Die Kostenvorteile von Voip gegenüber der klassischen Festnetztelefonie sind unübersehbar. Seitdem auch Qualität und Verfügbarkeit stimmen, hat sich der Zug in Richtung Telefonie über IP-Netze drastisch beschleunigt. Voip, so eine aktuelle Studie der Marktforscher von De-loit-te&Touche, wird bereits im kommenden Jahr bei rund 66 Prozent der Global-2000-Unternehmen zum Einsatz kommen. Doch in die Euphorie für Voice over IP mischen sich auch Stimmen, die vor Risiken warnen. Schliesslich nutzt diese Technik zur Sprachübertragung die bestehende Netzwerkin-frastruktur des Unternehmens und ist dadurch den gleichen Gefahren ausgesetzt, wie das Internet-Surfen. Problemzonen stellen etwa die Netzwerk-Übergänge dar, also die Perimeter-Bereiche. Den Schwierigkeiten, die bei der Integration von Voip in eine Perimeter-Sicherheitsstrategie auftreten, kann aber durchaus wirksam begegnet werden.

Unterschiedliche Protokolle
Voip verkörpert keine monolithische Technik mit einer bestimmten Anzahl
feststehender Standardwerte. Stattdessen existiert eine Reihe von Protokollen, die die Sprachübertragung über Internetverbindungen ermöglichen. Am häufigsten werden derzeit die Voip-Protokolle H.323 und SIP (Session Initiation Protocol) für die Signalisierung sowie RFP (Radio Fixed Part) zur Datenübertragung verwendet. Aber es gibt auch andere. Das offene Gateway-Protokoll MGCP (Media Gateway Control Protocol) etwa wird in grös-seren Netzwerken ergänzend zur Signalübertragung eingesetzt, etwa von Dienst-anbietern zur Koordination zwischen verschiedenen Voip-Installationen. Bei SCCP (Signalling Call(ing)/Connection Control Part) oder Skinny wiederum handelt es sich um ein von Cisco entwickeltes Protokoll, das häufig in Legacy-Voip-Installationen zum Einsatz kommt.

Die Anzahl der Varianten und Versionen für jedes Protokoll kompliziert die Sache noch weiter. Dabei geht die Komplexität von Voip noch weit über die Vielfältigkeit der Protokolle hinaus und erstreckt sich bis hin zu ihrer Interaktion mit den Sicherheitsfunktionen. H.323 ist ein Paradebeispiel, warum es schwierig ist, Voip zu sichern. Eine herkömmliche Firewall sichert den Perimeter durch die Definition spezifischer Ports, durch die Datenverkehr in das Netzwerk gelangen darf. So wird etwa der Web-Datenverkehr über Port 80 geleitet, das heisst Perimeter-Firewalls lassen zu, dass Datenverkehr über Port 80 eingelassen wird. H.323 verwendet jedoch sowohl statische Ports wie Port 1720 für die Gesprächseinrichtung als auch zufällig gewählte dynamische Ports. Damit eine herkömmliche Perimeter-Firewall H.323 durch die Firewall passieren lässt, müssten Tausende dynamischer und statischer Ports für den Sprachverkehr offen gelassen werden. Womit sich eine riesige Sicherheitslücke auftut.

Anwendungsintelligenz

Es sind daher Sicherheitseinrichtungen notwendig, die unterschiedliche Voip-Protokolle erkennen können und wissen, wie diese arbeiten. Anders als spezialisierte Voip-Gateways müssen solche Perimeter-Firewalls über so genannte «Application Intelligence» verfügen, die die Sicherheitsfunktion und die breite Protokollunterstützung unter einen Hut bringt. Solche Lö--sungen ermöglichen die komplette Über-prüfung der Netzwerkschicht sowie des Payloads, in dem sich weitere Voip-Daten befinden. Ausserdem «weiss» eine solche Firewall, wie Voip-Sitzungen arbeiten und ist daher ohne Eingriffe durch den Administrator in der Lage, bösartige Voip-Aktivitäten zu erkennen und zu stoppen.

Schutz konvergenter Netzwerke

Damit der Sprachverkehr reibungslos in das Datennetzwerk integriert werden kann, muss ein Unternehmen eine solide Sicherheitsgrundlage für das Netzwerk schaffen. Geschieht dies nicht, treten eine Reihe von Risiken zu Tage. So können etwa Voip-Komponenten genau gleich wie IP-Nebenstellenanlagen oder IP-Telefone durch paketbasierte Angriffe beschädigt werden. Diese Telefone und Signal-Routing-Geräte haben zwei potenzielle Schwachstellen. Zum einen hängen alle Komponenten von einem zugrunde liegenden Betriebssystem ab, das mögliche Sicherheitslücken aufweist. Zum anderen haben die Komponenten selbst Sicherheitslücken, die ausgenutzt werden können. Weil die für den Voip-Verkehr verwendeten Protokolle relativ neu und ständigen Änderungen unterworfen sind, ist es durchaus möglich, dass ein nicht entdeckter Angriff Gelegenheit gibt, auf das System zuzugreifen, Geräte zum Absturz zu bringen oder eine unerwünschte Telefonnutzung zuzulassen.
Des Weiteren können, ähnlich wie bei einer DoS-Attacke (Denial of Service), Angreifer die Nutzung eines Voip-Systems unterbinden, indem sie eine Flut von korrekt formatierten Rufanforderungen ausgeben. Dieser einfache Angriff verhindert, dass legitime Rufanforderungen Erfolg haben. Eine weitere Gefahrenquelle liefern Soft Phones, also virtuelle Voip-Telefon-anwendungen, die auf Laptops installiert werden können. Ein Telefongerät ist nicht erforderlich. Es ermöglicht etwa Aussendienstmitarbeitern das Führen von Fern-gesprächen und bietet Verbindungsmöglichkeiten, so als befänden sie sich innerhalb des Unternehmensnetzwerks. Teure Handyrechnungen entfallen. Diese Remote-Computer können jedoch zu einem Zugangspunkt für Angreifer werden, wenn sie nicht ordnungsgemäss gesichert werden. Ein nicht gesicherter Computer kann ohne grossen Aufwand von einem Angreifer übernommen und zur Datensammlung oder als Eingangstor ins Unternehmensnetzwerk missbraucht werden. Darüber hinaus wird der meiste Voip-Verkehr bei der Übertragung über das Internet nicht verschlüsselt. Voip-Installationen für Remote-Benutzer erfordern zusätzliche Verschlüsselungstechniken, um die Vertraulichkeit von Gesprächen zu schützen.

Sicherheitseinrichtungen auf solchen Anwendungsebenen müssen folglich in der Lage sein, nicht nur zu erkennen, ob ein Sprachverkehr von der Norm abweicht, zum Beispiel wenn ein Angreifer versucht, eine Sicherheitslücke auszunutzen, sondern gleichzeitig auch zu verhindern. Die Erzwingung von Rufsteuerung und Medienverkehr ist dabei eine wichtige Methode, um zu überprüfen, ob Voip-Sitzungen einem erwarteten Verhaltensmuster entsprechen. Um möglichen Denial-of-Service-Angriffen vorzubeugen, ist das erwartete Verhalten bei der Gesprächseinrichtung und -beendigung zu überprüfen. Baut etwa ein Anrufer eine Gesprächssitzung auf und beendet diese anschliessend sofort, entspricht dieses Verhalten einem Denial-of-Service-Angriff. Treten solche Gesprächseinrichtungsanforderungen erneut auf, müssen sie abgewiesen werden. Um sicherzustellen, dass die Voip-Sicherheitsrichtlinie eines Unternehmens auch richtig funktioniert, müssen die Security-Lösungen auch detaillierte Anrufprotokolle bereitstellen, und zwar inklusive IP-Quelle und Ziel, sowie - im Falle von SIP - samt den URL und den Telefonnummern des Empfängers und des Senders.

Latenz und Jitter

Trotz aller Vorteile wird Voip von den Anwendern nur dann angenommen, wenn die Verfügbarkeit und die Sprachqualität den herkömmlichen Telefondiensten um nichts nachsteht. Zwei Faktoren sind es vor allem, die die Qualität des Voip-Dienstes beeinträchtigen könnten: Latenz und Jitter (Schwan-kungen). Ersteres bezeichnet die Zeit, die ein Voip-Paket benötigt, um von einem Telefon zu einem anderen übertragen zu werden. Die Latenz kann von mehreren Faktoren beeinflusst werden, nicht zuletzt auch von der Qualität des eingesetzten Routers, der die Pakete verarbeitet. Sicherheitsmässig ist aber in erster Linie die Dauer, die das Sicherheits-Gateway benötigt, den Voip-Verkehr zu überprüfen und zu verschlüsseln, relevant.
Jitter tritt auf, wenn die Verzögerung beim Empfang von Voip-Paketen unregelmässig ist, wodurch Pakete beschädigt werden oder überhaupt nicht ankommen. Die laufende Umstellung und Anpassung des eingehenden Sprachverkehrs ist prozessor-intensiv und führt entweder zu Verzögerungen beim Audioempfang des Gesprächs oder zum Verlust von Gesprächabschnitten. Obwohl diese Lücken normalerweise sehr klein sind, kann ihre Wirkung den Audioempfang der Voip-Konversation erheblich erschweren. Verschlüsselung, die am Endpunkt des Sicherheits-Gateways vorgenommen wird, trägt hauptsächlich zum Jitter bei.
Um solchen QoS-Anforderungen (Quality of Service) entsprechen zu können, müssen die eingesetzten Security-Lösungen über Mittel und Methoden verfügen, mit denen der IP-Verkehr innerhalb lokaler und öffentlicher Netzwerke priorisiert werden kann. Ein Administrator sollte zum Beispiel in der Lage sein, die Auswirkungen der Sicherheitsinspektion auf die Latenz durch den Einsatz von Low Latency Queuing (LLQ) zu reduzieren. Durch LLQ erhalten latenz-sensible Anwendungen wie Voip Priorität über weniger empfindliche Anwendungen. Darüber hinaus kann dem Voip-Verkehr
eine höhere Bandbreite zugewiesen werden, als dem übrigen Datenverkehr.

Das NAT-Problem

Mit Network Address Translation (NAT) stellt eine der geläufigsten Sicherheitsmassnahmen für Voip ein besonderes Problem dar. NAT wird häufig in Perimeter-Firewalls zum Schutz von IP-Adressen und zum Tarnen der internen Netzwerkstruktur eingesetzt. Dabei ordnet NAT interne/private IP-Adressen, die nicht über das Internet geroutet werden können, externen IP-Adressen zu, um auf Internet-Ressourcen zuzugreifen. Im Verlauf des Prozesses ändert die NAT-aktivierte Firewall die Adresse auf der Netzwerkschicht (Schicht 3) eines Pakets, um die Zuordnung zu reflektieren. Für die meisten Anwendungen stellt dies kein Prob-lem dar. Zu den Ausnahmen zählt die Unix Remote Shell (RSH).
Voip-Protokolle betten jedoch die IP-Adressen sowohl auf der Anwendungsschicht als auch der Netzwerkschicht ein. Wenn ein Voip-Endpunkt Signalisierungs- oder Medienverkehr von einem Endpunkt hinter einem NAT-Gateway feststellt, wird die interne, nicht routingfähige IP-Adresse als die korrekte IP-Adresse gelesen, und es wird vergeblich versucht, Verkehr an diese Stelle zurückzuleiten. Für eingehende Gespräche besteht das Problem sogar verstärkt, da die externen routingfähigen IP-Adressen gemeinsam von Hunderten oder Tausenden von Endpunkten verwendet werden.
Die Koexistenz vorhandener Netzwerk-architekturen mit Voip ist daher gefragt. Darauf abgestimmte Lösungen greifen etwa auf eine Voip-Benutzerdatenbank zu, die mit den in einem Signal-Router-Gerät gefundenen Informationen synchronisiert wird. Bevor ein Gespräch angemeldet wird, muss ein IP-Telefon sich bei einem Signalgerät registrieren. Wenn das geschieht, wird die Registrierungsanforderung erkannt und die erforderlichen Informationen werden in einer internen Datenbank aufgezeichnet. Durch die Registrierung ist es möglich, Gespräche von ausserhalb des geschützten Netzwerks mit Telefonen einzuleiten, deren Adressen mit Hide NAT (n:1-NAT) übersetzt werden.

Probleme beherrschbar

Die Integration von Sprache und Daten im Netzwerk schreitet unaufhaltsam voran. Unternehmen, die auf Internet-Telefonie umsteigen wollen, sollten sich durch Sicherheitsfragen nicht abschrecken lassen. Gerade im Unternehmensumfeld lässt sich das Thema mit entsprechender Einstellung gut kontrollieren.

* Martin Blattmann ist Security Engineer bei Check Point Software Technologies Schweiz.