Missbrauch von Quality of Service in VoIP-Netzen
Priorisiert und manipuliert
Um mit klassischer Telefonie mithalten zu können, muss Voice over IP (VoIP) eine akzeptable Qualität aufweisen. Dafür sorgt die so genannte Dienstgüte oder auch Quality of Service (QoS). Sie priorisiert den Voice Traffic und reserviert ihm Ressourcen im Netzwerk. Doch genau diese Priorisierung lässt sich für Manipulationen nutzen und stellt damit eine potenzielle Gefahr für das Netzwerk dar.
Missbrauchen Unberechtigte die QoS, können sie ihre manipulierten Datenpakete privilegiert im
Netzwerk versenden. So lassen sich VoIP-Anwendungen eines Unternehmens gezielt beeinträchtigen oder
gar vollständig zum Erliegen bringen. Verzögerung (Delay) und Schwankungen bei der Übertragung
(Jitter) sowie eine hohe Verlustrate wären die Folge. Zudem können Angreifer über die Manipulation
von QoS die Netzwerkressourcen ausschöpfen und zum Beispiel Denial of Service (DoS) auslösen. Hier
zeigt sich deutlich: VoIP-Systeme sind als IP-basierende Anwendungen entsprechend angreifbar. Für
Unternehmen entstehen durch den Ausfall des VoIP-Systems nicht nur hohe Kosten, vielmehr ist
dadurch die Kontinuität der gesamten Geschäftsprozesse gefährdet. Daher sollten Netzwerke
spezifische Voraussetzungen erfüllen, um Angriffe über QoS zu vermeiden.
Passive und aktive Angriffe
Es gibt zwei verschiedene Arten von Angriffen, die ein VoIP-Netzwerk bedrohen können: passive
und aktive. Sie unterscheiden sich durch die Methode, aber vor allem durch die zugrunde liegende
Motivation. Ein passiver Angriff zielt darauf ab, den Datenverkehr auszuspionieren. So lassen sich
zum Beispiel mittels "Eavesdropping" Telefongespräche belauschen und Details über die
unternehmensinterne Kommunikation sammeln. Zudem können Angreifer darüber Informationen über QoS
gewinnen. Diese Erkenntnisse lassen sich gezielt für aktive Angriffe gegen ein Unternehmensnetzwerk
einsetzen.
Aktive Angriffe manipulieren Datenpakete oder senden eigene Nachrichten an das Opfersystem. Ein
Beispiel dafür sind Man-in-the-Middle-Attacken. Letztere können passiver und aktiver Natur sein.
Der Angreifer sitzt zwischen zwei kommunizierenden Systemen, indem er beispielsweise die Kontrolle
über einen Router im Netzwerk hat. Alle Nachrichten laufen über den "Unbekannten in der Mitte",
dieser kontrolliert inkognito den gesamten Datenverkehr. Hat er erkannt, welche Daten als Voice
Traffic dank QoS privilegiert das Netzwerk passieren, kann er die Datenpakete manipulieren und
eigene Nachrichten mit hoher Priorität über das Opfersystem verschicken. Die eigentlich für die
Sprachanwendung im Netzwerk reservierten Ressourcen werden so vom Angreifer genutzt.
Eine solche Angriffsart kann auch IP-Spoofing sein. Dabei fälscht der Angreifer Teile des
IP-Headers, der ein Datenpaket markiert. So lassen sich unberechtigte Informationen als über QoS zu
priorisierende kennzeichnen. Dies ist besonders in Netzwerken möglich, in denen sich die internen
Komponenten anhand der IP-Adressen gegenseitig vertrauen. Noch aggressiver sind DoS-Attacken. Sie
können zum völligen Ausfall der gesamten VoIP-Telefonie führen. Dabei sendet ein Programm so viele
Anfragen an den Server, dass diese die gesamte Bandbreitenkapazität der Netzwerkverbindung in
Anspruch nehmen. Zielt ein Angriff auf die Sprachanwendung, kann ein DoS die Priorisierung des
Voice Traffics durch QoS für unerlaubte Anfragen missbrauchen. Die IP-Telefonie kommt zum
Erliegen.
Dies sind nur einige Beispiele für einen Missbrauch der Dienstgüte. Vor allem die hohen
QoS-Anforderungen von VoIP-Systemen machen diese extrem anfällig gegen DoS-Angriffe. Grundsätzlich
gilt jedoch, dass jeder aktive Angriff aufgrund der Datenpriorisierung erhebliche Schäden in einem
konvergenten Netzwerk anrichten kann. Ist sich ein Unternehmen der Gefahren bewusst, kann es jedoch
einer Manipulation von QoS vorbeugen.
Eine Frage der Vertrauensgrenze
Sicherheit bei Quality of Service erfordert zunächst die Festlegung von spezifischen
Vertrauensgrenzen. Dabei muss jedes Unternehmen definieren, ob das Netzwerk allen Endgeräten, nur
einem Teil oder keinen Endgeräten vertraut. Sind alle Endgeräte eines Netzwerks als
vertrauenswürdig (trusted) gekennzeichnet, gilt deren Datenmarkierung im Netzwerk. Stuft also ein
Endgerät Pakete als priorisiert ein, vertraut das Netzwerk dieser Markierung und versendet die
Daten privilegiert. Allerdings macht dies das VoIP-Netz beispielsweise über IP-Spoofing angreifbar.
