IP-Telefonie ist ebenso wie andere IP-Anwendungen zahlreichen Gefahren ausgesetzt – innerhalb des Unternehmens und von außen. Sie ist jedoch nicht grundsätzlich unsicher, denn durch die Implementierung von Sicherheitsfunktionen an den richtigen Stellen lässt sich bereits heute eine umfassend abgesicherte VoIP-Infrastruktur realisieren.

Durch die grundsätzliche Segmentierung lassen sich die einzelnen Teilbereiche besser überwachen und Gefahren eindämmen.

Mit dem Siegeszug der IP-Technologie wird auch die IP-Telefonie zunehmend zum Standard in Unternehmensnetzwerken. Verunsichert durch die Vielzahl aktueller Sicherheitsvorfälle, die teilweise zum Ausfall ganzer Unternehmensnetzwerke geführt haben, stellen Unternehmen hohe Sicherheitsanforderungen an IP-Telefonie-Lösungen. Teilweise gehen die Einschätzungen an der Realität vorbei. Die Sprache im IP-Netz ist ebenso vielen Bedrohungen ausgesetzt wie in der klassischen, analogen oder ISDN-Telefonie. Unabhängig davon, ob sich Angriffe in der klassischen Welt oder in der IP-Telefonie-Welt ereignen – die Konsequenzen für das Unternehmen sind gravierend. Nichterreichbarkeit bedeutet Vertrauensverlust, stört die Kundenbindung und kann schließlich in Umsatzausfälle und Imageverlust münden. Ebenso ist unerheblich, ob vertrauliche Finanz-, Personal- oder Strategieinformationen das Unternehmen als E-Mail oder als Sprache verlassen – werden sie abgefangen, ist der Schaden der gleiche.

Ironischerweise bringt die inhärente Offenheit der IP-Technik nicht nur eine hohe Flexibilität und Produktivitätssteigerung, sondern auch neue Sicherheitsbedrohungen für die Sprachübertragung mit sich. Hierbei ist es unerheblich, ob ein Telefoniesystem teilweise mit IP-Technik nachgerüstet wird oder es sich um eine rein IP-basierte Lösung handelt.

Was sich auf der einen Seite als negativ darstellt, hat jedoch auch große Vorteile für die Nutzer, wenn es um die Sicherheit geht: Hersteller und Dienstleister mit gutem Know-how im IP-Networking und Erfahrung bei der Erkennung und Beseitigung von Bedrohungen für IP-Infrastrukturen können Sicherheitsmaßnahmen für IP-Sprachnetze schnell und effizient umsetzen. Dies ist in IP-Netzen sogar wesentlich einfacher als in klassischen Sprachsystemen, da Schwachstellen in diesem Fall systemspezifisch und deshalb schwer zu finden sind und die Entwicklung von geeigneten Gegenmaßnahmen meistens schwieriger und sehr zeitaufwändig ist.

Info Sicherheitsrisiken von Sprachdiensten / IP-Telefonie

• Toll-Fraud – Kostenmissbrauch,

• nicht-autorisierter Zugang – Missbrauch von Sprachsystemen und Benutzerkennungen, gezieltes Aushebeln von Systemkonfigurationen oder das Abfangen von Voice-Mail-Nachrichten,

• Verlust der Privatsphäre,

• Denial-of-Service (DoS) – häufige Angriffsform, bei der beispielsweise ein Server gezielt mit Anfragen überflutet wird, sodass er seine Aufgaben nicht mehr bewältigen kann und im Extremfall lahmgelegt wird,

• Netzwerk-Reconnaissance – die Vorstufe zum Angriff; Hacker spionieren ein Netzwerk aus,

• Host-Schwachstellen – erkennen Angreifer Schwachstellen auf Hosts, können sie theoretisch beliebige Befehle ausführen,

• Identitäts-Spoofing – Hacker können beispielsweise mit einem Rogue-IP-Telefon die Identität eines gültigen IP-Telefons annehmen,

• Abhören – Abfangen von Datenpaketen im Netzwerk, Wiederherstellung des Sprachsignals.

Grundsätzliche Maßnahmen

Für die technische Umsetzung von Sicherheitsmaßnahmen ist eine umfassende, unternehmensweite Sicherheits-Policy die Grundlage. Technische Realisierungen sollten einen ganzheitlichen Ansatz verfolgen, also Sicherheitsfunktionen durchgehend im gesamten Netzwerk integrieren und diese exakt aufeinander abstimmen. Hierfür steht beispielsweise die Sicherheitsarchitektur »SAFE for IP Telephony« von Cisco als »Best-Practice«-Anleitung zur Verfügung. Die Absicherung baut auf den existierenden Sicherheitsmaßnahmen in der LAN-/WAN-Infrastruktur auf und wird über die Endgeräte und die VoIP-Infrastruktur ergänzt.

Die Netzwerkinfrastruktur muss grundsätzlich umfassend abgesichert werden, beispielsweise durch Anti-Spoofing, L2-Sicherheit, DoS-Protection, Rate-Limiting, Stateful-Firewalling, Intrusion-Detection/Protection, Authentisierung, Autorisierung, Auccounting und Abschalten nicht benötigter Dienste in den Switches/Routern und den dedizierten Sicherheits-Appliances.

Viele Bedrohungen für Netzwerke beruhen auf Schwachstellen in der Anwendungs- oder Betriebssystemsoftware der Endgeräte. Durch Nutzung von Buffer-Overflow-Exploits kann ein Angreifer beispielsweise die vollständige Kontrolle

über ein Endgerät erlangen. Zu den Sicherheitsfunktionen auf der Management-/Service-Ebene zählen deshalb Maßnahmen auf den Servern, Firewalling und Out-of-Band-Management-Zugriff auf alle Server und Infrastrukturgeräte. Hinzu kommt ein umfassendes Monitoring aller sicherheitsrelevanten Aktivitäten.

Die Endgeräte-Ebene kann mit Authentisierung auf Basis von Zertifikaten und verschlüsselter Anrufkontrolle und -Signalisierung abgesichert werden. Neuere IP-Telefone, wie das Cisco-7970, bieten Mediaverschlüsselung und Nutzerautorisierung an den IP-Telefonen.

Werden Daten und Sprache im gleichen IP-Netz übertragen, sollte zur Absicherung eine Unterteilung in drei logische, separate IP-Netzwerke – VLANs – erfolgen:

• Segment mit Servern für Management- und Service-Software und zur Kontrolle der Anrufsignalisierung wie dem »Cisco CallManager« oder Unified-Messaging und den Voice-Gateways, der Schnittstelle zum öffentlichen PSTN-Netz.

• Segment mit IP-Telefonie-Endgeräten – IP-Telefone oder Videokonferenz-Endgeräte.

• Datensegment – das klassische LAN eines Unternehmens, in dem auch Software-basierte Sprachanwendungen (Softphones) betrieben werden.

Durch die grundsätzliche Segmentierung lassen sich die einzelnen Teilbereiche besser überwachen und das Überspringen von Bedrohungen über die Segmentgrenzen hinweg ist besser einzudämmen. So wird beispielsweise verhindert, dass ein Virus oder Wurm vom Datennetz aus das Sprachnetz beeinträchtigt.

Intelligentes Firewalling auf dem Application-Layer sorgt für eine Zugangskontrolle an den Übergängen zwischen den unterschiedlichen Netzsegmenten. Im gesamten Netzwerk wird in den Routern/Switches Anti-Spoofing mit Unicast-Reverse-Path-Forwarding (uRPF) implementiert. uRPF beeinträchtigen die Performance der Router kaum und arbeitet ohne ACLs. Alle Callmanager-Cluster werden zudem mit Router-basierten IOS-Firewalls oder dedizierten Pix-Hardware-Firewalls abgesichert. Die Firewalls arbeiten als Application-Level-Gateway und unterstützen unterschiedliche VoIP-Protokolle, wie Skinny-Client-Control (SCCP), Session-Initiation-Protocol (SIP) und das Media-Gateway-Control-Protocol (MGCP). Die Firewall arbeitet wie ein Proxy und analysiert das VoIP-Protokoll vollständig um die notwendigen Informationen zum Öffnen der Ports zu finden. Gleichzeitig können per NAT oder PAT private IP-Adressen in öffentliche umgewandelt werden. VoIP-fähige Firewalls schützen auch das Voice-Gateway vor Bedrohungen aus dem Internet.

Info Sicherheitsfunktionen in der Infrastruktur

• 802.1x: Der IEEE-Standard definiert die Client-Server-basierte Zugangskontrolle und Authentifizierung und verhindert, dass sich unautorisierte Clients durch öffentlich zugängliche Ports mit einem Netzwerk verbinden.

• Anti-Spoofing: Diese Technologie verhindert den Missbrauch von IP-Adressen.

• Access-Control-Lists: ACLs bieten auf Layer-2- bis -4-Ebene die Möglichkeit, Datenpakete zuzulassen oder abzuwehren. Sie beschreiben, welche Dienste von Clients und Servern angeboten oder abgerufen werden können.

• Stateful-Firewalling mit sprachfähigen Firewalls.

• DHCP-Snooping: Diese Maßnahme unterbindet DoS-Attacken durch DHCP-Messages, indem sie die DHCP-Pakete filtert. In private VLANs muss sie separat auf dem primären und dem sekundären VLAN implementiert werden.

• Dynamic-Address-Resolution-Protocol-Inspection: Mit DAI können ungültige ARP-Pakete abgefangen werden. DAI baut auf DHCP-Snooping oder statischen MAC-Tabellen auf. Durch Rate-Limiting von ARP-Paketen wird das Risiko einer Überlastung der Infrastruktur (DoS) minimiert.

• IP-Source-Guard: Diese Technik verhindert IP-Spoofing, indem sie nur die IP-Adressen zulässt, die mittels DHCP-Snooping an einem bestimmten Port eingehen.

• Kerberos: Ein frei verfügbares Netzwerkauthentifizierungs-Protokoll des MIT (Massachusetts Institute of Technology).

• SSH: Secure-Shell, ein kryptografisches Protokoll beziehungsweise dessen Implementierung für eine gegenseitige Authentifizierung von Geräten.

• SNMPv3: Simple-Network-Management-Protocol (Version 3) zum Transport von Management-Informationen mit einem nutzerbasierten Sicherheitsmodell.

• TACACS+ und RADIUS: Authentifizierungsprotokolle.

Um Missbrauch des zentralen Callprocessings und andere Störungen der IP-Telefonie-Installation durch Rogue-IP-Phones – nicht registrierte Endgeräte, die unter Vorgabe eine falschen Identität betrieben werden – zu verhindern, sind weitere Sicherheitsmaßnahmen notwendig. Eine zweifelsfreie Identifizierung der Endgeräte – ein Feature, das es in der klassischen Telefonie nur in Spezialumgebungen gibt, – löst dieses Problem. Hierzu werden die neuen Cisco-IP-Phones-7970 bereits bei der Produktion mit einem digitalen X.509v3-Zertifikat ausgestattet. So kann der Callmanager die Herkunft und Identität des Telefons überprüfen. Zusätzlich kann ein weiteres Zertifikat aus der unternehmensweiten PKI installiert werden, um unabhängig vom Hersteller einen eigenen Vertrauensbereich zu etablieren. Neben der reinen Authentifizierung zwischen Callmanager und Telefon wird auch die Signalisierung (SCCP) durch Verschlüsselung per Transport-Layer-Security (TLS) geschützt.

Damit bleibt als letzter offener Punkt noch die Verwundbarkeit des Mediastroms zwischen zwei Telefonen. Sind auf beiden Telefonen gültige digitale Zertifikate vorhanden, kann der Sprachverkehr mit dem leistungsfähigen Secure-Realtime-Transport-Protocol (SRTP) nach RFC 3711 geschützt werden. SRTP nutzt AES-128-Bit-Counter-Mode zur Verschlüsselung der RTP-Payload und zur Authentisierung des Paketes. Für die Verwaltung der Sicherheitsfunktionen wird auf dem Callmanager ein USB-E-Token und CTLs (Certificate-Trust-Lists, dem Gegenstück einer Certificate-Revokation-List, CRL) eingesetzt. Alle Konfigurations- und Softwaredateien werden signiert und authentisiert ausgetauscht.

Auch die physikalische Sicherheit sollten die IT-Verantwortlichen berücksichtigen. Der Zugang zur Netzwerk-Ausrüstung sollte dementsprechend kontrolliert werden. Netzwerkausrüstung muss hinsichtlich Feuerschutz und Stromversorgung in einer abgesicherten Umgebung platziert sein. Darüber hinaus ist Redundanz ein wesentliches Kriterium, da sie den geschäftsschädigenden Ausfall der Sprach-Infrastruktur verhindert. Die Callprocessing-Software kann hierzu in einem Cluster als eine Einheit betrieben und verwaltet werden. Durch eine dreifache Callprocessing-Server-Redundanz wird eine hohe Systemverfügbarkeit erreicht. Ein IP-Telefon hat damit außer seinem primären Server noch bis zu zwei Backup-Server in seiner Konfiguration zur Verfügung.

Dokumentierte Sicherheit

Diese umfassende Absicherung aller drei Ebenen der VoIP-Topologie erfordert ein ganzheitliches Konzept, das alle Schwachstellen und Risiken berücksichtigt. Richtig umgesetzt kann IP-Telefonie sicher betrieben werden. Mit der Self-Defending-Network-Strategie bietet beispielsweise Cisco alle Komponenten, eine konvergente Infrastruktur umfassend abzusichern. Die Cisco-IP-Telefonie-Lösung hat im Mai 2004 einen Test von Miercom mit der besten Bewertung abgeschlossen und konnte sich gegen die Lösung eines anderen Herstellers durchsetzen. Selbst versierte Hacker konnten nicht in die Voice-Architektur von Cisco eindringen oder sie nennenswert stören.

Klaus Lenssen, Business Development Manager Security, Cisco Systems