16.02.2015

VoIP: Sensibilisierung für die Sicherheitsaspekte

Voice over IP (VoIP) ist nicht mehr das Hype-Thema, welches es noch vor ein paar Jahren gewesen ist – an diese Stelle sind aktuell sicher immer noch Cloud-Services und aktuellere Entwicklungen wie etwa Big Data und die Diskussion um Sicherheit und Vertraulichkeit im Internet getreten. Dabei trifft letzteres mit Voice over IP zusammen.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
VOIP

Der Siegeszug von Voice over IP ist nicht mehr aufzuhalten. Weite Teile des PSTN (Public Switched Telephone Network), also des öffentlichen Telefonnetzes, basieren heute bereits auf IP, die Telefonprovider haben hier in den Jahren hinter den Kulissen eine sukzessive Umstellung begonnen, die bereits zu einem guten Teil vorangeschritten ist. Zudem wird die herkömmliche TK-Technik in absehbarer Zukunft nicht mehr zur Verfügung stehen. Dies betrifft natürlich nicht Ihre interne Telefonanlage, sofern diese tatsächlich signal- und leitungstechnisch vom öffentlichen Telefonnetz abgetrennt ist. Aber auch hier gilt, dass Ihre zukünftige TK-Anlage mit an Sicherheit grenzender Wahrscheinlichkeit eine VoIP-Anlage sein wird. Wer heute noch einen ISDN-Anschluss für sein KMU ordert, wird in der Regel bereits einen VoIP-Anschluss bereitgestellt bekommen. Hier lauert auch ein Fallstrick für Unternehmen, die ihre klassische ISDN-Anlage an einem solchen Anschluss betreiben wollen – achten Sie darauf, was der TK-Provider Ihnen anbietet und ob Sie eventuell weitere Schnittstellen oder gar Adapter benötigen. 

VoIP und Sicherheit

Dies aber nur am Rande – was uns in diesem Zusammenhang viel mehr interessiert, ist ein Aspekt, welcher bei den Betrachtungen über VoIP meistens viel zu kurz kommt: Die Sicherheit solcher Anlagen. IP-Telefonie ist grundsätzlich denselben Gefährdungen unterworfen wie jede andere Anwendung, die in einem Netzwerk betrieben wird – so etwas wird immer wieder gerne übersehen. Während die Telefonanlage eines Unternehmens früher sowohl physikalisch als auch logisch (protokolltechnisch) ein eigenständiges und recht sicheres Dasein in diesem geschützten Raum führte, sind durch die Nutzung gemeinsamer Infrastruktur und teilweise derselben Protokolle wie beim Datennetz auch denselben Angriffsszenarien Tür und Tor geöffnet. Es war früher also doch so manches vielleicht nicht besser, aber zumindest weniger gefährdet. Betreiben Sie die VoIP-TK-Anlage nicht (nur) als lokales System in Ihrem LAN, sondern setzen auf eine gehostete VoIP-Lösung oder arbeiten Sie mit ausgelagerten Soft- oder IP-Telefonen, kommt noch das Internet als einer der grössten Risikofaktoren hinzu.

Sofern sich die lokalen (IP-)Telefonnetzwerke hinter einer Firewall und in einem nicht ans Internet angeschlossenen LAN befinden, sind Angriffe auf das Telefonnetz eigentlich nur durch eine fehlerhafte Firewall hinweg oder aus dem eigenen Netzwerk heraus möglich. Ein solches Szenario darf also noch als halbwegs sicher gelten. Allerdings wird diese Trennung durch die Nutzung von Softphones oder ausgelagerten VoIP-Telefonen (per IP angebundene externe Standorte, Home Office) immer mehr aufgeweicht.

Die Zuverlässigkeit des TK-Netzes steht und fällt jedenfalls mit derjenigen des Datennetzes. Während diese Aussage zugegebenermassen auch für konventionelle Telefonanlagen zutrifft, sind diese faktisch seltener von Ausfällen betroffen als VoIP-Anlagen. In der Regel werden erstere auf einer eigenen, gesonderten Infrastruktur betrieben. Diese wird zumeist von dedizierten Experten eingerichtet und gewartet, während die Administration von VoIP-TK-Anlagen gerne einmal dem ohnehin als «Mädchen für alles» zuständigen IT-Administrator anvertraut wird, der sich sein Wissen dann oftmals selbst erarbeiten muss. Bedienungsfehler liegen durch ein solches Szenario – welches ein durchaus übliches Vorgehen ist – natürlich auf der Hand.

Ein weiterer Aspekt betrifft die gemeinsame Nutzung der Netzwerk-Infrastruktur eines Unternehmens. Das Schlagwort von der «Unified Communication» (UC) weist hier bereits auf das hin, was sich in Unternehmen immer mehr durchsetzt: Eine einheitliche Plattform für Daten, Voice und Video:

«VoIP-Anlagen stellen in  der Praxis nichts anderes als in ein Netzwerk eingebundene Clients und Server dar» und sind daher «Attacken oder Abhörangriffen ausgesetzt, also den gleichen Bedrohungen wie alle anderen im Unternehmen vernetzten Computer», so der VoIP-Experte Mathias Hein (Quelle siehe unten).

Es gibt seit längerem Tools wie Vomit, die gar nicht einmal so schwer zu handhaben sind und die keinem anderen Zweck als dem Abfangen von Voice-Nachrichten in VoIP-Netzen dienen. Was nützt die beste E-Mail-Verschlüsselung im Unternehmensnetzwerk, wenn es unbeschränkte Netzwerkzugänge beispielsweise in Konferenzräumen oder Fluren gibt, an denen sich ein Unbefugter mit seinem entsprechend präparierten Laptop in das VoIP-Netz einklinken kann? Hier ist – neben einem Intrusion Detection / Prevention System, welches natürlich auch und gerade für VoIP-Netze verfügbar und hier sehr sinnvoll ist – unbedingt darauf zu achten, dass die Verbindungen verschlüsselt stattfinden. Hersteller wie Cisco haben auf die ersten Kompromittierungen ihrer VoIP-Netze reagiert und bieten entsprechende Sicherheitsfeatures an, jedoch manchmal lediglich als optionale Komponente – viele Kunden nutzen diese aber gar nicht.

Dabei darf nicht vergessen werden, dass VoIP-Systeme immer «nur» Software sind. Stand-Alone-wie auch gehostete VoIP-Anlagen (IP Centrex) basieren oftmals auf der Open-Source-Software Asterisk – und selbst Cisco mit seiner proprietären Lösung setzt auf Linux als Serversystem. Cisco hat vor einigen Jahren von Windows Server als Basissystem ihres Call Managers zu Linux Red Hat gewechselt. Allerdings sind in beiden Fällen die Systeme «gehärtet», d.h. das Linuxsystem – eigentlich ein offener Standard im Guten wie im Schlechten – kann keinem unbedarften Admin als Spielwiese für Betriebssystemexperimente dienen, die entscheidenden Root-Zugänge sind gesperrt, keine unnötigen Dienste sind aktiviert, und der Anwender bekommt nur über ein grafisches Interface einen sehr begrenzten Zugang, der sich in der Regel auf Einstellungen an den Endgeräten, einigen Rufnummerneinstellungen und ähnliches beschränkt. Im Falle des Szenarios der bei einem VoIP-Provider gehosteten VoIP-TK-Anlage ist natürlich grössere Umsicht geboten: Schliesslich werden die VoIP-Daten über das per se unsichere Medium Internet übertragen. Eine wirksame Verschlüsselung, Authentifizierung und Autorisierung sind hier unbedingt einzuhalten!

Im Übrigen wird immer gerne vergessen, dass die Bedrohungen zwar auch, aber nicht unbedingt vorrangig von anonymen Hackern mit bösen Absichten aus dem Internet kommen. So manche Sicherheitslücke entsteht schlicht durch. Bedrohungen Ihrer IT-Sicherheit lauern in erster Linie nicht unbedingt darin, dass ein mit Sturmhaube maskierter Hacker die Datenleitungen Ihres Netzwerks anzapft oder sich per WLAN-Hack-Tool in Ihre Verbindungen einhackt. Die offenstehende Tür zu Ihrem Büro, das leicht zu erratende (oder gar kein) Passwort für Ihr Laptop, die vertraulichen Mails auf Ihrem ungeschützten Handy – diese Aufzählung liesse sich nicht beliebig, aber erheblich fortführen.

Die Anforderungen an eine saubere und sichere Implementierung von VoIP/UC-Systemen, die sich aus all dem ergibt, lassen sich unter wenigen Punkten zusammenfassen:

  • eine saubere, zumindest logische Trennung der Netzwerke für Daten und VoIP (in der Regel mittels der erwähnten VLANs) sollte Pflicht sein
  • Härtung der Server und Endgeräte
  • grundsätzlich verschlüsselte Verbindungen, in diesem Zusammenhang
  • Prüfung der Authentizität von VoIP-Komponenten durch digitale Zertifikate
  • Zutrittsregelung für das Netzwerk durch Techniken wie IDPS (Intrusion Detection / Prevention Systeme) und NAC (Network Access Control)
  • Überwachung und Absicherung von Remote-Zugängen: Stichwort VPN und IP-Centrex

Falls Ihnen vor lauter Kürzeln und Begrifflichkeiten bereits der Kopf schwirrt: Sie finden viele Erläuterungen und praktische Anleitungen im Portal InformatikPraxis Online auf Weka.ch – auch zum Thema VoIP-Security.

Fazit

Es fehlt heutzutage erstaunlicherweise oftmals immer noch die Sensibilisierung für die Sicherheitsaspekte von Voice over IP – mitunter hat man den Eindruck, dass die heute in Entscheidungspositionen sitzende Generation zwar mit Computern äusserst vertraut ist, bei TK-Anlagen aber auf eine Art unangreifbare Black Box aus den Zeiten des guten, alten Wählscheibentelefons vertraut – dem ist aber leider nicht so, auf dem Feld der Unified Communications und VoIP ist in Punkto IT-Sicherheit noch einiges nachzuholen.

Quellen

Hein, Mathias: «Gefahr in der Leitung – Sicherheit in VoIP-Umgebungen»; IT-Administrator 5/2014, Seite 32 – 34.
Kai-Oliver Detken, Evren Eren: VoIP Security – Konzepte und Lösungen für sichere VoIP-Kommunikation. Hanser-Verlag, München 2007, ISBN 3-4464-1086-4.

MaLiWi IT

Produkt-Empfehlungen

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    CHF 98.00

  • Die wichtigsten IT-Vertragsvorlagen

    Die wichtigsten IT-Vertragsvorlagen

    Über 100 IT-Vertragsvorlagen, Checklisten und Arbeitshilfen auf praktischem USB-Stick.

    Mehr Infos

  • Cloud-Computing

    Cloud-Computing

    Erfahren Sie welchen Nutzen Cloud-Computing Ihnen und Ihrem Unternehmen bringen kann.

    Mehr Infos

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Nächster Termin: 19. Juni 2018

mehr Infos