Sicherer ist es, die Vertrauensgrenze an den Port zu legen. Dafür sind die Intelligenz und damit
die Kontrolle an den Netzwerkrand verlagert. Hier kann jedes Unternehmen strenge administrative
Richtlinien anhand der eigenen Geschäftsanforderungen definieren. So lässt sich exakt festlegen,
welcher Anwender auf welche Datenquellen zugreifen kann, und welche Voraussetzungen das Endgerät
erfüllen muss.
Zentrales Instrument ist dabei ein Regelwerk (Policies), das differenzierte Nutzerrechte
festlegt. Die Basis bildet der IEEE-Standard 802.1X, er erzwingt die Authentifizierung am Netzwerk.
Darauf aufbauend lässt sich der Port den Nutzerrechten entsprechend konfigurieren. Das Ziel:
Bedrohungen dort zu erkennen und auszuschließen, wo sie entstehen – am Zugriffspunkt des Benutzers.
Ein Authentifizierungsserver prüft den Anwender, die Uhrzeit, den Standort und das Endgerät auf
Konformität mit den unternehmensspezifischen Zugriffsregeln. Nur wenn alle Kriterien den Vorgaben
entsprechen, ist ein Zugang zum Netzwerk möglich. Dabei unterliegt ein Endgerät, das sich als "
trusted" zu erkennen gibt, der gleichen Prüfung wie ein nicht vertrauenswürdiges. Erfüllt es die
Kriterien nicht, erhält es keinen Zugang. Intelligente Edge-Switches unterstützen zudem weitere
Identifikationsverfahren. So lassen sich VoIP-Netze auch über Web- und MAC-Authentifizierung vor
unberechtigtem Zugriff sichern.
Der Netzwerkzugang sollte über Access Control Lists (ACLs) auf der Basis verschiedener
Benutzerprofile erfolgen. Dabei richtet der Administrator detaillierte und flexible
Sicherheitsrichtlinien für jeden authentifizierten Netzwerkbenutzer ein. Über die
Bandbreitenlimitierung kann der IT-Verantwortliche zudem festlegen, wie viel maximale Bandbreite
und welche QoS einzelnen Anwendungen zur Verfügung stehen. So erhält jedes Telefon nur die
Bandbreitenmenge und QoS, die es tatsächlich benötigt. Erfolgt ein Angriff, so ist der PC, der den
gleichen Switch-Port nutzt, noch verfügbar. Zudem lässt sich über ACLs festlegen, dass Bandbreite
sowie Dienstgüte nur so lange einer Sprachanwendung bereitstehen, wie diese online ist. In der
übrigen Zeit stehen diese Ressourcen anderem Datenverkehr zur Verfügung.
Ein besonderes Augenmerk sollten Administratoren auf die Kontrolle der Endgeräte haben. In
vielen Netzwerken bilden sie die größte Schwachstelle. Mithilfe von Network Access Control (NAC)
lässt sich das Endgerät auf seinen richtlinienkonformen Konfigurationsstatus überprüfen –
beispielsweise aktuelle Viren-Scanner oder erforderliche Updates des Betriebssystems. Welche
Kriterien NAC zugrunde liegen, kann jedes Unternehmen individuell definieren.
Ist die Kontrolle an die Peripherie verlagert, steht ein solches Netzwerk allerdings vor einer
großen Herausforderung: Die nötigen Regeln müssen auf jedes einzelne Endgerät angewandt werden.
Hier sollte dem Administrator ein Management-Tool zur Verfügung stehen, über das er alle
Netzwerkkomponenten zentral konfigurieren und verwalten kann. Dies verhindert, dass
Mitarbeiterressourcen unnötig durch administrative Aufgaben gebunden sind. Zudem lässt sich ein
Angriff im Netzwerk zentral erkennen und nachverfolgen.
Sicherheitsmechanismen im Switch
Auch der Switch spielt eine wichtige Rolle. Funktionen wie Regelumsetzung in Wirespeed
ermöglichen dem IT-Verantwortlichen, Zugriffe und Datenverkehr hardwarebasierend und fein abgestuft
zu kontrollieren sowie Regeln rasch umzusetzen. Zudem sollte der Switch in der Lage sein, eine
detaillierte Verkehrsanalyse nach dem standardisierten Sflow-Verfahren zu liefern. So lässt sich
Ressourcenmissbrauch rasch erkennen und beheben. Moderne Edge-Switches verfügen über
Virus-Throttling-Technik. Diese drosselt bei einem Angriff automatisch den Netzwerkverkehr des
betroffenen Systems. Mithilfe von Standards wie Spanning Tree (IEEE 802.1D) kann der Switch die
Duplizierung von Datenpaketen – zum Beispiel ausgelöst durch vorsätzlich erzeugte Loops – im Netz
verhindern. Ist der Netzwerkprozessor entsprechend geschützt, arbeitet er selbst bei aktiven
Attacken wie DoS-Angriffen weiter. Zusätzliche Sicherheitsmechanismen im Switch sind DHCP-Snooping,
ARP-Protection oder MAC-/IP-Lockout.
Lesen Sie mehr zum Thema
