwendungsprotokolls, Einsatz von IDS/IPS sowie Bandbreitenlimitierung.

Manipulation ist die unberechtigte Veränderung von Informationen (auch Programmcode), in der Regel über Computerviren und -würmer. Folgende Gegenmaßnahmen bieten sich an: Firewalls, PKI, IDS/IPS, Antiviren-Software, Zugangskontrolle sowie dedizierter Schutz der Daten vor Veränderung.

Protokollangriff

Ein Protokollangriff nutzt Schwachstellen von IP-Protokoll beziehungsweise VoIP-Protokollen wie SIP oder H.323. Daher müssen VoIP-Anbieter sichere Protokollimplementierungen auf einer sicheren IP-Infrastruktur liefern.

Spam, also die unaufgeforderte Zusendung von Messages, kann als Vehikel zur Übertragung von Viren dienen oder Ressourcen blockieren. Eine Schwachstellenanalyse eines kompletten IP-Telefonsystems zeigt, dass ohne Gegenmaßnahmen zum einen das IP-Netz und zum anderen eine IP-PBX (vor allem deren Betriebssystem) und Gateways, Anwendungen, Endgeräte und Management-Software gefährdet sind. Optimalen Schutz bietet eine intelligente Kombination typischer Schutzmaßnahmen für Daten und VoIP-spezifischer Sicherheitsvorkehrungen.

Sichere IP-Netze – die Grundvoraussetzung

Oben genannte Bedrohungen haben besondere Bedeutung für Netze mit konsequenter Sprach-Datenintegration. Das Netz wird einziges Rückgrat der Unternehmenskommunikation und muss daher hochverfügbar und durch Redundanzen abgesichert sein. Ein sicheres IP-Netz sollte heterogene Umgebungen und alle Medien (LAN, WLAN, WAN, VPN) unterstützen. Es sollte typische Angriffe wie DHCP-Server, ARP beziehungsweise Source-IP-Spoofing verhindern. Zusätzlich ist auf den Serverkomponenten einer VoIP-Lösung ein effizientes Host-IDS/IPS-System wie Enterasys-Dragon-HIDS sinnvoll.

Im Backbone empfehlen sich Funktionen wie Firewall, beispielsweise H.323-ALG (Application-Level-Gateway), beziehungsweise SIP-Proxy-Funktionen. VPN-Geräte sollten performanceoptimierte Verschlüsselung unterstützen, um Qualitätsverluste durch zusätzlichen Delay auf WAN-Strecken zu verhindern.

Der Zugang zum Netzwerk ist per Authentisierung am Zugangsport zu kontrollieren. Da reine IEEE-802.1X-Umgebungen selten sind, sollte der Access-Switch mehrere Authentisierungsmethoden pro Port unterstützen (beispielsweise auch für Sicherheitskameras und Drucker sowie externe Personen und Besucher), da sonst ein einheitliches Authentisierungs- und Policy-Managementsystem nahezu unmöglich wird; beispielsweise könnte neben IEEE-802.1X die MAC-Adresse als Authentisierungsfaktor dienen oder es wird ähnlich den WLAN-Hotspots eine Web-Authentisierung genutzt. Zudem sollte die Authentisierung auch mehrere Nutzer pro Port (Mini-Switches bei der Kombination von PC und Phone, Authentisierung erst am Gebäude-Switch) und unterschiedliche Policies erlauben, die unabhängig voneinander authentisiert werden und unabhängige nutzerspezifische Policies zuzuordnen sind. Dies ist heute beispielsweise mit der »Multi-User Authentication and Policy«-Funktion bei Enterasys-Switches gegeben.

Um die Effizienz des konvergenten Netzwerkes zu erhöhen, sollten Sicherheits- und QoS-Regeln den einzelnen Endsystemen nach erfolgreicher Authentisierung automatisch zugewiesen werden. Damit ist eine individuelle, sicherheitsrelevante Behandlung der Endsysteme beziehungsweise ein Zuweisen von entsprechenden Servicequalitäten möglich, ohne den Administrationsaufwand zu erhöhen.

Die Regeln pro Endsystem können bestehen aus: VLAN, Access-Control-Lists (ACL), Prioritätszuweisung (Quality-of-Service), Rate-Limiting sowie einer Zusatzklassifizierung auf OSI-Layer-2/3/4 zur Unterscheidung beispielsweise von Protokollen, IP-Subnetzen, Diffserv-Signalisierung und Applikationen pro Benutzer. Mit ACL-Zuweisung lassen sich ohne aufwändig zu administrierende und schlecht skalierende VLANs Nutzergruppen im gleichen Subnetz voneinander trennen. Weiterhin erlaubt die dynamische Natur der nutzerspezifischen ACLs, die traditionellen, statischen Router-ACLs zu ersetzen. Hier entfällt dann die Administration dieser ACLs bei Umzügen, was eine Kostensenkung bedeutet.

Mit Rate-Limiting lässt sich eine limitierte, aber für Voice ausreichende Bandbreite bereitstellen und gleichzeitig eine bandbreitenintensive DoS-Attacke abblocken. Zur Erhöhung des Sicherheitsniveaus empfiehlt sich ferner der Einsatz einer modernen Netzwerk-Quarantäne-Technologie. Sie gestattet, bei einem sicherheitsrelevanten Vorfall in einem Endsystem dieses vollkommen vom Netz zu isolieren, bis der Schaden behoben ist. Dies verhindert ein Übergreifen des Schadens via Netz.

