Gefahren nicht bagatellisieren

Ivan Roman ist Geschäftsleiter von Roman Consulting & Engineering.

Voice over IP ist ein IP-basierter Dienst. Daher erbt die Technik auch die Gefahren der IP-Welt. Während die traditionelle Telefonie scheinbar sicher und ungefährdet war, begibt man sich nun bei Voip in die raue Umgebung der Hacker, Spamer und Viren. Und es kommen sogar noch einige Voip-spezifische Probleme hinzu. IT-Sicherheit muss drei grundlegenden Anforderungen genügen: Vertraulichkeit, Integrität und Verfügbarkeit. Die Vertraulichkeit soll sicherstellen, dass der Verkehr vor unbefugten Mitlesern und Mithörern geschützt ist. Es ist aber ebenso wichtig, dass die Daten unverfälscht am Zielort ankommen. Dies ist die Sicherstellung der Integrität. Zu guter Letzt muss die Verfügbarkeit des Dienstes gewährleistet werden. Auch Voip soll diesen Anforderungen genügen. Es gibt jedoch einige Angriffsmethoden, die zum Verlust der Sicherstellung dieser drei Ansprüche führen können.

Lauschangriffe

Lauschangriffe beeinträchtigen die Vertraulichkeit der Informationen. Auch bei den drei im professionellen Umfeld eingesetzten Voip-Verfahren (H.323, Session Initiation Protocol und Skinny Client Control Protocol) ist diese Angriffsform sehr gut möglich. Alle diese Verfahren definieren zwar verschiedene Signalisierungsprotokolle, doch für die eigentliche Datenübertragung verwenden alle das RTP (Real-Time Transport Protocol). Da letzteres standardmässig unverschlüsselt ist, lässt sich der Datenstrom nahezu mühelos mitschneiden. Die dazu benötigten Werkzeuge wie beispielsweise Ethereal oder Cain & Abel sind sogar frei im Internet erhältlich. Auch Modifikationen der ARP-Tabellen bergen die Gefahr, dass die Daten in falsche Hände geraten.

Ungeschützte drahtlos geführte Voip-Gespräche sich noch grösseren Gefahren ausgesetzt. Das Mithören der Gespräche kann zu erheblichen Einschnitten in die Privatsphäre von Personen führen.

Die Sicherstellung der Verfügbarkeit der Telefon-Infrastruktur muss auf jeden Fall gewährleistet werden. Voip hat mit der klassischen Telefontechnologie natürlich einen in punkto Zuverlässigkeit kaum schlagbaren Gegner. Es ist daher wichtig, diesem zentralen Punkt erhöhte Aufmerksamkeit zu schenken. Als problematische Voip-Szenarien sind an dieser Stelle Notrufe erwähnt, welche sich nicht zum Anrufer zurückverfolgen lassen. Auch die wirtschaftliche Sicht der Verfügbarkeit des Sprachdienstes ist nicht zu verachten. Können doch Unterbrüche für Unternehmen erhebliche finanzielle Einbussen und Imageschäden nach sich ziehen.

Voip-Systeme umfassen Einzelkomponenten wie Server, Switches und IP-Telefone. Dabei handelt es sich um klassische IT-Systeme, die als solche auch den klassischen Denial-of-Service-Angriffen (DoS) wie etwa Buffer Overflow (Überflutung) ausgesetzt sind. Das SIP-Protokoll verwendet Signalisierungsbefehle wie «Cancel» und «Bye» und Antwort-Codes. Diese bieten die Möglichkeit von DOS-Angriffen auf dem Signalisierungspfad. So kann das Versenden des «Cancel»-Codes durch einen Angreifer zu einem Sitzungsunterbruch führen. Ähnliche Resultate erzielt ein Eindringling durch das Einfügen von Daten mit hohen RTP-Nummern im Datenpfad.

Ein grosses Ärgernis im IT-Bereich stellt zurzeit die Belastung durch Spam dar. Bei Voip dürfte sich die Spamplage durch Spam over Internet Telophony (SPIT) noch verschärfen. Analog zu SMTP wird auch bei SIP der Ursprung der Nachricht nicht kontrolliert. Dies Ermöglicht das Versenden von grossen Nachrichtenmengen mit gefälschten Absender-Indentitäten und unerwünschtem Inhalt.

Abwehrmassnahmen: All diese Risiken sollten vor einer Voip-Einführung bedacht und entsprechende Gegenmassnahmen geplant werden: Diese können wie folgt aussehen:

Anforderungen definieren: Bereits bevor ein Unternehmen mit der Evaluation respektive der Anschaffung der Voip-Systeme beginnt, sollte es seine Bedürfnisse und Anforderungen klar definieren.

Bedürfnisgerechte Auswahl: Es gibt verschiedene Arten von Voice-Umgebungen wie SIP, SCCP, Skype, H.323. Alle weisen ihre eigenen Vor- und Nachteile aus. Darum sollte darauf geachtet werden, dass die gewählte Lösung den spezifischen Anforderungen und Bedürfnissen des Firmenanwenders entspricht.

Anwender trainieren: Die Anwender müssen zwingend dahingehend sensibilisiert werden, dass es sich bei Voip-Geräten um echte IT-Systeme handelt, die auch angegriffen werden können.

Zugang sichern: Der Einsatz von Zugangskontroll- und Authentifizierungssystemen ist unerlässlich. Wenn Passworte zur Authentifizierung verwendet werden, müssen starke Passwort-Techniken (Änderung der Default-Passworte, minimale Länge,...) zur Anwendung kommen.

Verschlüsselung: Es gilt, die Daten vor Lauschangriffen und Verfälschungen mit Hilfe von Verschlüsselung zu sichern. Bei den zu evaluierenden Voip-Lösungen sollte abgeklärt werden, ob und wie die Verschlüsselung und Integritätskontrolle implementiert sind. Einige Hersteller verwenden eigene Verfahren, daneben gibt es mehrere neutrale Lösungsansätze. Von Bedeutung ist etwa der RFC Standard 3711 «The Secure Real-time Transport Protocol»(SRTP). Er sorgt für die Vertraulichkeit, die Authentifizierung der Nachricht und den Schutz gegen Wiederholungen beim RTP- und RTCP-Protokoll. Bei den einzelnen Signalisierungsmethoden gibt es unterschiedliche Lösungsansätze: Für die H.323-Umgebung hat die ITU eine spezielle Empfehlung H.235 herausgegeben. In anderen Umgebungen kommt in der letzten Zeit häufig SIPS zur Anwendung.

DoS-Schutz: Voip-Systeme müssen die gleiche «Pflege» wie andere IT-Systeme erhalten. Mit Antiviren-Software lassen sich die Systeme gegen Buffer Overflows und andere DoS-Angriffe patchen. Bei den Servern sollten alle nicht notwendigen Soft- und Hardware-Module eliminiert werden. Mechanismen, die Anomalien in der Voip-Infrastruktur erkennen, bieten zusätzlichen Schutz.

Notfallnummern: Ohne Strom funktionieren die IT-Systeme (Server, Switches, etc.) nicht mehr. Notfallnummern müssen jedoch trotzdem erreichbar sein.

Daten und Sprache trennen: Der Daten- und Sprachverkehr sollte durch physikalische und logische Massnahmen, zum Beispiel mit VLAN, separiert werden.

Fernzugriff sichern: Voip-Terminals können oft remote verwaltet werden. IT-Administratoren müssen darauf achten, dass nur berechtigte Personen in der Lage sind, auf die Voip-Geräte zuzugreifen.

Firewalls testen: Die klassischen Firewalls und NAT (Network Adress Translation) wurden für den Schutz von Datennetzwerken entwickelt. Voip stellt an die Firewalls und NAT neue Anforderungen. So können beispielsweise die Signalisierungs- und Datenkanäle verschiedene Wege haben. Vor dem Voip-Einsatz muss darum abgeklärt werden, ob sie genügend Schutz bieten.

Entwicklung verfolgen: Voip ist eine relativ neue Technologie und es kommen immer wieder neue Einsatzmöglichkeiten, Varianten und Angriffsformen auf. Deshalb müssen sich die zuständigen Administratoren stets auf dem jüngsten Stand der Dinge halten.

Voip ist eine sehr interessante Alternative zur traditionellen Telefonie. Die diversen Gefahren, die dieser Sprachdienst mit sich bringt, dürfen jedoch auf keinen Fall bagatellisiert werden. Wer Voip einsetzen möchte, sollte die Sicherheitsaspekte von Anfang an mit berücksichtigen und in die Planung einbeziehen. So lassen sich Ärger und auch kostspielige nachträgliche Modifikationen vermeiden.