Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > VoIP-Sicherheit

VoIP-Sicherheit

26. September 2007, 13:20 Uhr |

Über die Schwierigkeit VoIP-Systeme zu sichern, streiten sich die Experten. Die einen sind der Meinung, ein »normal« geschützter IP-Bereich sei völlig ausreichend, andere wiederum argumentieren, VoIP-Sicherheit sei kaum zu realisieren. Welche Kriterien sind unbedingt zu erfüllen?

Auf VPNs nach dem Secure-Socket-Layn-Verfahren zu bauen heißt multimediale Inhalte besser zu schützen.

Hadi Stiel, Berater und freier Journalist in Bad Camberg

Mit der Konvergenz von Sprache, Daten und Video über IP werden in den Unternehmen neue, integrierte Anwendungen Fuß fassen. Instant-Messaging, Videokonferenzen und Online-Collaboration via Echtzeit-Portal sind solche Applikationen.

Immerhin kristallisiert sich für diesen integrierten Verkehr eine Sicherheitstechnik heraus, die es erlaubt, die Inhalte zumindest während des Transfers durchs Internet verlässlich zu schützen. Zur Erinnerung: Sowohl der leitungsgebundene Verkehr als auch die mobile Kommunikation über Dienste wie GPRS, UMTS und WLAN wird vermehrt über das öffentliche und damit gefährliche Internet abgewickelt. SSL-VPNs legen in dieser Konstellation zunehmend ihre schützende Hand über die transferierten multimedialen Inhalte. Zumal sie im Gegensatz zu IPsec-VPNs ohne permanente VPN-Client-Software und den damit verbundenen Aufwand auskommen: Software-Verteilung, Installation, Konfiguration, Support, Wartung, Updates. Stattdessen fungiert ein Standard-Browser als VPN-Client-Schnittstelle. Diese intelligente Architektur macht es zudem möglich, auch sporadische Teilnehmer in die sichere Kommunikationsgemeinschaft aufzunehmen, und ebenso schnell wieder auszuklinken. Bei verwaltungsaufwändigen IPsec-Clients ist das ein Ding der Unmöglichkeit. Damit passen SSL-VPNs ausgesprochen gut in ein multimediales Kommunikationsszenario mit immer schneller wechselnden Kommunikationspartnern. Auch an der Schnittstelle zur Zugriffskontrolle wissen SSL-VPNs zu überzeugen. Auf gleicher Anwendungsebene angesiedelt, sind über dieses Duo Remote-Zugriffe bis in die Zielsysteme hinein steuerbar, fein granulierte Berechtigungen inklusive. Verschlüsselte VPNs und Zugriffskontrolle können so endlich im Sinne einer Ende-zu-Ende-Kontrolle zusammenrücken. Allerdings stehen derzeit noch die hohen Software-Lizenzkosten für SSL-VPNs solchen Sicherheitsüberlegungen entgegen.

Voice-over-IP-Sicherheit ist ganzheitlich auf den drei Ebenen Applikation, Systeme und Netzwerk zu betreiben.

Dr. Behrooz Moayeri, Comconsult Beratung und Planung

Der Schwierigkeitsgrad bei der Realisierung von Sicherheit für VoIP unterscheidet sich nicht wesentlich vom entsprechenden Schwierigkeitsgrad bei anderen ähnlich komplexen IT-Anwendungen. Auch die VoIP-Sicherheit muss ganzheitlich betrachtet werden, nämlich auf den drei Ebenen Applikation, Systeme und Netz. Und wie bei jeder anderen Applikation sind die Sicherheitsziele Authentifizierung, Vertraulichkeit, Integrität der Information und Unversehrtheit der Systeme zu berücksichtigen. Die Vorstellung, ohne VoIP könne man bei einer wesentlich lascheren IT-Sicherheitspolitik bleiben als mit VoIP, ist ebenso wenig zutreffend wie der Glaube, ein IP-Netz dürfe ruhig ausfallen, wenn es keine Sprache übertragen müsse.

Bei den Herstellern ist der Zug Richtung VoIP längst abgefahren, und sie werden die konventionelle PBX-Technik langsam, aber sicher absterben lassen. Deshalb muss jedes Unternehmen zumindest ein Konzept für die Einführung von VoIP und auch ein zugehöriges für die Sicherheit ausarbeiten. Mit den heute verfügbaren Mitteln ist bereits viel zu erreichen. Es ist möglich, mit entsprechenden (teureren) Endgeräten die Sprachinformationen durchgehend zu verschlüsseln. Es ist auch möglich, zumindest die Hardphones in einem abgeschotteten Netzbereich zu betreiben, der nur der Telefonie dient.

Telefonendgeräte können so abgesichert werden, dass sie nur nach der Eingabe einer Geheimzahl verfügbar sind. Zentrale VoIP-Komponenten wie Server lassen sich als gehärtete Bastionen aufbauen, auf denen unnötige und angreifbare Dienste deaktiviert sind, ein Virenschutz läuft und Intrusion-Prevention realisiert ist. VoIP-Kommunikation zwischen unterschiedlichen Vertrauensbereichen ist dank moderner Firewalls möglich. Eine Kombination aus allen oder Teilen dieser Maßnahmen ist in jedem Unternehmen möglich und erforderlich.

Die bisher eingesetzten Sicherheitstechnologien (Firewalls und IDS-Systeme) sind mehr oder weniger nutzlos bei VoIP-Angriffen.

Mathias Hein, Consultant und freier Journalist

Der Großteil der Angriffe auf VoIP-Ressourcen ähnelt denen der auf Datennetze. Die über die Netzwerke übermittelten Sprachinformationen lassen sich mit Hilfe eines Sniffers abhören. Dies war bei den analogen und digitalen Telefongesprächen nicht anders. Neue Angriffsarten (Exploits) nutzen die Sicherheitslöcher im Zusammenspiel zwischen den Sprach- und Datenressourcen aus. Beispielsweise treten vermehrt Registration- bzw. Call-Highjacking bei SIP-Telefonen öffentlicher VoIP-Anbieter auf. Dabei wird die IP-Adresse eines IP-Telefons auf eine IP-Adresse des Hackers umkonfiguriert. Das Resultat: Alle über das VoIP-Netz eingehenden Anrufe für den betreffenden Benutzer erreichen diesen nicht.

Reguläre Telefone sind »dumme« Endgeräte. Beim VoIP dreht sich das Bild: Die Endgeräte enthalten alle Intelligenz und interagieren selbständig mit den VoIP- und Netzressourcen. Besonders Softphones bieten durch die gleichzeitige Nutzung von Sprache und Daten attraktive Ziele für Hacker, um Trojaner oder andere schädliche Programme zu installieren und anschließend die Angriffe auf das Sprachnetzwerk zu starten.

Das größte Problem besteht jedoch darin, dass die bisher eingesetzten Sicherheitstechnologien (Firewalls und IDS-Systeme) mehr oder weniger nutzlos bei VoIP-Angriffen sind. Auf Grund der Echtzeitnatur der VoIP-Services sollten diese beim Durchgang durch die Firewalls nicht verzögert werden. Versteht eine Firewall das H.323 oder SIP, öffnet und schließt diese die Ports für den VoIP-Verkehr automatisch. VoIP-Verkehr erfordert eine tiefere Inspektion der H.323- und SIP-Pakete durch die Firewall. Dies resultiert in einer höheren CPU-, Puffer- und Memory-Auslastung. Mit steigender Anzahl von Sprachströmen kann bereits die von der Firewall erzeugte Verzögerung über die Grenzwerte steigen und zur Verschlechterung der Sprachqualität führen.

Eine Möglichkeit besteht im Einsatz von Voice-Proxies. Diese Komponenten signalisieren der Firewall, welche Ports geöffnet werden sollen und wie zusätzliche Aufgaben wie das Network-Address-Translation (NAT) umgesetzt werden. Die IETF erarbeitet derzeit einen Protokoll- und Architekturvorschlag (Arbeitsname: Middlebox Communication Architecture and Framework; MIDCOM) zur direkten Integration der Proxies in Firewalls.

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
Softing IT Networks GmbH

Softing IT Networks GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
elektrofachkraft.de

elektrofachkraft.de
Panduit

Panduit

KONZEPTUM GmbH

KONZEPTUM GmbH