Anzeige
Anzeige

Sicheres Voice over IP

Mit der Entscheidung vieler Unternehmen für Voice over IP (VoIP) scheint die neue Technologie endlich Fuß gefasst zu haben. Dennoch besteht teilweise die Furcht vor Sicherheitsrisiken, die Organisationen und Unternehmen von diesem Schritt abhält. In wie weit ist diese Angst begründet? Welche Voraussetzungen müssen im Netzwerk gegeben sein, um die unausweichliche Einführung von VoIP sicher zu gestalten?

Die Entscheidung für VoIP geht meist einher mit der Entscheidung für Konvergenz: Mittlerweile kommen immer mehr Video over IP (Sicherheitskamera, Gebäudeüberwachung), Gebäudekontrollen (Sensoren, Fahrstuhlsteuerungen etc.), Process Control-Systeme und Storage over IP (iSCSI)-Lösungen zum Einsatz. Die Abhängigkeit von einer sicheren und verfügbaren IT-Infrastruktur steigt damit stetig. Das Netzwerk als Herzstück dieser Infrastruktur wird zum entscheidenden Wettbewerbsfaktor.

Gefahren in konvergenten Netzwerken

Das Netzwerk wird noch mehr zum Kern der gesamten Unternehmenskommunikation und muss entsprechend verfügbar sein. Im Gegensatz zu einer getrennten Sprach- und Datenwelt, in der die Gesamtverfügbarkeit als ‚Parallelschaltung‘ der beiden Netze berechnet werden kann ist in einem konvergenten Netz die Gesamtverfügbarkeit nur noch in einer ‚Reihenschaltung‘ zu berechnen. Hier bestimmt dann das schwächste Glied in der Kette die Gesamtverfügbarkeit des Systems. Zusätzlich ist VoIP durch die Verwendung von IP wesentlich anfälliger für Angriffe gegenüber den traditionellen TDM (Time Division Multiplexing) Telefonie-Netzen, die verbindungsorientiert, ohne Broadcast-Mechanismen und mit meist proprietärer Betriebssystem- sowie proprietärer Steuerungssoftware, ausgestattet sind. VoIP hingegen basiert auf einem IP-Netz, das durch das Protokoll selbst und die gleichzeitige Verwendung des Netzes für Datendienst den gängigen Hacking-Tools und -Angriffen (Würmern etc.) ausgesetzt ist. Die Tools der Scriptkiddies können direkt angewendet werden fast alle VoIP-Server (Gateways, Communication Server) setzen auf Standard-Betriebssystemen wie Windows und Linux auf.

Im Allgemeinen sind folgende Probleme zu erwarten:

– Denial of Service (DoS)-Attacken auf VoIP-Server und IP Phones Angriff auf
Sprachkommunikation
– Call Interception Mitlesen von Sprachpaketen
– Signal Protocol Tampering Manipulation von Gesprächen
– Presence Theft Vortäuschen eines Benutzers
– Toll Fraud Unerlaubtes Aufbauen von Gesprächen
– Call Handling OS Attacks Angriffe auf das Betriebssystem, auf denen die VoIP-Dienste laufen

Natürlich müssen ’nebenbei‘ auch die Themen Quality of Service und Zuverlässigkeit im Allgemeinen adressiert sein. Es muss wie im Datenbereich auch ein mehrstufiges Sicherheitskonzept greifen, dass sowohl auf VoIP-Applikationsebene agiert (Verschlüsselung, Authentifizierung und Autorisierung, Schutz der Integrität, Schutz gegen Man in the Middle-Attacken) als auch das Netzwerk selbst sicher und verfügbar macht. Hierbei sind sowohl die Endgeräte als auch die Serversysteme genau zu analysieren. Eine Verschmelzung von Daten- und VoIP-Sicherheit ist ein Muss, um unnötige Mehrkosten zu vermeiden. Wie auch im traditionellen IP-Datennetz sollten Lösungen zum Schutz gegen Denial-of-Service-Angriffe, ARP Cache Poisoning, Broadcast Storms und ARP Flooding eingesetzt werden. Außerdem sollte ein Patch-Management der VoIP-Geräte und Server sowie das Abschalten von Standard-Passwörtern und Remote-Management-Zugriffen selbstverständlich sein. Die zentralen Komponenten sollten durch SIP fähige IPS und Firewall-Systeme geschützt werden. Hierbei ist auf eine entsprechende Performance, die Unterstützung für dynamische Ports des RTP Streams und auf das Thema Delay zu achten. Zusätzlich ist ein guter Denial of Service-Schutz (Stichwort: SIP Invite Floods etc.) in dieser Ebene zu implementieren. Insbesondere aber die geforderte Trennung von Daten, Sprache und sonstigen Diensten im Access-Bereich des Netzes stellt Administratoren vor große Herausforderungen. Eine Sicherheitstechnologie in aller Munde nämlich Network Access Control (NAC) bietet sich auch für VoIP-Lösungen an: Aber nur, wenn die richtige NAC-Technologie verwendet wird. Aktuell tummeln sich über 35 Hersteller in diesem Markt und die Zahl wächst fast täglich. Darunter sind auch einige der etablierten Player sowohl aus aus dem Netzwerk als auch aus dem Security-Markt. Man kann davon ausgehen, dass eine NAC Lösung aus Komponenten beider Lager bestehen wird. Verschiedenste Ansätze kursieren am Markt, speziell für VoIP muss der Anwender daher ganz genau hinschauen.

Definition von NAC

Im Allgemeinen kann man NAC als eine benutzerfokussierte Technologie beschreiben, die ein genutztes Endgerät autorisiert und Zugriffe auf Ressourcen gewährt. Dies läuft auf der Basis der Authentisierung der Identität des entsprechenden Benutzers (oder/und Gerätes) sowie auf dem Status des Gerätes im Hinblick auf sicherheitsrelevante Parameter und Einstellungen ab: die sog. Compliance mit entsprechenden Unternehmensvorgaben. Diese Parameter werden im sog. Pre-Connect-Assessment ermittelt, d.h. vor Anschluss an die Infrastruktur. Es sollte aber auch im laufenden Betrieb eine Überprüfung erfolgen, welche dann als Post-Connect-Assessment bezeichnet wird. Teilweise wird auf den einen oder anderen Baustein im Rahmen einer Implementierung auch verzichtet je nach Kundenanforderung. Ein Prozess zur Wiederherstellung der Compliance, der Remediation, ist hier ebenfalls enthalten. Dies gilt für alle Endgeräte und Nutzer am Netz, d.h. eigene Mitarbeiter, Partner, Gäste, Kunden und sonstige Geräte wie Drucker, Videokameras etc.

NAC die Steps

Generell besteht NAC aus fünf Schritten: Detection, Authentication, Assessment, Authorization und Remediation des jeweiligen Systems. Der Detection und Authentication aller am Netz angeschlossener Systeme kommt hier eine zentrale Bedeutung zu. Da man nie von einer reinen 802.1x Umgebung (insbesondere auch noch bei vielen VoIP Phones) ausgehen kann, sollte der Access Switch diverse Authentisierungsmethoden gleichzeitig pro Port unterstützen (z.B. PCs, IP-Phones, Drucker, Sicherheitskameras, externe Personen, Besucher etc.) ansonsten wird eine Implementierung von NAC nahezu unmöglich. Es sollten auch mehrere Geräte pro Port unterstützt werden (u.a. für MiniSwitches, PC/Phone in Reihe etc.), die auch unterschiedliche Policies haben dürfen wie z.B. bei Enterasys die Multi-User Authentication and Policy (MUA+P)-Funktion. Im Rahmen der Autorisierung sollten dann Sicherheits- und QoS-Policies automatisch zugewiesen werden. Damit ist eine präzise, sicherheitsrelevante Teilung der Endsysteme bzw. ein Zuweisen von entsprechenden Service-Qualitäten möglich ohne den Administrationsaufwand zu erhöhen.

Die Policies pro Endsystem können
bestehen aus

– VLAN-Zuweisung
– ACL(Access Control Lists)- Zuweisung
– Prioritätszuweisung (Quality of Service)
– Rate Limiting

sowie eine Zusatzklassifizierung auf OSI Layer 2/3/4 zur Unterscheidung von beispielsweise Protokollen, IP Subnetzen, DiffServ Signalisierung und Applikationen pro Benutzer. Diese Funktion bietet die Möglichkeit, ohne VLANs Nutzergruppen und VoIP voneinander im gleichen Subnetz zu trennen. Der Entfall einer VLAN-Struktur bietet einen geringeren Administrationsaufwand und wesentliche Verbesserungen in der Netzstruktur, da keine Layer2/VLAN-Dienste über das gesamte Netz gebridget werden müssen. Die Skalierbarkeit großes gebridgeter Layer 2-Netz ist begrenzt. Auch wenn Daten und VoIP VLAN mäßig getrennt wird, bietet diese Technik den Vorteil der selektiven Separierung untereinander. Die Überprüfung des Clients vor Anschluss an die Infrastruktur und auch dessen regelmäßige Prüfung löst nur einen Teil des Sicherheitsproblems. Ein völlig konformes Endsystem kann dennoch nicht-autorisierte Aktionen in der Infrastruktur vornehmen. Diese müssen auch erkannt werden und im gleichen Prozess enden wie eine Identifikation eines Problems bei/vor Anschluss and die Infrastruktur. Die Funktion ist eine IDS/IPS ähnliche (in Verbindung mit Anomalie-Erkennung), die von den NAC Inline Appliance Herstellern fokussiert angeboten wird. Dieses Post Connect Assessment eignet sich gut auch für VoIP- Umgebungen, da ein VoIP-Phone damit ohne Agent überwacht werden kann und die Kommunikation eines Phones typischerweise sehr strukturiert ist und wenige Applikationen nutzt.

Zusammenfassung

Sicherheit in konvergenten Netzen ist wie die Sicherheit generell ein mehrstufiges Konzept. Die Netz-Infrastruktur an sich muss redundant, sicher und in der Lage sein, auch Bandbreiten zu garantieren. Nur dann kann eine konvergente Lösung auch funktionieren. Das entbindet den Anwender aber nicht davon, sowohl auf Applikations- als auch auf Organisationsebene weitere Sicherheitsfunktionen zu implementieren. Denn nur ein mehrstufiges Sicherheitskonzept ist ein effizientes und wirksames Konzept. Die Lösung von Enterasys zum Beispiel ist hier absolut herstellerunabhängig und ermöglicht so die erfolgreiche Implementierung beliebiger VoIP-Lieferanten. So wie es auch für jede andere IT Applikation sein sollte.

Empfehlungen der Redaktion

Das könnte Sie auch interessieren

Die WLAN-Nutzung hat 2013 den Break-Even-Point mit der LAN-Nutzung erreicht. Jedoch ist es ein Trugschluss anzunehmen, dass Verkabelungen allgemein durch Funk ersetzt werden. Da auch am Ende jeder WLAN-Verbindung irgendwo ein physikalischer Rechner stehen muss, setzen bereits die neuen, verbesserten Geschwindigkeiten für Wireless verbesserte Geschwindigkeiten für Wire voraus. Vor allem aber ergeben sich durch die verbesserte Leistung aus PoE+ oder PoE++ neue Einsatzmöglichkeiten: Smart Homes, das IoT oder die Industrie sind nur einige der Bereiche, die daraus einen erheblichen Nutzen ziehen können. Ein Ausblick. ‣ weiterlesen

Anzeige

Erinnern Sie sich noch, Anfang des Jahrtausends bestand das „Soundmanagement“ noch aus der klassischen Stereoanlage im Wohnzimmer, einem analogen Küchen- und Bad-Radio sowie den Radioweckern in den Schlafräumen. Die CD war das verbreiteste Speichermedium für Musiktitel. Mittlerweile gibt es professionelle Multiroom-Systeme mit Schnittstelle für die Einbindung in die Haus- und Gebäudeautomation. ‣ weiterlesen

Worauf kommt es bei Komponenten für die optimale Energieversorgung für HiFi- und Heimkinogeräte an? Welchen Einfluss haben die Materialien der Leinwände für das perfekte Heimkino auf die Bildqualität? Wie stark ist die Klangqualität vom verwendeten High-End-Kabel abhängig? All diese Fragen werden im folgenden Beitrag erläutert.
‣ weiterlesen

In der Wohnungswirtschaft gibt es einen starken Trend zum Aufbau eigener TV-Versorgungen. Für den Chemnitzer Fachbetrieb T.S.D. Uhlig Elektrotechnik GmbH hat sich der Bereich Antennenbau zum wichtigen Standbein entwickelt. Die Spezialisten setzten dabei seit Jahren auf Wisi-Multischalter-Technik. Mit innovativen Lösungen realisieren sie vor allem für Bautr?gergesellschaften erfolgreich Projekte. So auch bei der Komplettsanierung eines großen Wohnkomplexes mit 208 Einheiten in N?rnberg. ‣ weiterlesen

Anzeige

Es ist Zeit für den Fr?hjahrsputz, nicht nur im Haus. An oder auf vielen H?usern sind Empfangsanlagen montiert, die entweder von der Witterung gezeichnet und verrostet, oder auch technisch veraltet sind. Oftmals verschandeln ausgeblichene oder verrottete Sat-Spiegel frisch renovierte Fassaden. Mit verh?ltnism??ig geringem Aufwand kann man so der Fassade oder dem Dach einen zus?tzlichen neuen Impuls verleihen und so die Optik verbessern und den Wert erhalten bzw. steigern. Dies sollte bei einer Renovierung am besten immer gleich mit erledigt werden. ‣ weiterlesen

Gro?projekte wie Kliniken oder Hotels stellen komplexe Anspr?che an die Planung der Geb?udekommunikation. Siedle bietet mit dem IP-System Access Professional eine Technologie, die alle wichtigen Anforderungen erfällt. ‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige