Sicheres Voice over IP

Mit der Entscheidung vieler Unternehmen für Voice over IP (VoIP) scheint die neue Technologie endlich Fuß gefasst zu haben. Dennoch besteht teilweise die Furcht vor Sicherheitsrisiken, die Organisationen und Unternehmen von diesem Schritt abhält. In wie weit ist diese Angst begründet? Welche Voraussetzungen müssen im Netzwerk gegeben sein, um die unausweichliche Einführung von VoIP sicher zu gestalten?

Die Entscheidung für VoIP geht meist einher mit der Entscheidung für Konvergenz: Mittlerweile kommen immer mehr Video over IP (Sicherheitskamera, Gebäudeüberwachung), Gebäudekontrollen (Sensoren, Fahrstuhlsteuerungen etc.), Process Control-Systeme und Storage over IP (iSCSI)-Lösungen zum Einsatz. Die Abhängigkeit von einer sicheren und verfügbaren IT-Infrastruktur steigt damit stetig. Das Netzwerk als Herzstück dieser Infrastruktur wird zum entscheidenden Wettbewerbsfaktor.

Gefahren in konvergenten Netzwerken

Das Netzwerk wird noch mehr zum Kern der gesamten Unternehmenskommunikation und muss entsprechend verfügbar sein. Im Gegensatz zu einer getrennten Sprach- und Datenwelt, in der die Gesamtverfügbarkeit als ‚Parallelschaltung‘ der beiden Netze berechnet werden kann ist in einem konvergenten Netz die Gesamtverfügbarkeit nur noch in einer ‚Reihenschaltung‘ zu berechnen. Hier bestimmt dann das schwächste Glied in der Kette die Gesamtverfügbarkeit des Systems. Zusätzlich ist VoIP durch die Verwendung von IP wesentlich anfälliger für Angriffe gegenüber den traditionellen TDM (Time Division Multiplexing) Telefonie-Netzen, die verbindungsorientiert, ohne Broadcast-Mechanismen und mit meist proprietärer Betriebssystem- sowie proprietärer Steuerungssoftware, ausgestattet sind. VoIP hingegen basiert auf einem IP-Netz, das durch das Protokoll selbst und die gleichzeitige Verwendung des Netzes für Datendienst den gängigen Hacking-Tools und -Angriffen (Würmern etc.) ausgesetzt ist. Die Tools der Scriptkiddies können direkt angewendet werden fast alle VoIP-Server (Gateways, Communication Server) setzen auf Standard-Betriebssystemen wie Windows und Linux auf.

Im Allgemeinen sind folgende Probleme zu erwarten:

– Denial of Service (DoS)-Attacken auf VoIP-Server und IP Phones Angriff auf
Sprachkommunikation
– Call Interception Mitlesen von Sprachpaketen
– Signal Protocol Tampering Manipulation von Gesprächen
– Presence Theft Vortäuschen eines Benutzers
– Toll Fraud Unerlaubtes Aufbauen von Gesprächen
– Call Handling OS Attacks Angriffe auf das Betriebssystem, auf denen die VoIP-Dienste laufen

Natürlich müssen ’nebenbei‘ auch die Themen Quality of Service und Zuverlässigkeit im Allgemeinen adressiert sein. Es muss wie im Datenbereich auch ein mehrstufiges Sicherheitskonzept greifen, dass sowohl auf VoIP-Applikationsebene agiert (Verschlüsselung, Authentifizierung und Autorisierung, Schutz der Integrität, Schutz gegen Man in the Middle-Attacken) als auch das Netzwerk selbst sicher und verfügbar macht. Hierbei sind sowohl die Endgeräte als auch die Serversysteme genau zu analysieren. Eine Verschmelzung von Daten- und VoIP-Sicherheit ist ein Muss, um unnötige Mehrkosten zu vermeiden. Wie auch im traditionellen IP-Datennetz sollten Lösungen zum Schutz gegen Denial-of-Service-Angriffe, ARP Cache Poisoning, Broadcast Storms und ARP Flooding eingesetzt werden. Außerdem sollte ein Patch-Management der VoIP-Geräte und Server sowie das Abschalten von Standard-Passwörtern und Remote-Management-Zugriffen selbstverständlich sein. Die zentralen Komponenten sollten durch SIP fähige IPS und Firewall-Systeme geschützt werden. Hierbei ist auf eine entsprechende Performance, die Unterstützung für dynamische Ports des RTP Streams und auf das Thema Delay zu achten. Zusätzlich ist ein guter Denial of Service-Schutz (Stichwort: SIP Invite Floods etc.) in dieser Ebene zu implementieren. Insbesondere aber die geforderte Trennung von Daten, Sprache und sonstigen Diensten im Access-Bereich des Netzes stellt Administratoren vor große Herausforderungen. Eine Sicherheitstechnologie in aller Munde nämlich Network Access Control (NAC) bietet sich auch für VoIP-Lösungen an: Aber nur, wenn die richtige NAC-Technologie verwendet wird. Aktuell tummeln sich über 35 Hersteller in diesem Markt und die Zahl wächst fast täglich. Darunter sind auch einige der etablierten Player sowohl aus aus dem Netzwerk als auch aus dem Security-Markt. Man kann davon ausgehen, dass eine NAC Lösung aus Komponenten beider Lager bestehen wird. Verschiedenste Ansätze kursieren am Markt, speziell für VoIP muss der Anwender daher ganz genau hinschauen.

Definition von NAC

Im Allgemeinen kann man NAC als eine benutzerfokussierte Technologie beschreiben, die ein genutztes Endgerät autorisiert und Zugriffe auf Ressourcen gewährt. Dies läuft auf der Basis der Authentisierung der Identität des entsprechenden Benutzers (oder/und Gerätes) sowie auf dem Status des Gerätes im Hinblick auf sicherheitsrelevante Parameter und Einstellungen ab: die sog. Compliance mit entsprechenden Unternehmensvorgaben. Diese Parameter werden im sog. Pre-Connect-Assessment ermittelt, d.h. vor Anschluss an die Infrastruktur. Es sollte aber auch im laufenden Betrieb eine Überprüfung erfolgen, welche dann als Post-Connect-Assessment bezeichnet wird. Teilweise wird auf den einen oder anderen Baustein im Rahmen einer Implementierung auch verzichtet je nach Kundenanforderung. Ein Prozess zur Wiederherstellung der Compliance, der Remediation, ist hier ebenfalls enthalten. Dies gilt für alle Endgeräte und Nutzer am Netz, d.h. eigene Mitarbeiter, Partner, Gäste, Kunden und sonstige Geräte wie Drucker, Videokameras etc.

NAC die Steps

Generell besteht NAC aus fünf Schritten: Detection, Authentication, Assessment, Authorization und Remediation des jeweiligen Systems. Der Detection und Authentication aller am Netz angeschlossener Systeme kommt hier eine zentrale Bedeutung zu. Da man nie von einer reinen 802.1x Umgebung (insbesondere auch noch bei vielen VoIP Phones) ausgehen kann, sollte der Access Switch diverse Authentisierungsmethoden gleichzeitig pro Port unterstützen (z.B. PCs, IP-Phones, Drucker, Sicherheitskameras, externe Personen, Besucher etc.) ansonsten wird eine Implementierung von NAC nahezu unmöglich. Es sollten auch mehrere Geräte pro Port unterstützt werden (u.a. für MiniSwitches, PC/Phone in Reihe etc.), die auch unterschiedliche Policies haben dürfen wie z.B. bei Enterasys die Multi-User Authentication and Policy (MUA+P)-Funktion. Im Rahmen der Autorisierung sollten dann Sicherheits- und QoS-Policies automatisch zugewiesen werden. Damit ist eine präzise, sicherheitsrelevante Teilung der Endsysteme bzw. ein Zuweisen von entsprechenden Service-Qualitäten möglich ohne den Administrationsaufwand zu erhöhen.

Die Policies pro Endsystem können
bestehen aus

– VLAN-Zuweisung
– ACL(Access Control Lists)- Zuweisung
– Prioritätszuweisung (Quality of Service)
– Rate Limiting

sowie eine Zusatzklassifizierung auf OSI Layer 2/3/4 zur Unterscheidung von beispielsweise Protokollen, IP Subnetzen, DiffServ Signalisierung und Applikationen pro Benutzer. Diese Funktion bietet die Möglichkeit, ohne VLANs Nutzergruppen und VoIP voneinander im gleichen Subnetz zu trennen. Der Entfall einer VLAN-Struktur bietet einen geringeren Administrationsaufwand und wesentliche Verbesserungen in der Netzstruktur, da keine Layer2/VLAN-Dienste über das gesamte Netz gebridget werden müssen. Die Skalierbarkeit großes gebridgeter Layer 2-Netz ist begrenzt. Auch wenn Daten und VoIP VLAN mäßig getrennt wird, bietet diese Technik den Vorteil der selektiven Separierung untereinander. Die Überprüfung des Clients vor Anschluss an die Infrastruktur und auch dessen regelmäßige Prüfung löst nur einen Teil des Sicherheitsproblems. Ein völlig konformes Endsystem kann dennoch nicht-autorisierte Aktionen in der Infrastruktur vornehmen. Diese müssen auch erkannt werden und im gleichen Prozess enden wie eine Identifikation eines Problems bei/vor Anschluss and die Infrastruktur. Die Funktion ist eine IDS/IPS ähnliche (in Verbindung mit Anomalie-Erkennung), die von den NAC Inline Appliance Herstellern fokussiert angeboten wird. Dieses Post Connect Assessment eignet sich gut auch für VoIP- Umgebungen, da ein VoIP-Phone damit ohne Agent überwacht werden kann und die Kommunikation eines Phones typischerweise sehr strukturiert ist und wenige Applikationen nutzt.

Zusammenfassung

Sicherheit in konvergenten Netzen ist wie die Sicherheit generell ein mehrstufiges Konzept. Die Netz-Infrastruktur an sich muss redundant, sicher und in der Lage sein, auch Bandbreiten zu garantieren. Nur dann kann eine konvergente Lösung auch funktionieren. Das entbindet den Anwender aber nicht davon, sowohl auf Applikations- als auch auf Organisationsebene weitere Sicherheitsfunktionen zu implementieren. Denn nur ein mehrstufiges Sicherheitskonzept ist ein effizientes und wirksames Konzept. Die Lösung von Enterasys zum Beispiel ist hier absolut herstellerunabhängig und ermöglicht so die erfolgreiche Implementierung beliebiger VoIP-Lieferanten. So wie es auch für jede andere IT Applikation sein sollte.

Empfehlungen der Redaktion

Das könnte Sie auch interessieren

IT-Verkabelungen in Gebäuden werfen oft viele Fragen auf: Wie viele Gigabit kommen wirklich aus der Leitung? Welche Übertragungsraten sind möglich? Wie viele Endgeräte können problemlos angeschlossen werden? Reicht die Bandbreite aus? Muss die Verkabelung zertifiziert oder qualifiziert werden? Worin liegen eigentlich die Unterschiede? Und welche Normen sind zu beachten? Die Antwort auf all diese Fragen lautet leider wie so oft: Kommt ganz darauf an! ‣ weiterlesen

Anzeige

In Zeiten von Corona gilt mehr denn je: Das smarte Zuhause fängt an der Haustür an. Mit vernetzten Türsprechstellen kann man das Türgespräch über das Telefon in jedem Zimmer und sogar vom Supermarkt aus annehmen. Ohne die Tür öffnen zu müssen, verpasst man so keinen Besuch oder Paketboten. Bei den einzelnen Modellen gibt es jedoch grundlegende Unterschiede.‣ weiterlesen

Anzeige

Eine flexible Netzwerkinstallation über SMI(Small Media Interface)-Technik ergänzt das Datalight-System von Fränkische. Damit können Elektroinstallateure und Endverbraucher die Vorteile des Kunststofflichtwellenleiters künftig noch besser für eine stabile und anpassungsfähige Infrastruktur im Heimnetzwerk nutzen.‣ weiterlesen

Über lange Zeit war die Verteilung von TV-Signalen über Koaxial-Kabel als DVB-S/C/T-Signal die einzige Variante, um z.B. in Wohnanlagen oder Hotels für eine große Auswahl an Programmen zu sorgen. Durch die Digitalisierung der Signal-Übertragung bietet sich mit der IP-Verteilung inzwischen eine weitere Möglichkeit für die Programmverteilung an. Welche Voraussetzungen sind für IP-Streaming erforderlich und welche Herausforderungen stellt das an die Satelliten-Empfangs-Anlagen? Was muss beachtet werden, welche Technik muss vorhanden sein? Welche Leistungsfähigkeit ist erforderlich?‣ weiterlesen

Mit über 2.500 Wohnungen im Portfolio zählt die Wohnstätte Stade eG zu den führenden Baugenossenschaften der niedersächsischen Hansestadt Stade. Für ein im Oktober 2019 fertiggestelltes Neubauobjekt arbeitete sie erstmals mit Intratone zusammen. Frankreichs Marktführer für kabellose, mobilfunkbasierte Gegensprechanlagen und Zutrittskontrollsysteme wurde damit betraut, das Mehrfamilienhaus mit der Video-Gegensprechanlage DITA auszustatten.‣ weiterlesen

Mit einem neuen Audioserver stellt Loxone eine flexible Audio-Lösung für jedes Gebäude vor, die extra für das Elektrofachhandwerk entwickelt wurde. Während Bewohner, Besucher oder Nutzer des Gebäudes von dem Sound der Neuentwicklung profitieren, dürfen sich Elektrofachkräfte über die einfache Montage und Konfiguration freuen. Dank zahlreicher Schnittstellen, vielfacher Funktionen und freier Skalierbarkeit präsentiert sich der Audioserver als Lösung für viele verschiedene Projekte - egal ob privates Zuhause, Wohnanlage, Büro, Veranstaltungsstätte oder Einkaufszentrum.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige