2007-08-11 20:17:11

Sichere Nutzung von VoIP

In absehbarer Zeit werden keine klassischen Telefonanlagen mehr erhältlich sein und müssen durch VoIP-Technologien ersetzt werden. Die Vereinigung von Sprache, Video und Daten in einem gemeinsamen Netzwerk erfordert jedoch ein noch besseres Sicherheitsmanagement und zusätzliche Sicherheitsfunktionen. Das Aufspüren dieser neuen Angriffe erfordert ein Wissens-Upgrade und neue Strategien zur Abwehr.

Mathias Hein

Druckversion

Die Vereinheitlichung der Kommunikationstechnologie – also die Vereinigung von Daten, Video und Sprache - wird Konvergenz genannt. Diese trägt zu einer signifikanten Senkung der Betriebs- und Beschaffungskosten bei. Jede Technologie hat ihre Stärken und Schwächen. Daher muss bereits bei der Planung eventuellen Sicherheitsproblemen entgegengewirkt werden.

In den vergangenen Jahren entwickelte sich die IP-Telefontechnik zu einem der wichtigsten Standards für die Zukunft der Kommunikation. Selbst die traditionellen Telefonanbieter bewegen sich in immer schnellerem Tempo weg von ihrem angestammten Terrain. Daneben drängen im Anbietermarkt auch alternative Telefonanbieter in den Markt. Diese nutzen die VoIP-Technologie um über den Preis und die Leistung möglichst viele Endkunden (Consumer und Geschäftskunden) an sich zu binden. Auch die klassischen Anbieter von Telefonanlagen bauen ihr Produktportifolio drastisch um und bieten fast nur noch VoIP-Produkte an.

 

Die Anfänge von VoIP wurden mehr durch das Marketing als durch verfügbare Technologie angetrieben. Die traditionellen Telefonunternehmen argumentierten gegen den VoIP Ansatz mit fehlenden Standards und vor allem mit der zu geringen Verfügbarkeit bzw. Zuverlässigkeit der Netzwerkprodukte. Inzwischen stehen die richtigen Netzwerkprodukte (Switches) zur Verfügung und Problembereiche wie beispielsweise Echos, Verzögerungen, Paketverluste und Jitter gehören durch ein ordentliches Netzdesign und durch die Integration von QoS-Funktionen der Vergangenheit an.

 

 

 

Die Einführung der IP-Telefonie öffnet automatisch für Spammer ein neues Tor in das Unternehmensnetz. Die Verbreitung von Spams ist über konventionelle Telefonsysteme unmöglich, aber Spam over Internet Technology (SPIT) stellt Unternehmen vor neue Sicherheitsbedrohungen. Die IP Telefonanlage stellt in der Praxis, nichts anderes als ein im Netzwerk eingebundene Server dar. Daher sind diese Komponenten den DoS-Attacken oder Abhörangriffen ausgesetzt. Hierbei geht es in erster Linie um folgende Problembereiche:

 

 

 

Abhören der Sprachinformationen

 

Die über die Netzwerke übermittelten Sprachinformationen lassen sich mit Hilfe eines Sniffers aufzeichnen bzw. abhören. Dies war bei den analogen und digitalen Telefongesprächen nicht anders. Bei der klassischen Telefonie genügte bereits ein einfacher Kopfhörer um ein Gespräch auf der Leitung mithören zu können. Für das Abhören von ISDN benötigte der Mithörer einen ISDN Analysator. Nur eine Verschlüsselung der Leitungen konnte das Mitlesen bzw. Mithören verhindern. Diese Geräte waren teuer und recht umständlich zu bedienen. Als Schutz gegen ein Mitlesen der Sprachströme im Netz helfen bereits simple Schutzmechanismen:

 

  • Die Sprachkommunikation zwischen den Netzen eines Unternehmens, zu Partnerfirmen, zu Mitarbeitern im Home-Office oder mobilen Mitarbeitern (inklusive den WLAN-Verbindungen) erfolgt über das Internet nur über eine verschlüsselte VPN-Verbindung (inklusive Verschlüsselung und Authentifizierung).

     

  • Das Abhören der Daten/Sprachströme zwischen den Mitarbeitern innerhalb des Unternehmens ist in der Regel durch Betriebsvereinbarungen verboten. Die neuen SIP-Telefone und Softphones unterstützen das IPSec-Protokoll (via VPN Clients) und ermöglichen somit eine sichere Unternehmenskommunikation.

     

 

 

Unsicherheit der Betriebssysteme, Anwendungen und Server

 

Die zentralen VoIP Komponenten für die IP PBX, VoIP Gateways, Signalisierungs- und SIP Proxies nutzen normale Server-Komponenten. Durch die auf den Servern eingesetzten Betriebssysteme (Windows, Linux, Unix) unterliegen diese Ressourcen den normalen Angriffen durch Würmer, Trojaner und Vieren.

 

Für einen Hacker bietet ein zentrales VoIP-System ein natürliches Angriffsziel. Wird der Signalisierungsserver lahm gelegt und steht kein Backupsystem bereit, ist es um die Sprachkommunikation im Unternehmen geschehen. Auf den VoIP-Servern müssen alle unnötigen Services abgeschaltet bzw. beseitigt werden um die Angriffsfläche zu verkleinern. Außerdem erfordern diese Systeme bei den zyklischen Sicherheitsüberprüfungen einem besonderen Augenmerk auf Auffälligkeiten.

 

Reguläre Telefone sind “dumme” Endgeräte. Beim VoIP dreht sich das Bild: Die Endgeräte enthalten alle Intelligenz und interagieren selbständig mit den VoIP- und Netzwerkressourcen. Besonders VoIP-PCs (Softphones) bieten, durch die gleichzeitige Nutzung von Sprache und Daten (über die betreffenden Applikationen) auf der gleichen Plattform, attraktive Ziele für Hacker um Trojaner oder andere schädliche Programme zu installieren, um anschließend die Angriffe auf das Sprachnetzwerk zu starten.

 

Eine wirkungsvolle Verteidigungsstrategie besteht darin, die Sprach- und Datennetze logisch durch VLANs zu trennen. Durch diese Netzsegmentierung hat ein Angriff auf das Datennetz nicht zwangsläufig Auswirkungen auf den Sprachverkehr.

 

Auch die Zugänge zur Außenwelt (die VoIP Gateways) erfordern einen Schutz gegen Viren und Attacken. Die ersten Angriffe auf die klassische Telefonie bestanden darin, in ein Telefonsystem (eines Betreibers oder des Telefonanbieters) einzudringen und auf deren Kosten zu telefonieren. Diese so genannten "Phone Phreak" sind auch im Internet zu finden. Daher ist erforderlich, auch das VoIP-System gegen einen solchen Missbrauch und die daraus resultierenden Kosten zu schützen.

 

 

 

Netzzugänge

 

Das größte Problem besteht jedoch darin, dass die meisten bisher eingesetzten Sicherheitstechnologien (Firewalls und Intrusion Detection Systeme; IDS) mehr oder weniger Nutzlos bei Angriffen auf die „neuen“ Ziele im Netzwerk sind. Aufgrund der Echtzeitnatur der VoIP-Services sollten diese beim Durchgang durch die Firewalls nicht verzögert werden. Sowohl H.323 als auch SIP nutzen das TCP zur Signalisierung und zum Verbindungsaufbau und UDP zur Nutzdatenübertragung.

 

Versteht eine Firewall das H.323 oder SIP öffnet und schließt diese die Ports für den VoIP-Verkehr automatisch. Diese Ports bleiben jedoch nur bis zur Beendigung des betreffenden Anrufs offen. Darüber hinaus werden die Nutzdaten beim VoIP per Real-Time Protocol (RTP) übermittelt. Dieses nutzt dynamisch die Ports von 1024 bis 65.5534.

 

Bei vielen Firewalls werden die Probleme erst bei steigendem Sprachverkehr sichtbar. Der VoIP Verkehr erfordert eine tiefere Inspektion der H.323- und SIP-Pakete durch die Firewall. Dies resultiert in einer höheren CPU-, Puffer- und Memoryauslastung. Mit steigender Anzahl von Sprachströmen kann bereits die von der Firewall erzeugte Verzögerung über die Grenze von 50 bis 100 Millisekunden steigen und führt automatisch zur Verschlechterung der Sprachqualität.

 

Die Paketgröße hat natürlich auch eine direkte Auswirkung auf die Firewall Performance. Sämtliche Netzkomponenten benötigen für die Übermittlung kurzer Pakete wesentlich mehr interne Ressourcen als für die Übertragung langer Pakete. Der typische VoIP-Verkehr weist Längen zwischen 64 bis 200 Byte auf. Eine Firewall kann theoretisch mehrere 100 MBit/s Interfaces unterstützen, aber die CPU wird in der Regel bei einer hohen Anzahl an kurzen Paketen schnell in die Sättigung kommen. Übernimmt die Firewall auch noch die VPN-Gateway-Funktion muss sichergestellt werden, dass diese beim Tunneln und Verschlüsseln/Entschlüsseln keine zusätzlichen Verzögerungen entstehen. Eine Alternative besteht im Einsatz von Voice Proxies, die auf den Umgang mit Multimedia-Verkehr spezialisiert sind. Diese Komponenten signalisieren der Firewall welche Ports geöffnet werden sollen und wie zusätzliche Aufgaben wie das Network Address Translation (NAT) umgesetzt werden. Die IETF erarbeitet im Moment einen Protokoll- und Architekturvorschlag (Arbeitsname: Middlebox Communication Architecture and Framework; MIDCOM) zur direkten Integration der Proxies in traditionellen Firewalls.

 

 

 

Neue Angriffsarten

 

Der Großteil der Angriffsarten auf die VoIP-Ressourcen ähnelt denen der Datennetze. Neue Angriffsarten sind jedoch bereits in Entwicklung. Diese Exploits nutzen die Sicherheitslöcher im Zusammenspiel zwischen den Sprach- und Datenressourcen aus. Beispielsweise ist vermehrt vom Registration- bzw. Call Highjacking von SIP Telefonen zum öffentlichen VoIP-Anbieter zu hören. Dabei wird die gültige IP Adresse eines IP Telefons auf eine beliebige IP Adresse des Hackers umkonfiguriert. Das Resultat: Alle über das VoIP-Netz eingehenden Anrufe für den betreffenden Benutzer erreichen diesen nicht.

 

Auch die Übernahme bzw. ein Denial of Service von SIP Telefonen möglich. Gott sei Dank erfordern die Angriffe noch detaillierte technische Kenntnisse um die jeweiligen Produkte und gehen weit über die Fähigkeiten der Script Kiddys oder der normalen Hacker hinaus, aber demonstrieren doch eindrucksvoll, welche Angriffsflächen sie konvergenten Netze bieten.

 

 

 

Folgende Maßnahmen sollten in jedem Unternehmen berücksichtigt werden um die Sicherheitsrisiken von VoIP zu minimieren:

 

 

 

  • Einführen von Benutz-LoginsJeder User sollte sich für IP-Telefonie mit einem Benutzer-Kennwort einloggen. Somit stellen Sie wie bei der PC-Nutzung sicher, dass nur autorisierte Nutzer/Anwender über das Netzwerk telefonieren.

     

  • Verschlüsselung der DatenUm Lauschangriffe von Hackern zu vermeiden, sollten die Daten auf jeden Fall verschlüsselt werden.

     

  • Einsatz von FirewallsEine Firewall vor dem VoIP-System hilft die Attacken rechtzeitig zu filtern.

     

  • Alle Patches installierenDie neu verfügbare Patches zum Schutz des VoIP-Systems müssen immer sofort aktualisiert werden. Dieser Update-Ablauf sollte bei den Verantwortlichen an oberster Stelle stehen.

     

  • Vorausschauende PlanungFällt das Netzwerk aus, ist auch das VoIP-System und somit die gesamte Telefonanlage außer Betrieb. Damit das Tagesgeschäft nicht unterbrochen wird, müssen bereits bei der Netzplanung diese Ausnahmefälle berücksichtigt werden.

     

 

 

VOIP-Gefahren

 

 

 

Pharming

 

IP-Telefonie ist wie andere Internetdienste darauf angewiesen, dass die IP-Adresse des Ziels ermittelt werden kann. Wer die Kontrolle über einen Server erlangen kann, der diesen Informationen bereit stellt, kann auch darauf basierende Dienste steuern. So könnten kriminelle Täter auch Internet-Anrufe zu anderen Zielen umleiten, etwa die Anrufe von Kunden eines Unternehmens. Die Telefonate würden zu einem Anschluss der Täter umgeleitet, die auf diese Weise Daten sammeln oder Falschinformationen streuen könnten.

 

 

 

Phishing

 

Bislang fehlt noch ein sicheres und allgemein verbreitetes Verfahren zur Identifizierung eines Anrufers. Phisher könnten die Rufnummern von Banken, Versicherungen und anderen Unternehmen vortäuschen und vertrauliche Informationen erfragen. Phishing per Mail mit gefälschten Absenderangaben kennen wir ja bereits.

 

 

 

Spit

 

Da Internet-Telefonate teilweise kostenlos sind oder deutlich weniger kosten als im Festnetz oder gar mit dem Handy, werden Werbeanrufe attraktiver als bislang. Dabei spielen auch automatische Anrufe mit aufgezeichneten Werbebotschaften eine wichtige Rolle. Die Nachricht wird einmal aufgezeichnet und vielfach gesendet.

 

 

 

Clipping

 

Durch eine Flut von Datenpakten, die ein Angreifer an einen Internet-Anschluss sendet, kann die Sprachqualität stark beeinträchtigt werden, es kommt zu Aussetzern.

 

 

 

DoS

 

Die Angreifern stören einen Internet-Anschluss mit einer Flut von Datenpakten so stark, dass keine Internet-Telefonate mehr möglich sind.

 

 

 

Voice-Bombing

 

Ein VoIP-Telefon oder ein entsprechender Anschluss wird mit etlichen aufgezeichneten Sprachnachrichten (Voice-Mails) überflutet. Als Mail-Bombing ist das bereits seit vielen Jahren ein Klassiker.