Systeme: Sicherheit in VoIP-Umgebungen

Gefahr in der Leitung

Früher war die Unternehmenstelefonie dank des separaten Netzwerks und eigener Standards weitgehend vor Hackerangriffen geschützt. Doch durch die Nutzung IP-basierter Kommunikation gelten für diese nun dieselben Sicherheitsaspekte wie für alle anderen IT-Komponenten auch. Die VoIP-Systeme setzen dabei auf die in den Unternehmen vorhandenen Sicherheitsfunktionen. Worauf Sie bei Implementierung und Betrieb IP-basierter Kommunikation achten müssen, zeigt dieser Beitrag.
Für die Mai-Ausgabe hat sich IT-Administrator den Schwerpunkt 'Messaging & Collaboration' auf die Fahnen geschrieben. Lesen Sie darin, wie Sie die Open ... (mehr)

Das Ziel von Unified Communications (UC) ist das Zusammenführen aller Kommunikationsformen und -kanäle in einem einheitlichen System. Dies ermöglicht, den situationsabhängigen Aufbau einer Kommunikation mit einem bestimmten Ansprechpartner zu realisieren. Hinter dem Schlagwort UC verbirgt sich also ein integrativer Lösungsansatz, der Medienbrüche überwindet, mobile Arbeitsformen vorantreibt und die Endpunkte flexibler macht.

 

 Die unterschiedlichsten Kommunikationskomponenten und -Funktionalitäten werden dazu in UC-Anwendungsplattformen unter einer harmonisierten Benutzeroberfläche integriert. Mit UC erweitern sich die bereits bestehenden Kommunikationstechnologien. Es werden dazu in den Netzen die notwendigen Sprach-, Video- und Präsenz-Funktionen integriert. Darüber hinaus binden einige Unternehmen auch soziale Netzwerke in das Gesamtsystem ein und nutzen Videokonferenzen.

 

 Doch müssen Sie als Administrator bei der Realisierung eines VoIP/UC-Projekts gewährleisten, dass alle benötigten Komponenten einen sicheren Betrieb im Sinne der Informations- und Datensicherheit erlauben. Auch kann eine Hochverfügbarkeit der VoIP/UC-Dienste erforderlich sein, die sowohl auf der Anwendungs- wie auf der Netzwerkebene zu realisieren ist. Dies kann dazu führen, dass Sie für den Katastrophenfall eine zusätzliche Ausfallsicherheit auf Standortebene benötigen.

VoIP-Gefahren in der Praxis

“Sie haben am Wochenende 800 Gespräche nach Asien, Afrika und Osteuropa geführt” – solche Benachrichtigungen an ein nichts ahnendes Unternehmen irgendwo in Deutschland sind inzwischen keine Ausnahme mehr. Mit der nächsten Telefonrechnung kommen dann auf die betroffene Firma mitunter erhebliche Forderungen für Verbindungsentgelte zu. Typisch sind einige Tausend Euro, die Beträge können aber auch drastisch höher sein. Jedes Unternehmen kann zum Angriffsziel werden, ob Freiberufler, Handwerksbetrieb oder Anwaltskanzlei, ob Mittelständler oder Großunternehmen.

 

 VoIP-Anlagen stellen in der Praxis nichts anderes als in ein Netzwerk eingebundene Clients und Server dar. Daher sind diese Komponenten Attacken oder Abhörangriffen ausgesetzt, also den gleichen Bedrohungen wie alle anderen im Unternehmen vernetzten Computer. Durch die Vermischung von Anwendungen und dem reinen Informationstransport sind jedoch keine präzisen Unterscheidungen mehr möglich. Zu den VoIP-spezifischen Angriffsvarianten gehören etwa VoIP-Störungen durch normale Attacken auf Datenressourcen: VoIP ist “nur” eine weitere Anwendung im Netzwerk. Daher können VoIP-Ressourcen auch durch Angriffe auf reine Datenressourcen beeinflusst und die VoIP-Kommunikation dadurch indirekt lahmgelegt werden. Zu den bekanntesten VoIP-Bedrohungen gehören die Denial-of-Service (DoS) Attacken. Ein solcher Angriff kann dafür sorgen, dass ein Netzwerk vollkommen überlastet wird und in der Folge nicht mehr kommunizieren kann. Implizit werden durch DoS-Attacken auch alle Anwendungen – einschließlich VoIP – im Netz unterbunden.

 

 Angriffe richten sich auch gegen SIP-Schwachstellen. Das Signalisierungsprotokoll SIP baut auf den HTTP-Mechanismen auf und verfügt über relativ wenige Sicherheitsfunktionen. Die im SIP genutzte simple Textcodierung und die SIP-Erweiterungen können dem Angreifer neue Sicherheitslücken eröffnen. Die Beispiele für Hackerangriffe sind vielfältig. Beispielsweise lassen sich durch Manipulationen bei der SIP-Registrierung die eingehenden Anrufe abfangen beziehungsweise zu einem anderen Ziel umleiten. Auch sind die SIP-Nachrichten beliebig manipulierbar. Ein Hacker kann so die Datenpakete zwischen SIP-Ressourcen beliebig verändern. Auch das gezielte Beenden der VoIP-Sessions gehört zur Grundausstattung jedes VoIP-Hackers.

 

 Hinter dem harmlos klingenden Begriff “Spit” versteckt sich die Sprachvariante der aus dem E-Mail-Bereich bekannten Spams. Die Abkürzung “Spit” leitet sich von “Spam über Internet-Telefonie” her. Da Internet-Telefonate teilweise kostenlos sind oder deutlich weniger kosten als im Festnetz oder gar mit dem Handy, werden Werbeanrufe attraktiver als bislang. Dabei spielen auch automatische Anrufe mit aufgezeichneten Werbebotschaften eine wichtige Rolle. Die Nachricht wird einmal aufgezeichnet und vielfach gesendet. Die Spammer attackieren bereits die Benutzer von Chat-Systemen mit SPIM (Spam über Instant Messaging) und die Tatsache, dass viele VoIP-Konten Angaben über den Benutzer, dessen Aufenthaltsort oder dessen Alter enthalten, trägt dazu bei, dass die Spammer ihre Zielgruppen einfach identifizieren können.

 

 Auch Phishing ist ein VoIP-Problem, denn bislang fehlt noch ein sicheres und allgemein verbreitetes Verfahren zur Identifizierung eines Anrufers. Phisher könnten die Rufnummern von Banken, Versicherungen und anderen Unternehmen vortäuschen und vertrauliche Informationen erfragen. Phishing per Mail mit gefälschten Absenderangaben kennen wir ja bereits. Betrügereien dieser Art bedrohen nicht nur VoIP-Benutzer, sondern alle Telefonnutzer. Kriminelle nutzen dabei das Vertrauen der Opfer in die Sicherheit der Telefontechnik aus. Durch Spoofing-Mechanismen werden den Opfern vertrauenswürdige Telefonnummern vorgegaukelt und auf Basis der Spam-Techniken können mit geringstem Aufwand Tausende von Menschen angerufen werden.

Bild 1: Voice over IP unterliegt vergleichbaren Gefährdungen wir andere Netzwerk-Applikationen auch. Damit sind nun auch Telefone angreifbar. (Quelle: Mathias Hein)

Wie bei jedem anderen IP-System besteht bei einem VoIP-Netzwerk die Gefahr, dass die Systeme gehackt werden. Diese Angriffe auf die VoIP-Anwendungen betreffen die Home-Benutzer, die Unternehmen und auch die Service Provider. Zudem sind Hacker durch gezielte Angriffe auf die Media Streams in der Lage, diese zu anderen Zielen umzuleiten beziehungsweise die Inhalte der VoIP-Pakete mitzuhören. Dies kann beispielsweise auf Basis einer Man-in-the-middle-Attacke geschehen. Solche Lauschangriffe auf Telefon-Gespräche sind nicht nur eine Gefahr für VoIP. Durch die Übertragung der Informationen in IP-Netzen wird der Zugriff auf die damit übermittelten Telefongespräche einfacher. Die unerwünschten Mithörer müssen nicht mehr die Telefonleitungen physisch anzapfen, sondern wählen sich mit den richtigen Werkzeugen über das Internet in das anzugreifende Netz ein. Der Gefahr des Mithörens durch Dritte können Sie jedoch durch geeignete Sicherheitsverfahren und -technologien begegnen.

Sicherheitszonen einrichten

Viele Unternehmen strukturieren ihre IT-Sicherheit nach Sicherheitszonen. Diese erlauben die Einordnung der zu installierenden Komponenten nach dem hierfür erforderlichen Schutzbedarf. In diesen Sicherheitszonen sollten auch die VoIP-, Video- und UC-Komponenten installiert werden. Hierzu überprüfen Sie, welche Kommunikationsprotokolle innerhalb der vorgesehenen Sicherheitszone erlaubt sind und welche Protokolle für die Kommunikation zu anderen Sicherheitszonen benötigt werden.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019