Die Telefonie wird angreifbar

Neue Herausforderung VoIP-Sicherheit

20. Oktober 2005, 23:16 Uhr | Bernd Büttner/wj Bernd Büttner ist Produktmanager bei Funkwerk Enterprise Communications.

Voice over IP steht auf der Investitionsliste vieler Firmen derzeit ganz oben. Wie bei allen neuen Technologien besteht die Gefahr, dass zugunsten schneller Implementierungen die Sicherheit zunächst vernachlässigt wird. Nur mit den richtigen Security-Vorkehrungen lässt sich ein späteres "Böses Erwachen" vermeiden.

VoIP ist den Kinderschuhen endgültig entwachsen. Laut Booz Allen Hamilton (siehe Kasten)
arbeiten aktuell 40 Prozent aller westeuropäischen Firmen an der Einführung von VoIP, bis Ende des
Jahres soll diese Zahl auf 60 Prozent angestiegen sein.

Bisher standen die Sprachqualität (Quality of Service – QoS), Verfügbarkeit und
Leistungsmerkmale im Mittelpunkt, der Sicherheitsaspekt hingegen wurde meist vernachlässigt. Ein
sicherheitskritischer Präzedenzfall ist noch nicht bekannt, sodass das Bewusstsein für die
Sicherheitsrisiken bei VoIP noch recht gering ist. Doch mit der Migration auf IP halten nicht nur
die Vorteile der IP-Welt Einzug in die Telefonie-Welt, sondern auch die Nachteile: Die Telefonie
wird angreifbar.

Öffentliches Netz - öffentliche Telefonate?

VoIP nutzt für die Übermittlung der Gesprächsdaten das öffentliche IP-Netz und nicht wie
herkömmliche Telefonnetze (Public Switched Telephone Networks – PSTN) eine Ende-zu-Ende-Verbindung.
Wer im IP-Netz Daten ungeschützt versendet oder empfängt, wird schnell zum attraktiven Ziel für
Hacker, auch wenn es sich um Sprachdaten handelt. Die hinlänglich bekannten Bedrohungen für
Datennetzwerke sind demnach dieselben wie für VoIP-Infrastrukturen. Hinzu kommt aber, dass es sich
bei Sprache um eine Echtzeitanwendung handelt, die deutlich sensibler ist. Die Folgen eines
erfolgreichen Angriffes gegen ein Sprach-Datennetzwerk im Unternehmen sind entsprechend
gravierender: Die um wenige Minuten verzögerte Zustellung einer E-Mail oder ein langsamer
arbeitender Browser haben selten schwerwiegende Konsequenzen, wohl aber die Unterbrechung eines
Telefonats oder ein Totalausfall des Kommunikationssystems.

Sicherheitsrisiken bei VoIP

Für das Abhören und Manipulieren von VoIP-Infrastrukturen ist kein physikalischer Zugriff mehr
erforderlich. Während eines VoIP-Telefonats ohne entsprechende Sicherheitsmechanismen ist die
Privatsphäre der Gesprächsteilnehmer nicht gewährleistet. So ist es Hackern nicht nur möglich, ein
Gespräch abzuhören, sondern auch einzelne Gesprächssequenzen herauszufiltern oder hinzuzufügen. Das
Pendant zu SPAM heisst SPIT (Spam over Internet Telephony), und auch Viren oder Würmer werden ihren
Einzug halten. Die größte Bedrohung aber stellen Denial-of-Service-Attacken (DoS) dar, die über ein
einzelnes entsprechend präpariertes SIP-Paket das komplette Unternehmensnetzwerk unter Umständen
bis zu einen Tag lang völlig außer Gefecht setzen.

Sicher telefonieren über IP

Innerhalb eines Unternehmens sollten zunächst das Datennetzwerk und das Sprachdatennetzwerk über
so genannte VLANs (Virtual Local Area Network) logisch getrennt werden. Dies ist eine erste
Maßnahme, um beispielsweise internen Lauschangreifern das Abhören von Telefonaten zu erschweren (zu
den Grenzen dieser Maßnahme siehe "Die Layer-2-Sicherheit ist in Gefahr", LANline 7/2005, S. 44).
Darüber hinaus lassen sich mit VLANS eventuelle Durchsatzprobleme verringern beziehungsweise
umgehen.

Die herkömmliche Telefonie nutzt wie eingangs beschrieben eine physikalische
Ende-zu-Ende-Verbindung und ist dadurch weitaus sicherer vor Angriffen als die neue Telefonie, die
sich der Datennetze bedient. Es gilt also auch bei VoIP, eine "virtuelle" Ende-zu-Ende-Verbindung
innerhalb des Unternehmensnetzwerks einzurichten.

Dies bedeutet auch: Innerhalb einer verteilten Unternehmensstruktur mit Außenstellen oder
Home-Office-Arbeitsplätzen muss eine Infrastruktur geschaffen werden, die den üblichen Bedrohungen
standhält. Zudem muss sie gleichzeitig den anspruchsvollen Anforderungen der Echtzeitanwendung VoIP
entsprechen, denn die Anwender tolerieren normalerweise vor allem keine Gesprächspausen oder
-verzögerungen.

Dabei lassen sich bestehende VPNs (Virtual Private Networks) – also gesicherte Datenverbindungen
– zwischen einzelnen Standorten des Unternehmens für den Sprachdatentransport über das öffentliche
Netz nutzen (Bild 1). Durch eine transparente Verbindung der beteiligten Netze ergeben sich somit
keine erweiterten Anforderungen an die bestehenden Firewalls, sofern solche dort überhaupt
implementiert sind. Voice over VPN gewährleistet zunächst die Sicherheit "zwischen den jeweiligen
Telefondosen" der Kommunikationspartner. Die VPN-Infrastruktur muss allerdings für den Einsatz in
einer VoIP-Umgebung optimiert werden.

Voice over VPN

War die bisherige Nutzung von VPNs auf den Transport von Applikationsdaten (E-Mail,
Terminal-Server und so weiter) ausgelegt – und somit tolerant gegen ein bestimmtes Maß an Störungen
– stellt der Transport von Sprachdaten eine mehrschichtige Anforderung an die virtuellen
Netzwerkverbindungen und die darin zu transportierenden Daten. Für die Übermittlung müssen die für
Sprache relevanten (S)RTP- und SIP(S)-Pakete den Tunnel möglichst ungehindert passieren. Störgrößen
wie Paketverlust, Latency und Jitter, welche die Sprachqualität negativ beeinflussen, dürfen die
noch vertretbaren Grenzen (Paketverlust: weniger als ein Prozent, Latency: möglichst kleiner als
150 ms pro Richtung; Jitter: kleiner als 30 ms) nicht signifikant überschreiten. Parallel muss der
Datenfluss der VPN-Trägerverbindung priorisiert behandelt werden, da neben der VPN-Verbindung
weitere Daten (etwa für HTTP, SMTP und so weiter) über den Internetanschluss fließen (Bild 2).

Implementierung entscheidet über Qualität

Werden diese Aspekte nicht berücksichtigt, sind erhebliche Sprachverzögerungen, Echoeffekte,
störendes Knacken und sogar Totalausfälle während des Telefongesprächs die Folge.

In einem optimal funktionierenden VoVPN-Netzwerk ist der mehrstufige Einsatz von QoS-Mechanismen
an den Tunnelendpunkten und innerhalb des Netzwerks somit unverzichtbar. VPN-Gateways, Router und
Switches müssen diese Disziplinen beherrschen (Bild 3). Darüber hinaus müssen die VPN-Strecken
betriebssicher ausgelegt sein, wenn die Standort-zu-Standord-Vernetzung keinen lokalen Ausstieg der
angebundenen Standorte ins PSTN vorsieht. Für einen reibungslosen Transport innerhalb des
öffentlichen Netzes können Carrier und ISPs mittels spezieller ATM-Funktionalitäten oder dem
Einsatz von MPLS die Implementierung ihrerseits noch unterstützen.

Sicherheit durch SIPS, SRTP und SSL-Zertifikate

Um die durchgängige Sicherheit bis zum Endgerät (IP-Telefon oder Soft-Client) zu gewährleisten,
muss auch der Weg von der virtualisierten Telefondose bis zum Endgerät entsprechend abgesichert
werden. Hierzu stehen beispielsweise Protokolle wie SIPS (SIP Secure/SIP over SSL) zur
Signalisierung und SRTP (Secure RTP) für den Sprachdatentransport zur Verfügung, wobei Endgerät
oder VoIP-Applikation die Protokolle unterstützen müssen. Darüber hinaus kommen SSL-Zertifikate zum
Einsatz (Bild 4). Nimmt ein Endgerät Kontakt zum SIP-Registrar auf, wird zunächst anhand des
Serverzertifikats die mögliche Verschlüsselungstiefe ausgehandelt. In der Regel verwenden die
Systeme heute eine 128-Bit-Verschlüsselung. Anschließend werden die öffentlichen
Verschlüsselungs-Codes, auch Keys genannt, gegenseitig ausgetauscht (Public-Key-Verfahren). Erst
dann kann die eigentliche Sprachdatenübertragung beginnen – verschlüsselt mit den öffentlichen
Keys. Vergleichbar ist dieses Verfahren mit HTTPS-Verbindungen mittels Internetbrowser. Das
Endgerät muss sich also zunächst im Unternehmensnetzwerk authentisieren. Erst dann kann es die
Sprachapplikation nutzen. Der Betrieb einer eigenen Zertifizierungsauthorität (CA) für die
Erstellung, Verwaltung und Verteilung der digitalen Ausweise an Endgeräte und Soft-Clients wäre
hier denkbar.

Ruhe vor dem Sturm

Der Betrieb einer sicheren IP basierten Telefonielösung erfordert eine ganzheitliche Konzeption
sowie den Einsatz einer Reihe unterschiedlicher Methoden und Verfahren. Der Sicherheitsaspekt
spielt dabei vor allem im Geschäftsumfeld eine große Rolle. Die Anforderungen sind letztlich
identisch mit denen gängiger IP-Netzwerke – mit dem Unterscheid, dass VoIP eine Echtzeitanwendung
ist und somit sehr viel sensibler auf Manipulationen reagiert.

Verantwortungsbewusstsein ist gefragt

Zurzeit befinden sich Hersteller, Dienstleister, Integratoren und auch Hacker in der "
Early-Adopter"-Phase. Es ist jedoch damit zu rechnen, dass fast alle auf IP basierten Angriffe neu
aufgelegt werden. Selbst alte Hacks aus Modem- und Mailbox-Zeiten erfahren vermutlich eine
Renaissance, darüber hinaus werden sich völlig neuartige Angriffsmethoden entwickeln. Technisch
gesehen wird es nach dem Actio-Reactio-Verfahren für jede dieser Taktiken auch eine
Abwehrmöglichkeit geben. Doch wie in der IP-Welt gilt auch für VoIP: Der Anwender selbst muss diese
auch verantwortungsbewusst und proaktiv einsetzen.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+