Wichtig in einer sicheren, intelligenten IP-Netzwerkinfrastruktur ist auch die dynamische Reaktion auf Attacken und Anomalien im Netzwerk: ein IDS wie Enterasys-Dragon kann solche erkennen und Sender-IP und Art der Attacke an eine Managementapplikation, wie den Netsight-Automated-Security-Manager (ASM), übergeben. Diese kann unmittelbar den Ort der auffälligen IP-Adresse bis auf den Port genau feststellen. Als Reaktion lässt sich am entsprechenden Switch-Port sofort die Regel ändern oder dieser komplett sperren. Andere Systemteile arbeiten ohne Behinderung weiter. Echtzeit-IP-Kommunikation und Geschäftsabläufe werden nicht unterbrochen.

Sichere Echtzeit-IP-Kommunikation

Am Beispiel von Siemens lässt sich zeigen, welche Schutzmaßnahmen für die Echtzeit-IP-Kommunikation ein führender Anbieter von IP-Kommunikationssystemen und Echtzeit-IP-Kommunikation bereitstellen kann. Sicherheit ist heute ein Hauptentwicklungsziel bei Hipath. Verfahrensgrundsätze für die Sicherheit sind in der »HiPath Security Policy« festgelegt. Das Sicherheitsportfolio von Siemens Communications Enterprise Systems und Enterprise Services umfasst »Security-enabled« Produkte, das heißt durch integrierte Sicherheitsmerkmale geschützte Produkte, dedizierte Sicherheitslösungen und -systeme sowie Sicherheitsdienstleistungen, wie Analyse, Beratung, Implementierung, Management. Die genannten Sicherheitslösungen und -dienstleistungen beziehen sich auf IT und Kommunikation.

Security-enabled Systeme

Beispiele konkreter Sicherheitsfunktionen in IP-Telefonie-Systemen sind:

• Härten von Plattformen und Endgeräten,

• Payloadverschlüsselung mit Secure-Realtime-Transport-Protocol (SRTP) und Signalisierungsverschlüsselung mit Transport-Layer-Security (TLS) in Gateways und IP-Telefonen,

• IEEE-802.1x-Authentisierung in IP-Telefonen und -Softphones,

• H.235-Sicherheit für Authentisierung von IP-Telefonen und Datenintegrität,

• VPN-Unterstützung auf Basis von IPsec in ausgewählten Gateways für IP-Trunking und in ausgewählten IP-Softphones,

• Telefonie-Anwendungen: Administrator-/Benutzerzugang mit Authentisierung, verschlüsselte Speicherung und Übertragung sensibler Daten, Verwendung sicherer Protokolle entsprechend relevanten internationalen Sicherheitsstandards,

• Benutzer-Authentisierung, SIP-Signalisierung und Instant-Messaging-Verschlüsselung mit TLS sowie Payloadverschlüsselung für IP-Telefone mit SRTP,

• Management: Administratorzugang mit Authentisierung und Verschlüsselung, sicherer Fernzugriff via Browser und sichere Managementprotokolle,

• WLAN-Sicherheit.

Komplettlösungen

Ein ganzheitliches Konzept für umfassenden Schutz von Echtzeit-IP- und Datenkommunikation muss sich auf sichere IP-Netze und spezifische Sicherheitsmechanismen für die Echtzeit-IP-Kommunikation stützen. Partner wie Siemens und Enterasys arbeiten eng zusammen, um sichere Umgebungen für Echtzeit-IP-Kommunikation aufzubauen. Netzwerkelemente von Enterasys erkennen automatisch das Vorhandensein von Siemens IP-Telefonen. Sie weisen Regeln automatisch auf dem Switchport zu, verringern so den Administrationsaufwand und gewährleisten gleichzeitig eine sichere IP-Kommunikation.

Die automatisierte Erkennung und Lokalisierung der Endsysteme auf dem Netzwerk ist zudem wichtig für die Unterstützung von Notruf-Szenarien im VoIP-Umfeld. Nur wenn erkannt wird, wo sich das IP-Telefon physikalisch befindet, kann der Notruf lokalisiert werden. Auch der Schutz der Kommunikationsserver durch eine IDS-Lösung sorgt für erhöhte Sicherheit. Tritt ein Sicherheitszwischenfall auf, stellen die oben beschriebenen Schutzmechanismen eine ungestörte Echtzeit-IP-Kommunikation und damit den ungehinderten Ablauf der Geschäftsprozesse sicher.

Fazit

Für Sicherheit in konvergenten Netzen mit Echtzeit-IP-Kommunikation empfiehlt sich in jedem Fall ein ganzheitliches Konzept. Wie im vorliegenden Artikel beschrieben, ist im Sinne eines Subsidiaritätsprinzips zum einen eine sichere und hochverfügbare Netzinfrastruktur erforderlich, die Echtzeit-IP-Kommunikation wie VoIP unterstützt. Zum anderen sind Sicherheitsfunktionen in den Echtzeit-IP-Komponenten und auf Anwendungsebene obligatorisch. Nur mit einem harmonischen Gesamtkonzept wird eine optimale Gesamtlösung für Echtzeit-IP- und Datenkommunikation erreicht, die Wirksamkeit und Effizienz miteinander verbindet. Andreas Seum, Director of Technology, Office of the CTO, Enterasys Networks, Dr.-Ing. Peter Pawlita, Leiter Produktstrategie Management and Security, Siemens Communications Enterprise Systems