Voice over Internet-Protocol (VoIP) ist das Protokoll, das von Unternehmen für die nahtlose Kommunikation zwischen Geräten innerhalb ihres Intranets und externen Geräten über das Internet verwendet wird. Im Laufe der Zeit haben Unternehmen die VoIP-basierte Kommunikation wegen ihrer zahlreichen Vorteile wie Flexibilität, Skalierbarkeit und Kosteneffizienz übernommen. Doch alles, was gut ist, hat auch eine Kehrseite. Unternehmen sind sich dieser Kehrseite nicht immer bewusst. Auch VoIP und darauf basierende Unified-Communication-Systeme erweitern die Angriffsfläche für Cyberkriminelle.
VoIP-basierte Kommunikationssysteme verwenden in der Regel das Session-Initiation-Protocol (SIP) zur Steuerung der VoIP-Sitzungen. Genau dieses SIP-Protokoll wird von Cyberkriminellen am häufigsten für Angriffe auf VoIP-basierte Systeme verwendet. Die Hacker greifen routinemäßig den 5060-Port an, der von Telefonen und Videokonferenzsystemen für die Kommunikation genutzt wird. Der Data-Breach-Investigations-Report aus dem vergangenen Jahr von Verizon besagt, dass 86 Prozent aller Sicherheitsverletzungen durch Geld motiviert sind.
VoIP-basierte Kommunikationssysteme, die SIP verwenden, werden von Cyberkriminellen mit den folgenden gängigen Methoden angegriffen:
- Ausbeutung von Netzwerksystemen durch Kompromittierung von sprachbasierten Systemen, Softphones, Festnetztelefonen und anderen Kommunikationsgeräten, bei denen durch Abhörangriffe und Diebstahl von Benutzerdaten sensible Informationen entwendet werden.
Dem Verizon-Bericht zufolge wurden fast 40 Prozent aller Sicherheitsverletzungen durch Hackerangriffe begangen, die auf den Diebstahl von Anmeldeinformationen zurückzuführen sind. Bei über 60 Prozent der Sicherheitsverletzungen durch Hacker wurden Brute-Force-Angriffe durchgeführt oder verlorene oder gestohlene Anmeldedaten genutzt. - Man-in-the-Middle-Angriffe, bei denen Kommunikationsdaten ausgespäht und die Kommunikation an unbeabsichtigte Ziele umgeleitet wird.
- VoIP-Spams mit unnötigen Anrufen und Anrufen, die zum Diebstahl von Benutzerdaten, Betrug und anderen derartigen Straftaten führen. Dem Verizon-Bericht zufolge sind Phishing und die Verwendung gestohlener Zugangsdaten die fünf häufigsten Methoden von Cyberkriminellen, wobei 36 Prozent aller Datenverletzungen auf Phishing zurückzuführen sind.
- Vishing-Angriffe mit automatisierten Anrufen bei Personen, die dazu verleitet werden, sensible Informationen über sich selbst oder ihr Unternehmen preiszugeben, was zu massiven finanziellen Verlusten für sie führt.
- Gebührenbetrug, bei dem von unbefugten Anrufern die sogenannten Premiumnummern oder Ferngespräche genutzt werden. Diese führen zu hohen Kommunikationsrechnungen für das Unternehmen, wobei die Angreifer von den illegal geführten Anrufen profitieren.
- DDoS- und DoS-Angriffe, die die Dienste des Kommunikationssystems unterbrechen. Aus dem Verizon-Bericht geht hervor, dass DoS weiterhin eine Bedrohung darstellt, die von Cyberkriminellen zur Durchführung von Angriffen genutzt wird.
SBCs als Bollwerk der VoIP-Verteidigung
Session-Border-Controllers (SBCs) sind der wichtigste Schutz gegen Angriffe auf SIP-basierte Kommunikationssysteme. SBCs agieren als Grenzpatrouille für die Kommunikationsnetze, indem diese den Kommunikationsverkehr kontrollieren, regulieren und nur autorisierten Verkehr innerhalb des Netzes zulassen.
SBCs sind auf die Verteidigung der sprachbasierten Kommunikationssysteme spezialisiert und sind speziell dafür ausgelegt, den Geschäftskontext zu verstehen, mehrere native Protokolle zu verarbeiten und eine hohe Leistung der Kommunikationssysteme zu gewährleisten.
Allerdings gibt es einen Haken! SBCs können ihre Aufgabe, die Sicherheit eines Netzwerks zu verbessern, nur erfüllen, wenn diese Komponenten richtig konfiguriert sind und die Einstellungen an die individuelle Netzwerktopologie angepasst wurde. Fällt ein solches Sicherheitssystem aus, dann vermittelt es den Unternehmen unter Umständen ein falsches Gefühl von Sicherheit.
Aus diesem Grund sollte man sich bei der Sicherung des Netzwerks mit Session-Border-Controllern auf die folgenden Aspekte konzentrieren:
- Erkennung von Brute-Force-Angriffen.
- Verwendung sicherer Kommunikationsprotokolle, wie TLS und HTTPs.
- Überwachung von Anrufen, einschließlich Spitzen bei der Anzahl von Anrufen und Anrufen zu Premium-Nummern.
- Einsatz starker Richtlinien für die Benutzerkonten.
- Konfigurieren von Schwellenwerten für die Anzahl der Anrufsessions.
- Aktivieren eines Intrusion-Prevention-Systems (IPS)- und Intrusion-Detection-Systems (IDS).
- Protokollierung von Kommunikationsdaten und aktive Überwachung der Parameter und Schwellenwerte des Kommunikationssystems.
Die Sicherung von SBCs, die genau in die Topologie des jeweiligen Unternehmensnetzwerks passen, ist eine Herausforderung. Der Administrator muss genau wissen, wie und wo jede Netzwerkkomponente eingesetzt und konfiguriert wird. Außerdem muss Klarheit darüber bestehen, wie die Daten durch die Netze fließen.
Unternehmen verfügen im Durchschnitt über fünf bis sieben Netzwerke mit mehreren Komponenten innerhalb jedes Netzwerks. Ist der Administrator mit all diesen Komponenten in seinem Netzwerk vertraut, hat er ein so genanntes Asset-Management-Problem, das wiederum zu einem Schwachstellen-Management-Problem wird. Für die Sicherung von SBCs müssen in der Regel über 50 Richtlinien und 100 Kontrollprüfungen konfiguriert werden. Man kann versuchen, dies manuell abzuarbeiten, aber wer von uns kann schon von sich behaupten, diese Mammutaufgabe präzise bewältigen zu können?
Aus diesem Grund sollte man sich bereits in der Planungsphase des SBCs die folgenden Fragen stellen:
- Wie sichern wir die Session-Border-Controller (SBCs) und die zugehörigen Sicherheitseinrichtungen bei gleichzeitiger Gewährleistung der Skalierbarkeit ab?
- Wie behalten wir die Kontrolle über ein dynamisches Unternehmensnetz, in dem verschiedene Systeme mehrere spezifische Prüfungen benötigen?
- Wie behalten wir in einem sich ständig ändernden regulatorischen Umfeld den praktischen Überblick über die sich entwickelnden Vorschriften und gewährleisten die Einhaltung?
- Wie behalten wir den Überblick über die neuesten Bedrohungsdaten, seien es Angriffssignaturen oder kostenpflichtige Mehrwertnummern, angesichts des schieren Volumens und der sich ständig weiterentwickelnden Art der Angriffe?
- Wie stellen wir sicher, dass unsere Arbeitsabläufe zur Reaktion auf Vorfälle und zur Behebung von Problemen die Angriffe dynamisch stoppen und verhindern, ohne bestehende Arbeitsabläufe zu unterbrechen?
Dem Verizon-Bericht zufolge sind 22 Prozent der Datenschutzverletzungen auf Fehler, wie beispielsweise Fehlkonfigurationen, zurückzuführen. Noch schlimmer ist, dass die meisten dieser sicherheitsrelevanten Vorfälle in der Regel von Sicherheitsforschern, Außenstehenden und Kunden entdeckt werden, während nur sehr wenige von Mitarbeitern in den Unternehmen erkannt werden.
Welchen Ansatz man auch immer wählt, man muss sicherstellen,, dass das regelmäßige Scannen von SBCs, die regelmäßige Überprüfung ihrer Konfigurationen und die dynamische Aktualisierung der Konfigurationen auf der Grundlage der neuesten Bedrohungsdaten ein fester Bestandteil des jeweiligen VoIP-Sicherheitsmodells ist.
Von Mathias Hein, Consultant, Buchautor, Redakteur