VoIP-Einsatz in Unternehmen
Sicher kommunizieren mit VoIP

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitVoIP

Voice over IP ist längst kein Thema mehr nur für technikverliebte Admins: Jede moderne Telefonanlage ist VoIP-fähig. Doch bevor man zum IP-Telefon greift, sollte man sich um die Sicherheit kümmern.

Risiko bei IP-Telefonaten

Der Satz ist eine Binsenweisheit und leuchtet allen IT-Verantwortlichen sofort ein: IT-Systeme müssen vor Angriffen geschützt werden, um Datenverluste und Produktivitätsausfälle zu verhindern. Firewalls, Intrusion-Detection-Systeme und seit Neuestem auch Data-Leakage-Prevention-Produkte sind allgegenwärtig. Dass moderne, VoIP-fähige Telefonanlagen aber ebenfalls Schutz benötigen, wird oft übersehen.

So belegt der »Infrastructure Security Report« des IT-Security-Herstellers Arbor Networks, dass lediglich 21 Prozent aller Internet-Provider spezielle Sicherheitsmechanismen vorhalten, um ihre Kunden gegen VoIP-Attacken zu schützen. Gleichzeitig erwarten die Autoren des »Emerging Cyber Threats Report for 2009« aber ähnlich gewaltige Angriffe über und gegen VoIP-Infrastrukturen, wie sie E-Mail-Systeme seit Jahren aushalten müssen.

Ohnehin sollte der Absicherung der Telefonie per Voice over IP besondere Aufmerksamkeit gewidmet werden. Klassische Telefonanlagen mussten meist nicht gegen unberechtigtes Abhören von Gesprächen geschützt werden: Lauschangriffe von innen heraus waren technisch aufwändig, so dass zumindest durch die eigenen Mitarbeiter kaum Gefahren drohten. Wenn die Gespräche zwischen Telefonanlage und Provider abgehört wurden, dann waren entweder Profis oder Strafverfolger am Werk und vor diesen
Berufsgruppen gibt es ohnehin kaum Schutz.

VoIP-Telefonate sind unverschlüsselt
VoIP hingegen muss sich einer ganz anderen Bedrohungslage stellen. Denn VoIP-Anlagen setzen meist auf die Protokolle SIP (Session Initiation Protocol) und RTP (Real Time Protocol). Beide übertragen die Daten unverschlüsselt. Ein ARP-Spoofing-Tool und ein Netzwerkscanner genügen, um den VoIP-Datenstrom abzufangen und in hörbare Soundfiles umzuwandeln. Prinzipiell könnte also jeder Mitarbeiter im internen Netz beliebige Telefonate im Unternehmen belauschen und mitschneiden – ein untragbarer Zustand.

Nur 21 Prozent der Internet-Provider schützen ihre Kunden vor VoIP-Attacken. Das hat eine Studie von Arbor Networks herausgefunden.

Dieser Gefahr werden IT-Verantwortliche auf verschiedene Arten Herr. So sollten VoIP-Anlage und -Endgeräte stets in einem physikalisch von den Clients (Notebooks, PCs) getrennten IP-Netzwerksegment untergebracht werden. Dann läuft die ARP-Spoofing-Attacke ins Leere, da sie nur im gleichen IP-Subnets funktioniert. Eine Alternative zur getrennten Verkabelung sind VLANs. Dadurch trennt der Ethernet-Switch die Sprach- und Datennetze sauber voneinander.

Endgeräte und Anlage aus einer Hand
Darüber hinaus müssen die VoIP-Daten in jedem Fall verschlüsselt werden. Dies funktioniert dann, wenn Endgeräte und Anlage aus einer Hand stammen. Zwar gibt es standardisierte Verschlüsselungstechniken wie S-RTP (Secure RTP), aufgrund von unterschiedlichen Implementierungen des Standard durch die verschiedenen Hersteller kommt es in der Praxis aber immer wieder zu Kompatibilitätsproblemen.

Unabdingbar ist, dass alle Endgeräte die Verschlüsselungstechnik beherrschen (End-to-End), da die Geräte während der Unterhaltung direkt per RTP miteinander kommunizieren. Die Telefonanlage schaltet sich nur zum Gesprächsauf- und -abbau ein und kann während der Unterhaltung keine Sicherungsmechanismen bieten.


Die Sicherheitsmaßnahmen

Neue Dienste, neue Sorgen
Die Herausforderung beim Schutz von VoIP-Installationen sind die speziellen Schutzbedürfnisse dieser vergleichsweise neuen Anwendung. Einerseits gilt es, die neuen VoIP-Komponenten– oft auch standortübergreifend – zu vernetzen und an die bestehende IP-Infrastruktur anzubinden, um die gewünschten Kommunikationsfunktionen zu ermöglichen. Andererseits entstehen durch eine solchermaßen verbundene und in Teilen offene Installation potentielle Angriffspunkte.

Eine Lösung dieses Dilemmas: Möglichst viele Sicherheitskomponenten und -intelligenz schon in die zugrunde liegende Netzwerkinfrastruktur verlagern. So sind beispielsweise Ethernet-Switches und IP-Router deutlicher effizienter beim Aufdecken verdächtiger Datenströme im Netzwerk als eine nachgeschaltete Firewall. Der Netzwerkausrüster Cisco beispielsweise packt zahlreiche intelligente Sicherheitsfunktionen in seine Router und Switches: virtuelle Firewalls, SSL-Unterstützung oder Maßnahmen gegen Denial-of-Service-Attacken.

 

Cisco Integrated Services Router 2800 bietet integrierte  Sicherheitsdienste und die Möglichkeit, bis zu 96 IP-Telefone anzuschließen. (Bild Cisco)

Das ist vor allem in größeren Rechenzentren ein gravierendes Argument. Denn hier ist gewaltiger Aufwand nötig, um die zahlreichen Einzelkomponenten durch Firewalls zu schützen. Greifen bereits auf Netzwerkebene Firewall-artige Mechanismen oder verhindern spezielle Funktionen DoS-Attacken auf Server, dann verbessert das die Sicherheit des kompletten Netzwerks.

VoIP verwendet keinen festen TCP/IP-Port
VoIP-Lösungen stellen gänzlich neue Anforderungen an Firewalls, da das zur Sprach- und Videoübertragung unentbehrliche RTP im Gegensatz zu HTTP, FTP, SMTP et cetera keinen festen TCP/IP-Port verwendet, sondern diesen dynamisch auswählt. Damit RTP einwandfrei funktioniert, können wahllos Ports in der Firewall geöffnet werden – ein gigantisches Sicherheitsrisiko.

Die Firewall muss das Protokoll demnach anhand des Paketinhalts erkennen und den angeforderten Port jeweils dynamisch öffnen und wieder schließen.
Kommt das ebenfalls gelegentlich verwendete Protokoll H.323 zum Einsatz, dann wird die Absicherung noch etwas komplizierter, da H.323 die Pakete im Gegensatz zum Klartext-Protokoll RTP ausschließlich verschlüsselt überträgt. Eine herkömmliche Firewall, die keine speziellen Filter mitbringt, erkennt das Protokoll demnach nicht ohne weiteres.

Anfällig für Verzögerungen
Hat die Firewall die Eigenheiten der Protokolle gemeistert, muss sie sich noch einer Geschwindigkeitsherausforderung stellen: VoIP-Datenströme sind sehr anfällig für Verzögerungen. Schon eine Latenz (Paketlaufzeit) von 150 Millisekunden empfinden die Gesprächspartner als störend. Ab 400 Millisekunden Laufzeit verwandelt sich das Telefonat zur unfreiwilligen Sprechfunk-Unterhaltung.

Sicherheitsmechanismen wie Firewalls oder Verschlüsselungsprodukte dürfen die Pakete nicht derartig verlangsamen, dass die Latenz an diese kritischen Werte heranreicht. Netzwerkperformance ist beim Einsatz von Voice over IP also wichtiger als bei anderen IP-basierter Kommunikation wie E-Mail oder Instant Messaging.

Neue Sicherheitskonzepte sind gefragt
Durch fortschreitenden IT-Einsatz steigt die Effizienz im Unternehmen. Im gleichen Maß wachsen aber auch die Anforderungen an die Sicherheit der IT, gilt es doch, ständig neue IT-Komponenten mit ihren ganz eigenen Bedürfnissen gegen Attacken zu sichern. Wirksame Hilfe versprechen Sicherheitskonzepte, die alle Komponenten miteinbeziehen. Dazu zählen unter anderem die Netzwerk-Basiskomponenten, Firewalls und Verschlüsselungstechniken, Datenstromanalysen und Schulungen der Mitarbeiter. Nur wer ganzheitlich denkt, hat im ewigen Rennen mit Crackern und Datendieben das entscheidende Quäntchen Vorsprung.
(Uli Ries/mt)

Weblinks
Infrastructure Security Report
Emerging Cyber Threats Report for 2009
Cisco