Sicherer Telefonieren mit Voice over IP

Bei herkömmlichen Telefonen sieht der Angerufene beim Telefonklingeln meistens auf seinem Display, von welcher Nummer der Anruf kommt. Mit ID-Spoofing lässt sich diese Funktion leicht aushebeln: Es ist ebenso einfach, mit einer falschen Nummer anzurufen, wie die Absenderadresse einer E-Mail zu fälschen. Noch gravierendere Folgen kann eine Denial-of-Service Attacke auf IP-Telefone, die IP-Telefonanlage oder das Gateway haben. Anders als die herkömmliche Telefonleitung, ist die VoIP-Infrastruktur Denial-of-Service (DoS)-Attacken ausgesetzt wie jeder vom Internet her zugängliche Server. Wer auf diesem Weg die IP-PBX oder den VoIP-Gateway lahm legt, kann den gesamten Telefonverkehr eines Unternehmens unterbrechen. Aktive Dienste wie HTTP, Telnet oder SNMP machen die Maschinen anfällig, Hacker-Tools und Vorgehensweise bei Angriffen sind identisch mit denen auf Server oder PCs.

Eine neue Art der DoS-Attacke richtet sich direkt gegen die IP-Telefone selbst. Da die Geräte IP-basiert sind, und bei direkter Verbindung mit einem SIP-Provider aus dem Internet erreichbar sind, können sie angegriffen werden. Das Prinzip ist das Gleiche wie beim Server: Der „Call Control Port“, der die Telefonverbindungen aufbaut und verwaltet, wird mit Verbindungsaufbaupaketen geflutet bis sich die Software aufhängt. Cisco ließ Ende 2004 verlauten, dass die IP-Telefone der Firma von einem externen Angreifer in eine endlose Neustart-Schleife versetzt werden können, wenn er es schafft, ihnen entsprechende IP-Pakete zu schicken. Die Sicherheitslücke ist längst geschlossen, aber sie zeigt, dass das, was aussieht wie ein Telefon, eben doch ein kleiner Computer ist – mit allen seinen Schwächen und möglichen Sicherheitslücken.

 VoIP-Organisationen


 VoIP Security Alliance
Februar 2005 gegründete Allianz aus Sicherheitsanbietern, unter anderem 3Com, Symantec, Sonicwall, Borderware, PGP. Cisco hat abgewinkt, man sei schon in so vielen anderen Gremien vertreten.


 Internet Engineering Task Force
Die IETF ist eine Arbeitsgruppe des Internet Architecture Board (IAB). Die offene, internationale Vereinigung von Netzwerktechnikern, Herstellern und Anwendern kümmert sich um alle Standardisierungsfragen des Internet.


 International Telecommunication Union
Die Internationale Fernmeldeunion kümmert sich offiziell und weltweit um die technischen Aspekte von Telekommunikation und damit auch mit VoIP.


 SIP Forum
Das SIP Forum ist eine Industrie-Organisation, die sich die Verbreitung von SIP und entsprechenden Produkten auf die Fahnen geschrieben hat.


Generell stellt VoIP Administratoren vor die gleichen Probleme, wie jeder andere Dienst, der durch die Firewall getunnelt werden muss. Schwierig ist dabei, dass der Quasi-Standard SIP (Session Initiation Protocol) zwei Kanäle für die Kommunikation verwendet. Der Steuerkanal nutzt die Ports 5060 (UDP) und 5061 (TLS), die Ports für die eigentlichen Sprachdaten vergibt das Real Time Transport Protocol (RTP) dynamisch. Weil die Ports vorher nicht bekannt sind, kann der Admin das Loch in der Firewall nicht auf einen kleinen Bereich beschränken, sondern muss einen sehr weiten Portbereich öffnen – das kommt einer Einladung für Hacker gleich. Die Situation ähnelt der Zeit, als Firewall gleichbedeutend mit Paketfilter war. Protokolle wie FTP, die dynamisch weitere Ports öffneten, waren auf große, frei geschaltete Portbereiche angewiesen. Nicht zuletzt deswegen wurden Stateful Inspection Firewalls entwickelt, die eigenständig erkannten, welchen Port ein Protokoll gerade öffnen wollte und nur diesen Port dynamisch für die Dauer der Verbindung freigab. Das würde auch mit VoIP funktionieren, nur sind bislang kaum Firewalls um das SIP-Protokoll erweitert worden. Gerade mal die High-End-Systeme, zum Beispiel von Cisco oder Juniper, beherrschen diesen Trick. Und weil die Definition von SIP alles andere als abgeschlossen ist, ändern sich ständig Details, die die Firewallhersteller laufend zu Nachbesserungen zwingen.

Themenseiten: Security-Praxis, VoIP

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Sicherer Telefonieren mit Voice over IP

Kommentar hinzufügen
  • Am 7. November 2006 um 16:28 von Udo Güngerich

    Argumentation ist irreführend!
    Zu dem Thema "Sobald ein Switch ins Spiel kommt – und heute ist im Prinzip jeder Arbeitsplatz mit einem Switch verbunden – isoliert er den Datenverkehr in unabhängige Segmente." kann nur gesagt werden:

    Es ist irreführend, solche Aussagen zu verbreiten!

    1. Jeder (bessere) Switch hat einen Diagnose-Port, der ALLE Pakete empfängt. Die obige Aussage ist haltlos.

    2. Die Annahme, dass physikalischer Zugriff auf ein Netzwerk von Nöten ist, um VoIP abzuhören, ist falsch. Eine sehr große Anzahl (fast alle) Firmen haben Windows-Clients und arbeiten ohne Web Shield. Trojaner verbreiten sich gerne über HTTP. Ist ein Trojaner erst installiert, so kann er in den meisten Netzwerken so gut wie alles abhören (z.B. durch Verbreitung auf alle Clients), denn die meisten Netzwerke sind nicht gut gesichert in der Annahme, dass es genügt "hinter einer Firewall zu sitzen".

    3. Selbst ohne 1. und 2. kann man getrost annehmen, dass es genügend Fälle von erfolgreichen Angriffen auf das lokale Netz gegeben hat: D.h. es ist prinzipiell immer von der Möglichkeit auszugehen, dass Datenverkehr belauscht wird.

    Das Herunterspielen von Risiken hilft nicht, das Sicherheitsbewusstsein von Menschen zu stärken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *