VoIP erfordert zusätzliche Sicherheitsfunktionen

Neue Exploits gegen VoIP tauchen ständig im Internet auf. Diese Angriffe zeigen die Verwundbarkeit der VoIP-Systeme und die Notwendigkeit für zusätzliche Sicherheitsmechanismen auf.

Hacking-Werkzeuge zum Angriff auf die VoIP-Ressourcen und zum Mithören von VoIP-Gesprächen gehören noch nicht zum Standard der Skript-Kiddies . Es stehen jedoch bereits Werkzeuge zum automatischen Auffinden von Sicherheitslücken in den Implementierungen des Session-Initiation-Protocol zur Verfügung. Es ist daher nur noch eine Frage der Zeit, bis eine leicht zu bedienende Hacker Software im Internet zur Verfügung steht.

Das eigentliche Sicherheitsproblem liegt nicht in der VoIP-Technologie, sondern in deren Implementierung. Legt man die traditionellen Anforderungen der Datenkommunikation an die Netzwerksicherheit zugrunde, dann ist VoIP so sicher wie jedes andere TCP/IP-Protokoll. Ein Großteil der bekannten VoIP-Schwachstellen hat ihre Ursache darin, dass die VoIP-Technologie noch relativ neu ist und die hierfür genutzten Protokollcodes nicht mit dem Augenmerk auf die Sicherheit entwickelt wurden.

Bei der Open-Source-PBX Asterisk sind beispielsweise VoIP-Angriffe bekannt, die sich eines Fehlers (Pufferüberläufe) im System bedienen. Das grundlegende Problem sind nicht die spezifischen Schwachstellen, sondern die fehlende Reife der Software. Da die Entwicklung dieser Systeme immer unter Druck stehen, wird zwar die Funktionalität der System geprüft, aber zusätzliche Tests in Sachen Sicherheit bleiben oftmals auf der Strecke. Das Problem wurde bereits von allen Herstellern adressiert und gegen die bekannten Exploits wurden die entsprechenden Gegenmaßnahmen entwickelt. Darüber hinaus veröffentlicht die VoIP Security Alliance eine Reihe von Testwerkzeugen, mit denen die VoIP-Anbieter die Sicherheit ihrer Systeme überprüfen können.

Eine der Binsenweisheit besagt, dass VoIP weniger sicher ist als die herkömmliche Telefonie. Begründet wird dies damit, dass VoIP auf der Basis des IP-Protokolls aufbaut und somit anfällig für Hacker-Angriffe sein soll. Die einzige Sicherheit, die die herkömmliche Telefonie zu bieten hatte, war der physische Zugang. Als Anschlusskomponenten wurden nur spezielle Geräte zugelassen und die Kommunikation erfolgte in einem geschlossenen Netz. Trotzdem konnte jeder technisch gewandte Nutzer das System manipulieren bzw. missbrauchen. VoIP-Systeme sind grundsätzlich nicht unsicherer oder anfälliger als klassische Telefonsysteme.

VoIP-Anlagen stellen in der Praxis nichts anderes als in ein Netzwerk eingebundene Clients und Server dar. Daher sind diese Komponenten den Attacken oder Abhörangriffen ausgesetzt. Diese Systeme sind den gleichen Bedrohungen wie alle anderen im Unternehmen vernetzten Computer ausgesetzt. Durch die Vermischung von Anwendungen und dem reinen Informationstransport sind jedoch keine präzisen Unterscheidungen mehr möglich.

Absicherung von VoIP

Die folgenden Hinweise dienen der Absicherung von VoIP-Netzwerken. Da die Netzwerke immer individuell auf das jeweilige Unternehmen angepasst sind, wird versucht die Hinweis so allgemein wie möglich zu formulieren:

