Bei VoIP wird die Telefonanlage (PBX = Private Branch Exchange) durch eine Kombination aus Hardware und Software ersetzt, die unter Microsoft Windows oder einem proprietären Betriebssystem des Herstellers läuft. Der Mitarbeiter, der sich Zugriff auf diese Datenbank verschafft, kann die Verbindungsdaten einsehen – wer wann wen angerufen hat und wie lange. Diese Daten liegen hier aufbereitet und chronologisch sortiert zur Abholung bereit. Da in diesem Fall der Angreifer im internen Netz sitzt, schützt die Firewall nicht. VoIP bietet die Möglichkeit, sehr umfangreiche Daten über Nutzer und Verbindungen zu speichern, neben angerufenen Telefonnummern und Zeiten auch Weiterleitungen, Mailbox-Services und ähnliches. Diese Daten sollten in einem verschlüsselten Dateisystem abgelegt werden, um unbefugten Zugriff so schwer wie möglich zu machen.
Gleiches gilt für den VoIP-Gateway, Er übernimmt die Network Address Translation (NAT) und sorgt dafür, dass Anrufe an die richtigen IP-Adressen im internen Netz gelangen. Außerdem muss er in der Lage sein, mit den verschiedenen Protokollen umzugehen, je nachdem ob ein Endgerät seine Pakete gemäß H.323, SIP, MCGA oder beispielsweise Ciscos proprietärem „Skinny“ (SCCP)-Protokoll schickt. Auch an diesem Server sind Daten in Logs abgelegt, die viele Details über den Telefonverkehr im Unternehmen verraten.
|
Protokolle
VoIP wird gern von Firmen eingesetzt, die ihren Mitarbeitern „Hot-Desking“ anbieten. Hier haben die Angestellten keine festen Arbeitsplätze, sondern wählen jeden Morgen einen Platz, der gerade frei ist. VoIP ist eine ideale Ergänzung dieses Prinzips, da das Telefon „seine“ Nummer behält und gleich bleibt, egal an welchem Platz sich der Mitarbeiter einstöpselt. Er gibt eine Personal Identification Nummer (PIN) ein und bekommt ab dann seine Telefonate direkt zugestellt. Kennt ein Angreifer die PIN, könnte er seine Durchwahl fälschen und beispielsweise statt des Abteilungsleiters Anrufe entgegennehmen oder mit seiner Nebenstellennummer Anrufe tätigen. Bei manchen IP-Telefonen läßt sich die ausgehende Nummer so einfach ändern wie bei einem herkömmlichen Fax-Gerät – ein Einfallstor für Social Hacking, wenn der (angebliche) Help-Desk anruft und nach Passwörtern fragt.
Neueste Kommentare
1 Kommentar zu Sicherer Telefonieren mit Voice over IP
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Argumentation ist irreführend!
Zu dem Thema "Sobald ein Switch ins Spiel kommt – und heute ist im Prinzip jeder Arbeitsplatz mit einem Switch verbunden – isoliert er den Datenverkehr in unabhängige Segmente." kann nur gesagt werden:
Es ist irreführend, solche Aussagen zu verbreiten!
1. Jeder (bessere) Switch hat einen Diagnose-Port, der ALLE Pakete empfängt. Die obige Aussage ist haltlos.
2. Die Annahme, dass physikalischer Zugriff auf ein Netzwerk von Nöten ist, um VoIP abzuhören, ist falsch. Eine sehr große Anzahl (fast alle) Firmen haben Windows-Clients und arbeiten ohne Web Shield. Trojaner verbreiten sich gerne über HTTP. Ist ein Trojaner erst installiert, so kann er in den meisten Netzwerken so gut wie alles abhören (z.B. durch Verbreitung auf alle Clients), denn die meisten Netzwerke sind nicht gut gesichert in der Annahme, dass es genügt "hinter einer Firewall zu sitzen".
3. Selbst ohne 1. und 2. kann man getrost annehmen, dass es genügend Fälle von erfolgreichen Angriffen auf das lokale Netz gegeben hat: D.h. es ist prinzipiell immer von der Möglichkeit auszugehen, dass Datenverkehr belauscht wird.
Das Herunterspielen von Risiken hilft nicht, das Sicherheitsbewusstsein von Menschen zu stärken.