Versiegelung für VoIP

Die wenigsten Nutzer von Voice over IP machen sich Gedanken darüber, welchen Weg ihre Sprache nimmt - Hauptsache sie kommt an. Dabei stellt sich berechtigterweise die Frage: Wie sicher ist die IP-Telefonie? Voice-over-IP (VoIP) ist das Telefonieren über ein Computernetzwerk auf der Grundlage des Internetprotokolls. Der wesentliche Unterschied zur herkömmlichen Telefonie besteht darin, dass die Sprachinformationen nicht über eine geschaltete Verbindung in einem Telefonnetz übertragen werden, sondern durch das Internet Protocol in Datenpakete aufgeteilt, auf nicht festgelegten Wegen in einem Netzwerk zum Ziel gelangen. Sie teilen sich die Infrastruktur eines bestehenden Netzwerkes mit anderen Kommunikationsdiensten.

Bestehende Gefahren. ähnlich wie HTTP und SMTP, hat sich hier SIP zum gebräuchlichsten Protokoll für Internet-basierte Kommunikation in Echtzeit entwickelt. SIP bietet Applikationen (IM, VoIP, Video Konferenzen) sämtliche Vorzüge, die auch HTTP für Webdienste und SMTP für E-Mail bieten. SIP hat sich in der Industrie von Carriern über Anlagenhersteller weit gehend durchgesetzt, da Hardware und Applikationen unterschiedlicher Hersteller auf dieser Basis reibungslos zusammenarbeiten können. Gleichzeitig ist SIP aber auch für ähnliche Bedrohungsszenarien wie Web und E-Mail anfällig. Welche Teile des unternehmerischen Netzwerkes davon betroffen sind, hängt ganz von der Netzwerkarchitektur und von der Integration von VoIP in die Daten-Applikationen/-Server.

Das Hauptproblem liegt auf der Hand. Das Abhören der Gespräche - besonders wenn dabei unternehmenskritische Informationen ausgetauscht werden. Die meisten Angriffe ähneln denen der auf Datennetze. Die über die Netzwerke übermittelten Sprachinformationen lassen sich mit Hilfe eines Sniffers abhören. Dies war bei den analogen und digitalen Telefongesprächen nicht anders. Neue Angriffsarten (Exploits) nutzen die Sicherheitslöcher im Zusammenspiel zwischen den Sprach- und Datenressourcen aus. Beispielsweise treten vermehrt Registration- bzw. Call-Highjacking bei SIP-Telefonen öffentlicher VoIP-Anbieter auf. Dabei wird die IP-Adresse eines IP-Telefons auf eine IP-Adresse des Hackers umkonfiguriert. Das Resultat: Alle über das VoIP-Netz eingehenden Anrufe für den betreffenden Benutzer erreichen diesen nicht.

Eine andere Gefahr liegt in Denial-of-Service-Attacken gegen den VoIP-Server und gegen das gesamte Netzwerk oder Spoofing. Der Angreifer gibt vor, ein autorisierter Nutzer zu sein und könnte dann über das VoIP-System Telefonate führen. Diese Art von Angriff ist am effektivsten, wenn zwischen den Maschinen in einem Netzwerk Vertrauensbeziehungen bestehen. In manchen Firmennetzen ist es durchaus üblich, dass interne Systeme sich gegenseitig vertrauen, so dass ein Benutzer sich ohne Benutzernamen und Passwort einloggen kann, wenn er von einer anderen internen Maschine auf das Netzwerk zugreift und daher bereits auf einem anderen Rechner eingeloggt ist. Indem nun eine Verbindung von einer vertrauenswürdigen Maschine gefälscht wird, könnte ein Angreifer den Zielrechner angreifen, ohne sich zu authentisieren.

Ein anderes Problem besteht darin, dass viele der herkömmlichen Sicherheitstechnologien (Firewalls und IDS-Systeme) mehr oder weniger nutzlos bei VoIP-Angriffen sind. Aufgrund der Echtzeitnatur der VoIP-Services sollten diese beim Durchgang durch die Firewalls nicht verzögert werden. Versteht eine Firewall das H.323 oder SIP, öffnet und schließt diese die Ports für den VoIP-Verkehr automatisch. VoIP-Verkehr erfordert eine tiefere Inspektion der H.323- und SIP-Pakete durch die Firewall. Dies resultiert in einer höheren CPU-, Puffer- und Memory-Auslastung. Mit steigender Anzahl von Sprachströmen kann bereits die von der Firewall erzeugte Verzögerung über die Grenzwerte steigen und zur Verschlechterung der Sprachqualität führen.

Was man dagegen tun kann. Eine Möglichkeit besteht im Einsatz von Voice-Proxies. Diese Komponenten signalisieren der Firewall, welche Ports geöffnet werden sollen und wie zusätzliche Aufgaben wie das Network-Address-Translation (NAT) umgesetzt werden. Dabei muss die VoIP-Sicherheit ganzheitlich betrachtet werden, nämlich auf den drei Ebenen Applikation, Systeme und Netz. Und wie bei jeder anderen Applikation sind die Sicherheitsziele Authentisierung, Vertraulichkeit, Integrität der Information und Unversehrtheit der Systeme zu berücksichtigen.

Als erster Schritt sollte ein Unternehmen Voice- und Daten-Services so weit wie möglich trennen. Aber um sicher zu gehen, dass Telefongespräche abhörsicher sind, sollte jeglicher Voice-Verkehr, der das Gebäude verlässt (einschließlich WLAN), verschlüsselt werden. Auch innerhalb des Unternehmens sollten beispielsweise vertrauliche Gespräche zwischen dem Senior Management und anderen Mitarbeitern verschlüsselt werden. Um das Telefonieren über digitale Netze abhörsicher zu machen, gibt es die Möglichkeit ein VPN einzusetzen. Bei VPN wird mittels IPsec eine Zugangskontrolle, die Datenintegrität, die Teilnehmerauthentisierung und die komplette Verschlüsselung der Sprachdaten sichergestellt.

IPSec ist die ideale Technologie um Voice-Traffic sowohl im LAN als auch im WAN abhörsicher zu machen mittels Ende-zu-Ende-Verschlüsselung der IP-Pakete. Dabei kann IPSec nicht nur in Perimeter-Devices (wie Firewalls) oder auf den Anwendungsgeräten wie PCs mittels Software-Client implementiert werden sondern ist zusätzlich unabhängig davon, welche Voice-over-IP-Applikation im Einsatz ist. SafeNet bietet beispielsweise IPSec Gateways, die an jedem Punkt im Netzwerk implementiert werden können.

Für die Internet-Telefonie über die H.323-Protokollfamilie steht der Standard H.235 zur Verfügung, welcher sich mit Sicherheitsdiensten für Signalisierungs- und Mediadaten befasst. Jedoch stehen hier die Authentisierung und Integrität der Signalisierungsnachrichten im Vordergrund. Ein Schutz für die RTCP-Pakete ist dagegen nicht vorgesehen.

Einen weiteren neuen Ansatz untersucht derzeit die Arbeitstruppe AVT der Internet Engineering Task Force. Dort arbeitet man an dem Standard \"The Secure Real-Time Transport Protocol (SRTP)“, RFC 3711. Dabei handelt es sich um ein Protokoll, das für die RTP- und RTCP-Pakete Sicherheitsdienste wie Vertraulichkeit sowie Authentifikation und Integrität bietet.

Darüber hinaus sollte man festhalten, dass Verschlüsselung nichts ist, was nur die Anbieter von Diensten für die IP-Telefonie angeht. Hauptsächlich ist dies eine Angelegenheit, die im Verantwortungsbereich der entsprechenden Hard- und Software-Hersteller liegt, die sich auf einen gemeinsamen Standard einigen müssen. Einige Anbieter von VoIP-Hardware haben jedenfalls den Trend zur Sicherheit erkannt. So unterstützen zum Beispiel die Telefone von snom bereits SIPS - SIP over SSL over TCP, RFC 3546.

Ausblick in die Zukunft. VoIP ist keine Weltneuheit, schon in den 90ern telefonierten Universitäten über IP. Seit der Entwicklung von SIP zum Standard-Protokoll wird nun diese Technologie für alle erschwinglich. Alle Unternehmen, die über eine VoIP-Lösung nachdenken, sollten parallel dazu, über die passende Sicherheitslösung zum Schutz ihres Netzwerkes nachdenken. Eine Kombination aus allen oder Teilen der geschilderten Sicherheitsmaßnahmen ist für eine sichere VoIP-Kommunikation unbedingt erforderlich.