  1. Nach Möglichkeit sollten die VoIP-Daten auf wenige VLANs beschränkt werden: Mit Hilfe getrennter VLANs zur Übermittlung von Sprach und Daten lassen sich nicht nur die Systemwelten von einander trennen, sondern auch auf der Schicht 2 priorisieren. Der Sprachverkehr wird durch VLANs vor den Datenressourcen abgeschottet. Daher sind VLANs sind auch nützlich Werkzeuge gegen DoS-Attacken und nicht autorisierten Lauschern im Netzwerk. Selbst im Falle eines Angriffs reduzieren sich die Störungen durch VLANs auf ein Minimum.
  2. Keine VoIP-Ressourcen ins Internet stellen: VoIP-Ressourcen gehören nicht ins Internet! Die VoIP-Sicherheit beginnt damit, dass die Signalisierungsserver und die VoIP-Netzwerke aus dem direkten Zugriff des Internet herausgenommen werden. Die IP-TK-Anlagen sind in separaten Domänen, getrennt von anderen Unternehmens-Servern, zu installieren. Darüber hinaus ist der Zugang zu den VoIP-Ressourcen zu beschränken.
  3. Überwachung der Verkehrsmuster im VoIP-Netz: Monitoring-Tools und Intrusion-Detection-Systeme tragen dazu bei, Angriffe auf das VoIP-Netz schneller zu identifizieren und zu analysieren. Eine kontinuierliche Überprüfung der VoIP-Protokolle bringt Unregelmäßigkeiten (gescheiterte Login-Versuche, Brute-Force-Attacken zum Knacken von Passworten, Sprach-Spams, usw.) ans Licht
  4. Sicherung der VoIP-Server: Server sollten so installiert werden, dass diese gegen interne und externe Eindringlinge geschützt sind. Da VoIP-Telefone über feste IP- und MAC-Adressen verfügen, sind diese schneller zu identifizieren und dienen den Angreifern als primäres Sprungbrett in das Netzwerk. Aus diesem Grund wird empfohlen alle IP- und MAC-Adressen, die für die Administration der VoIP-Systeme genutzt werden, über eine separate Firewall vor dem SIP-Gateway auszufiltern oder zu sperren.
  5. Mehrere Verschlüsselungsebenen: In der Praxis genügt es nicht, die reinen Sprachpakete zu verschlüsseln. Es müssen auch die Signalisierungsdaten abgesichert werden. Heute werden zwei Methoden zur Verschlüsselung von VoIP genutzt: das Secure Real Time Protocol (SRTP) zur Verschlüsselung der Kommunikation zwischen den Endpunkten und die Transport Level Security (TLS) zur Verschlüsselung der Signalisierungsprozesse. Doch die Verschlüsselung des Sprachverkehr allein ist nur eine halbe Lösung. Diese Maßnahmen müssen durch zusätzliche Sicherheitsmechanismen in den Gateways, Firewalls, Netzwerken und Endgeräten unterstützt werden.
  6. Redundanz der VoIP-Netze: Täglich sind IP-Netze durch DoS-Angriffe oder Viren bedroht. Im schlimmsten Fall bringen diese ein Netzwerk zum Absturz. Ein VoIP-Netzwerk sollte so aufgebaut sein, dass es Teilausfälle toleriert. Hierzu gehören Redundanzmaßnahmen wie die Doppelung wichtiger Switches, Router, Gateways, Server und der Netzzugänge zu mehr als einem Service Provider.
  7. Regelmäßige Updates und Patches: Die Sicherheit von VoIP-Netzwerk hängt von den zugrunde liegenden Betriebssystemen und den jeweiligen Anwendungen ab. Daher ist zwingend notwendig, die Betriebssysteme und die VoIP-Anwendungen regelmäßige zu pflegen und die Installation der neuesten Patches vorzunehmen.
  8. Vorsichtiger Einsatz von Softphones: VoIP-Softphones sind anfällig für Hacker-Angriffe, auch diese sich hinter den Unternehmens-Firewalls befinden. Aus diesem Grund sollten normalen PCs als Softphones nur in Ausnahmefällen genutzt werden. Da diese Geräte in der Regel keine Trennung zwischen Sprache und Daten vornehmen können, sind sie besonders anfällig für Viren, Würmer und Trojaner.
  9. Regelmäßige Sicherheitsaudits: Vertrauen ist gut. Kontrolle ist besser! Eine regelmäßige Überprüfung der Verbindungen und der Serviceaktivitäten trägt dazu, dass Unregelmäßigkeiten aufgedeckt werden.
  10. Analyse des SIP-Verkehrs: Der Blick auf den SIP-Verkehr und die Kontrolle anormale Pakete genügt in der Regel bereits um Anomalien in den Kommunikationsmustern festzustellen. Darüber hinaus sind die Log-Files der wichtigen SIP-Komponenten regelmäßig zu analysieren bzw. zu kontrollieren.
  11. Physische Sicherheit: In jedem Netzwerk dürfen nur solche Geräte und Benutzer integriert werden, die sich authentisieren können und die über einen genehmigten Zugang zum Netzwerk verfügen.
  12. Digitale Sicherheitszertifikate: Bietet der Hersteller der VoIP-Komponenten (in der Regel mobile Geräte) digitale Zertifikate für die Authentifizierung der VoIP-Geräten an, dann sollten diese auch im Netzwerk genutzt werden.
  13. Absicherung der Gateways: Die Gateways zu den öffentlichen Netzen sind so zu konfigurieren, dass nur zugelassene Personen Telefonate empfangen bzw. initiieren können. Die zugelassenen Benutzer müssen sich aus diesem Grund im Netzwerk bzw. in den VoIP-Systemen authentifizieren. Der Schutz der Gateways bzw. der VoIP-Ressourcen erfolgt mit Hilfe einer Kombination aus Stateful Packet Inspection (SPI) Firewalls, Application Layer Gateways (ALG) und den entsprechenden Network Address Translation (NAT) Werkzeugen.
  14. Schutz durch Firewalls: Durch separate Firewalls (Proxis) wird der Datenverkehr über VLAN Grenzen hinweg nur für die hierfür vorgesehenen Protokolle und Nutzer erlaubt. Dadurch wird verhindert, dass sich Viren und Trojanern auf die VoIP-Ressourcen ausbreiten. Außerdem vereinfacht ein solcher Lösungsansatz die Aufrechterhaltung der Sicherheit. Die Firewall-Konfigurationen müssen geschaffen sein, dass nur die benötigten die Ports geöffnet werden.
  15. Trennung der Server-Verwaltungsebenen: Die in den Unternehmen installierten VoIP-Server sind oft die Ziele der Angreifer. Entscheidende Schwächen dieser Systeme sind die darauf installierten Betriebssysteme und Anwendungen. Damit den Hacker das Leben erschwert wird, empfiehlt es sich die       jeweiligen SIP-Server-Funktionen auf getrennten Geräten zu realisieren und die Administration der Server auf mehrere Verwaltungsebenen aufzuteilen.
  16. Isolierung des Sprachverkehrs im WAN: Bei der externe Kommunikation zwischen Niederlassungen oder Home Offices sollte auch im Virtual Private Network (VPN) darauf geachtet werden, dass eine Trennung zwischen dem Sprach- und Datenverkehr erfolgt. Dies verhindert eine Vermischung dieser beiden Welten und schafft einen höheren Schutz gegen unerwünschte Nebeneffekte.
  17. IPSec-Tunneling: Beim Tunneling durch das VPN muss beachtet werden, dass IPSec in zwei Arbeitsmethoden realisiert werden kann. IPSec im Transportmodus sorgt nur für die Verschlüsselung und den sicheren Austausch von Paketen auf der IP-Schicht. IPSec im Tunnelmodus kapselt das ursprüngliche Paket gekapselt und die Sicherheitsdienste von IPsec auf das komplette Paket angewandt. Der neue (äußere) IP-Header dient dazu, die Tunnelenden (also die kryptografischen Endpunkte) zu adressieren, während die Adressen der eigentlichen Kommunikationsendpunkte im inneren IP-Header stehen. Der ursprüngliche (innere) IP-Header stellt für Router usw. auf dem Weg zwischen den Tunnelenden nur Nutzlast (Payload) dar und wird erst wieder verwendet, wenn das empfangende Security-Gateway (das Tunnelende auf der Empfangsseite) die IP-Kapselung entfernt hat und das Paket dem eigentlichen Empfänger zustellt.
  18. Endpoint Security: Der Einsatz von port-basierten Netzzugangsdiensten (auf Basis von IEEE 802.1x ist unabdingbar. Die bekanntesten Werkzeuge in diesem Bereich sind unter folgenden Namen bekannt: Network Access Control (NAC), Network Admission Control (NAC), Network Access Protection (NAP) und Trusted Network Connect (TNC). Diese Konzepte verhindern bereits auf der Zugangsebene den Missbrauch der VoIP-Ressourcen.
  19. Remote-Management vermeiden: Wenn möglich, sollten die VoIP-Ressourcen nicht über Remote-Managementanwendungen, sondern immer vor Ort überwacht und geprüft werden. Ist eine Wartung und Pflege der Systeme am Standort nicht möglich, sollten für den Zugriff vom entfernten Standort nur Secure Shell (SSH) oder IPSec genutzt werden.
  20. Sicherung der VoIP-Plattformen: Im Netzwerk kommen nur solche Systeme als VoIP-Plattformen in Betracht, die ein gehärtetes Betriebssystem und zusätzliche Schutzmechanismen gegen Cyber-Attacken bieten. Auf diesen Systemen müssen vom Administrator alle Dienste und Services deaktiviert werden, die für den Betrieb nicht notwendig sind oder sich bereits in anderen VoIP-Umgebungen als problematisch herausgestellt haben. Auf diesen Systemen muss zusätzlich eine Host-basierte Intrusion Detection/ Intrusion Prevention Anwendung aktiviert sein.

Die Sicherung von VoIP-Netzwerken ist eine nie endende Aufgabe. Durch neue Entwicklungen, neue Standards und neue Anwendungsbereiche treten immer wieder Lücken in den Systemen auf, die von Angreifern gnadenlos ausgenutzt werden. Die Sicherheit der VoIP-Ressourcen hängt von der Wahl der richtigen Hard-und Software ab. Dadurch kann die VoIP-Kommunikation mittelfristig sicherer und zuverlässiger als herkömmliche Telefonie werden. (mh)