Anzeige
Anzeige
Anzeige
Anzeige

Sicheres Voice over IP

Mit der Entscheidung vieler Unternehmen für Voice over IP (VoIP) scheint die neue Technologie endlich Fuß gefasst zu haben. Dennoch besteht teilweise die Furcht vor Sicherheitsrisiken, die Organisationen und Unternehmen von diesem Schritt abhält. In wie weit ist diese Angst begründet? Welche Voraussetzungen müssen im Netzwerk gegeben sein, um die unausweichliche Einführung von VoIP sicher zu gestalten?

Die Entscheidung für VoIP geht meist einher mit der Entscheidung für Konvergenz: Mittlerweile kommen immer mehr Video over IP (Sicherheitskamera, Gebäudeüberwachung), Gebäudekontrollen (Sensoren, Fahrstuhlsteuerungen etc.), Process Control-Systeme und Storage over IP (iSCSI)-Lösungen zum Einsatz. Die Abhängigkeit von einer sicheren und verfügbaren IT-Infrastruktur steigt damit stetig. Das Netzwerk als Herzstück dieser Infrastruktur wird zum entscheidenden Wettbewerbsfaktor.

Gefahren in konvergenten Netzwerken

Das Netzwerk wird noch mehr zum Kern der gesamten Unternehmenskommunikation und muss entsprechend verfügbar sein. Im Gegensatz zu einer getrennten Sprach- und Datenwelt, in der die Gesamtverfügbarkeit als ‚Parallelschaltung‘ der beiden Netze berechnet werden kann ist in einem konvergenten Netz die Gesamtverfügbarkeit nur noch in einer ‚Reihenschaltung‘ zu berechnen. Hier bestimmt dann das schwächste Glied in der Kette die Gesamtverfügbarkeit des Systems. Zusätzlich ist VoIP durch die Verwendung von IP wesentlich anfälliger für Angriffe gegenüber den traditionellen TDM (Time Division Multiplexing) Telefonie-Netzen, die verbindungsorientiert, ohne Broadcast-Mechanismen und mit meist proprietärer Betriebssystem- sowie proprietärer Steuerungssoftware, ausgestattet sind. VoIP hingegen basiert auf einem IP-Netz, das durch das Protokoll selbst und die gleichzeitige Verwendung des Netzes für Datendienst den gängigen Hacking-Tools und -Angriffen (Würmern etc.) ausgesetzt ist. Die Tools der Scriptkiddies können direkt angewendet werden fast alle VoIP-Server (Gateways, Communication Server) setzen auf Standard-Betriebssystemen wie Windows und Linux auf.

Im Allgemeinen sind folgende Probleme zu erwarten:

– Denial of Service (DoS)-Attacken auf VoIP-Server und IP Phones Angriff auf
Sprachkommunikation
– Call Interception Mitlesen von Sprachpaketen
– Signal Protocol Tampering Manipulation von Gesprächen
– Presence Theft Vortäuschen eines Benutzers
– Toll Fraud Unerlaubtes Aufbauen von Gesprächen
– Call Handling OS Attacks Angriffe auf das Betriebssystem, auf denen die VoIP-Dienste laufen

Natürlich müssen ’nebenbei‘ auch die Themen Quality of Service und Zuverlässigkeit im Allgemeinen adressiert sein. Es muss wie im Datenbereich auch ein mehrstufiges Sicherheitskonzept greifen, dass sowohl auf VoIP-Applikationsebene agiert (Verschlüsselung, Authentifizierung und Autorisierung, Schutz der Integrität, Schutz gegen Man in the Middle-Attacken) als auch das Netzwerk selbst sicher und verfügbar macht. Hierbei sind sowohl die Endgeräte als auch die Serversysteme genau zu analysieren. Eine Verschmelzung von Daten- und VoIP-Sicherheit ist ein Muss, um unnötige Mehrkosten zu vermeiden. Wie auch im traditionellen IP-Datennetz sollten Lösungen zum Schutz gegen Denial-of-Service-Angriffe, ARP Cache Poisoning, Broadcast Storms und ARP Flooding eingesetzt werden. Außerdem sollte ein Patch-Management der VoIP-Geräte und Server sowie das Abschalten von Standard-Passwörtern und Remote-Management-Zugriffen selbstverständlich sein. Die zentralen Komponenten sollten durch SIP fähige IPS und Firewall-Systeme geschützt werden. Hierbei ist auf eine entsprechende Performance, die Unterstützung für dynamische Ports des RTP Streams und auf das Thema Delay zu achten. Zusätzlich ist ein guter Denial of Service-Schutz (Stichwort: SIP Invite Floods etc.) in dieser Ebene zu implementieren. Insbesondere aber die geforderte Trennung von Daten, Sprache und sonstigen Diensten im Access-Bereich des Netzes stellt Administratoren vor große Herausforderungen. Eine Sicherheitstechnologie in aller Munde nämlich Network Access Control (NAC) bietet sich auch für VoIP-Lösungen an: Aber nur, wenn die richtige NAC-Technologie verwendet wird. Aktuell tummeln sich über 35 Hersteller in diesem Markt und die Zahl wächst fast täglich. Darunter sind auch einige der etablierten Player sowohl aus aus dem Netzwerk als auch aus dem Security-Markt. Man kann davon ausgehen, dass eine NAC Lösung aus Komponenten beider Lager bestehen wird. Verschiedenste Ansätze kursieren am Markt, speziell für VoIP muss der Anwender daher ganz genau hinschauen.

Definition von NAC

Im Allgemeinen kann man NAC als eine benutzerfokussierte Technologie beschreiben, die ein genutztes Endgerät autorisiert und Zugriffe auf Ressourcen gewährt. Dies läuft auf der Basis der Authentisierung der Identität des entsprechenden Benutzers (oder/und Gerätes) sowie auf dem Status des Gerätes im Hinblick auf sicherheitsrelevante Parameter und Einstellungen ab: die sog. Compliance mit entsprechenden Unternehmensvorgaben. Diese Parameter werden im sog. Pre-Connect-Assessment ermittelt, d.h. vor Anschluss an die Infrastruktur. Es sollte aber auch im laufenden Betrieb eine Überprüfung erfolgen, welche dann als Post-Connect-Assessment bezeichnet wird. Teilweise wird auf den einen oder anderen Baustein im Rahmen einer Implementierung auch verzichtet je nach Kundenanforderung. Ein Prozess zur Wiederherstellung der Compliance, der Remediation, ist hier ebenfalls enthalten. Dies gilt für alle Endgeräte und Nutzer am Netz, d.h. eigene Mitarbeiter, Partner, Gäste, Kunden und sonstige Geräte wie Drucker, Videokameras etc.

NAC die Steps

Generell besteht NAC aus fünf Schritten: Detection, Authentication, Assessment, Authorization und Remediation des jeweiligen Systems. Der Detection und Authentication aller am Netz angeschlossener Systeme kommt hier eine zentrale Bedeutung zu. Da man nie von einer reinen 802.1x Umgebung (insbesondere auch noch bei vielen VoIP Phones) ausgehen kann, sollte der Access Switch diverse Authentisierungsmethoden gleichzeitig pro Port unterstützen (z.B. PCs, IP-Phones, Drucker, Sicherheitskameras, externe Personen, Besucher etc.) ansonsten wird eine Implementierung von NAC nahezu unmöglich. Es sollten auch mehrere Geräte pro Port unterstützt werden (u.a. für MiniSwitches, PC/Phone in Reihe etc.), die auch unterschiedliche Policies haben dürfen wie z.B. bei Enterasys die Multi-User Authentication and Policy (MUA+P)-Funktion. Im Rahmen der Autorisierung sollten dann Sicherheits- und QoS-Policies automatisch zugewiesen werden. Damit ist eine präzise, sicherheitsrelevante Teilung der Endsysteme bzw. ein Zuweisen von entsprechenden Service-Qualitäten möglich ohne den Administrationsaufwand zu erhöhen.

Die Policies pro Endsystem können
bestehen aus

– VLAN-Zuweisung
– ACL(Access Control Lists)- Zuweisung
– Prioritätszuweisung (Quality of Service)
– Rate Limiting

sowie eine Zusatzklassifizierung auf OSI Layer 2/3/4 zur Unterscheidung von beispielsweise Protokollen, IP Subnetzen, DiffServ Signalisierung und Applikationen pro Benutzer. Diese Funktion bietet die Möglichkeit, ohne VLANs Nutzergruppen und VoIP voneinander im gleichen Subnetz zu trennen. Der Entfall einer VLAN-Struktur bietet einen geringeren Administrationsaufwand und wesentliche Verbesserungen in der Netzstruktur, da keine Layer2/VLAN-Dienste über das gesamte Netz gebridget werden müssen. Die Skalierbarkeit großes gebridgeter Layer 2-Netz ist begrenzt. Auch wenn Daten und VoIP VLAN mäßig getrennt wird, bietet diese Technik den Vorteil der selektiven Separierung untereinander. Die Überprüfung des Clients vor Anschluss an die Infrastruktur und auch dessen regelmäßige Prüfung löst nur einen Teil des Sicherheitsproblems. Ein völlig konformes Endsystem kann dennoch nicht-autorisierte Aktionen in der Infrastruktur vornehmen. Diese müssen auch erkannt werden und im gleichen Prozess enden wie eine Identifikation eines Problems bei/vor Anschluss and die Infrastruktur. Die Funktion ist eine IDS/IPS ähnliche (in Verbindung mit Anomalie-Erkennung), die von den NAC Inline Appliance Herstellern fokussiert angeboten wird. Dieses Post Connect Assessment eignet sich gut auch für VoIP- Umgebungen, da ein VoIP-Phone damit ohne Agent überwacht werden kann und die Kommunikation eines Phones typischerweise sehr strukturiert ist und wenige Applikationen nutzt.

Zusammenfassung

Sicherheit in konvergenten Netzen ist wie die Sicherheit generell ein mehrstufiges Konzept. Die Netz-Infrastruktur an sich muss redundant, sicher und in der Lage sein, auch Bandbreiten zu garantieren. Nur dann kann eine konvergente Lösung auch funktionieren. Das entbindet den Anwender aber nicht davon, sowohl auf Applikations- als auch auf Organisationsebene weitere Sicherheitsfunktionen zu implementieren. Denn nur ein mehrstufiges Sicherheitskonzept ist ein effizientes und wirksames Konzept. Die Lösung von Enterasys zum Beispiel ist hier absolut herstellerunabhängig und ermöglicht so die erfolgreiche Implementierung beliebiger VoIP-Lieferanten. So wie es auch für jede andere IT Applikation sein sollte.

Empfehlungen der Redaktion

Das könnte Sie auch interessieren

Teamarbeit und Vernetzung lauten die Schlagwörter im modernen Arbeitsalltag. Die Digitalisierung ist auch in der Arbeitswelt angekommen und unser fester Arbeitsplatz verliert dadurch zunehmend an Bedeutung: Digitale Technologien und neue Aufgabenstellungen definieren den Arbeitsplatz völlig neu. Denn durch neue Technologien in der Kommunikation können Mitarbeiter zu unterschiedlichen Zeiten und an unterschiedlichen Orten arbeiten. Der Arbeitsort und die Arbeitszeit werden dadurch flexibler.‣ weiterlesen

Ein wichtiger Faktor in Sachen Kundenbetreuung ist die sogenannte 'Gewerbliche Beschallung' - ein oftmals noch unbekannter und unterschätzter Einflussfaktor in vielen Bereichen des Einzelhandels, der Gastronomie oder bei Freizeitangeboten.‣ weiterlesen

Anzeige

Ohne Gewürze schmeckt Essen fade. Ähnlich verhält es sich mit Türstationen ohne Zusatzklingel in großen Werkshallen und im Freigelände: Der Türruf ist oft zu leise.‣ weiterlesen

Anzeige

Das Evangelische Krankenhaus Göttingen-Weende (EKW) ist mit 601 Betten das größte allgemeine Krankenhaus für die Region Südniedersachsen. Mehr als 1.400 Mitarbeiter sind an den Standorten Göttingen-Weende, Göttingen/Neu-Mariahilf und Bovenden-Lenglern für die Patienten tätig. Nachdem die veralteten ISDN-Telefonanlagen des EKW im Laufe der Zeit zusehends an ihre Grenzen stießen, nahm das Krankenhaus eine Standorterweiterung zum Anlass, ein modernes IP-basiertes System für alle Standorte des EKW auszuschreiben. ‣ weiterlesen

Im Rahmen des digitalen Wandels müssen auch Arbeitsplätze moderner gestaltet werden. Unternehmen benötigen daher ITK-Systeme, die für mehr Sicherheit, effizientere Arbeitsprozesse und eine generelle Erleichterung des Tagesgeschäfts sorgen. ‣ weiterlesen

Vernetzte Türsprechstellen werden immer beliebter. Wie in vielen anderen Bereichen nutzen Funk-basierte Produkte dabei häufig WLAN – der weit verbreitete Standard hat jedoch seine Nachteile. Deshalb setzt ein deutsches Unternehmen mit seiner neusten Lösung nun auf DECT-Funk. Dieser ermöglicht ebenfalls eine einfache und schnelle Installation, hat jedoch eine höhere Reichweite und gilt als stabiler und sicherer. Die notwendigen DECT-Telefonanlagen sind bereits weit verbreitet. ‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige