Trojanisches Pferd
VoIP und Sicherheit – IT-Manager haben ihre Netzwerke im Griff. Für umfassende Sicherheit ist gesorgt. Jetzt kommt aber VoIP hinzu. Wie ein trojanisches Pferd etabliert sich die Technologie im System und öffnet Angreifern Tür und Tor.
Es schien ein leeres Versprechen zu sein, jetzt aber hat die IP-Telefonie doch noch den Durchbruch geschafft. Es ist, als hätten sich die ewig wiederholenden Prophezeiungen der Analysten und Hersteller selbst erfüllt: »Der IP-Telefonie gehört die Zukunft« oder »konvergente Netze bringen Kosten- und Effizienzvorteile.« Solche und andere Aussagen begleiten Marketing-Broschüren und Marktforschungsergebnisse seit etlichen Jahren. Ganz so einfach war es jedoch nicht. Zu viel sprach gegen die IP-Telefonie: Die Produkte hatten lange nicht die notwendige Entwicklungsreife und die Servicequalität stimmte auch nicht.
Einiges hat sich hier im vergangenen Jahr geändert. Vergessen sind Akzeptanzprobleme mit Endgeräten, die auf den amerikanischen Geschmack abgestimmt waren. Zudem sind stabile IP-Telefonie-Lösungen heute eher die Regel als die Ausnahme. Auch die Quality-of-Service-Mechanismen stimmen immer mehr.
Nicht weniger als 17 Prozent aller neuen Nebenstellen großer Unternehmen in Deutschland werden mit IP-Telefonen bestückt. Doch bei aller Euphorie wird etwas Wesentliches vergessen: die Sicherheit. So könnte sich die viel gepriesene IP-Telefonie als trojanisches Pferd erweisen. Das Risiko besteht, denn jetzt geraten VoIP-Systeme in die Schusslinie der Hacker.
Die Sprache ist genauso zu schützen wie die wichtigsten und sensibelsten Daten. Die per Telefon ausgetauschten Informationen sind teilweise hochbrisant. Zur Diskussion kommen strategische, personelle oder auch finanzielle Themen, die äußerst vertraulich zu behandeln sind. Zudem kann sich kein Unternehmen beispielsweise einen Denial-of-Service-Angriff (DoS) auf das VoIP-System leisten. Die Kommunikation per Telefon ist in den meisten Fällen einfach zu wichtig, um sie auch nur für kurze Zeit entbehren zu können.
Die meisten Unternehmen haben ausgeklügelte Mechanismen im Einsatz, um die Daten zu schützen. Natürlich greifen diese auch bei VoIP, da es sich ja auch um Pakete handelt, die das Netz durchqueren. Das reicht noch nicht, obwohl sich die Grundlagen eines Sicherheitsplans, wie bei Daten, auf drei Kernbereiche konzentrieren: sichere Verbindungen, Verwaltung von Trusts und Identitäten sowie Schutz vor Angriffen.
Innerhalb der VoIP-Systeme sind es die IP-Telefone, der Call-Processing-Manager, das Voice-Mail-System und das Voice-Gateway, die besonders zu sichern sind. Zu den möglichen Maßnahmen gehören separate oder segmentierte Bereiche für Sprache und Daten.
Sichere Verbindungen
Der erste Schritt zu einem sicheren Sprachsystem ist die Planung. Es sollte zunächst eine Security-Policy entworfen werden, die eng mit dem Sicherheitsschema des Datennetzes verbunden ist. Das ist sinnvoll, da bereits etliche Technologien, die Daten schützen, auch die Sprachanwendungen mit abdecken. Das betrifft in erster Linie die Infrastruktur. Hier sollte es ohnehin selbstverständlich sein, dass die Router und Switches mit allen gängigen Sicherheitsfunktionen wie Stateful-Firewalls oder Intrusion-Detection ausgestattet sind. Zur entsprechenden Policy gehört es auch, dass alle verfügbaren Features, die das Netz nach außen schließen, auch im Einsatz sind.
Router und Switches sollten »gehärtet« sein. Für Router bedeutet das, den SNMP-Zugriff streng zu kontrollieren, alle unnötigen Dienste auszuschalten, sichere Management-Methoden, beispielsweise Secure-Shell (SSH), zu nutzen und Routing-Updates nur mit entsprechender Authentisierung durchzuführen. Switches sollten mit dem Adress-Resolution-Protokoll (ARP) oder über VLANs arbeiten. Der Zugriff auf Management-Ports mittels SNMP ist einzuschränken und nicht genutzte sind abzuschalten.
Ein ähnliches »Härten« ist auch für die VoIP-Installationen notwendig. Viele IT-Manager gehen davon aus, dass die gelieferten Geräte bereits mit allen Sicherheitsfeatures im aktiven Zustand ankommen. Das ist allerdings nicht der Fall. Die meisten Hersteller haben entsprechende Anweisungen parat. Generelle Vorgaben sind nicht möglich. Die Installationen sind zu unterschiedlich, und auch die VoIP-Geräte und Anwendungen kommen auf vielfältige Art zum Einsatz. Hier sind die Verantwortlichen gefordert. Jedes Unternehmen braucht eine maßgeschneiderte Lösung.
All diese Vorkehrungen schützen das Netzwerk bereits vor vielen Bedrohungen wie DoS, Spoofing, Viren, Würmern and anderen. Im nächsten Schritt ist eine Segmentierung sinnvoll. Sollte es einem Eindringlich dennoch gelingen, sich Zugang zum Netz zu verschaffen, kommt er wenigsten nicht in den VoIP-Bereich. Zur Segmentierung eignet sich eine Teilung in verschiedene Module, getrennt nach Funktionen. Ein Campus-Netzwerk kann beispielsweise in ein Management-, ein Anwender-, ein Server-, ein Datencenter- und ein Kernmodul geteilt sein.
Jetzt ist die Sprache von den Daten zu trennen. Hierfür können einzelne Gruppen von Anwendern in VLANs auf den LAN-Switches aufgebaut werden. Die Verbindung zwischen Daten und Sprache sollte sich auf bestimmte Punkte, beispielsweise das Call-Processing oder den Übergang zu Voice-Mail-Systemen, beschränken. Das Netzwerk ist immer noch konvergent, da es sich lediglich um logische Segmentierungen handelt, und nicht um physikalische Trennungen.
Zudem sind alle VoIP-Features abzuschalten, die den Zugriff auf das Netzwerk erlauben. So sind etliche Call-Processing-Manager mit einer automatischen Registrierung ausgestattet. Diese ermöglicht es einem Anwender, seine Konfiguration kurzfristig auf ein anderes Telefon zu übertragen und von dort ins Netz zu gehen. Die Gefahr ist offensichtlich: Vergisst der Anwender, sich wieder abzumelden, steht das Netz für jeden offen, der dieses Telefon benutzt.
Access-Control-Lists (ACL) sorgen für eine weitere Sicherung der Verbindungen. Sie sind eingebunden in die Software von Router, Switches oder Firewalls und erlauben, beziehungsweise verbieten, den Zugriff auf Sprach- oder Daten-VLANs. ACLs nutzen hierfür die IP-Adressen gemeinsam Protokoll- oder Port-Informationen. Wer nicht auf der Liste steht, erhält keinen Zugriff.
Identitätsmanagement
Nachdem das Netzwerk an sich gesichert ist, geht es um das Identitätsmanagement. Wie ist sicherzustellen, dass der Anrufer auch der ist, für den er sich ausgibt? Neuere Technologien und Funktionen wie die Kombination aus dem Snooping des Dynamic-Host-Configuration-Protocols (DHCP), IP-Source-Guard und Dynamic-Adress-Resolution-Protocol-Inspection (DAI) stellen dies sicher. Die Mechanismen verhindern, dass nicht autorisierte Geräte Zugriff auf das Netz erhalten. Zudem sichern sie vor Spoofing-Angriffen.
DCHP-Snooping sucht nach nicht vertrauenswürdigen DCHP-Mitteilungen, insbesondere solchen, die von außerhalb der Firewall stammen. Mit DCHP lässt sich die IP-Adresse eines Telefons statisch mit einer bekannten MAC-Adresse verbinden. So hat das Telefon immer die gleiche Mac-Adresse. Es ist sehr schwierig für einen Hacker, beide Adressen zu koordinieren. IP-Source-Guard arbeitet ähnlich und filtert, beziehungsweise blockiert alle IP-Pakete bis auf DCHP, die durch einen bestimmten Port kommen. DAI schränkt die MAC-Adressen auf eine pro Port ein und verhindert damit Sniffing-Angriffe.
Für die Sicherung auf der Endanwenderebene können neuere IP-Telefone digitale Signaturen lesen. Damit lässt sich zum Beispiel die Echtheit von heruntergeladenen Images verifizieren. Das macht es einem Hacker nahezu unmöglich ein einzelnes Telefon außer Betrieb zu setzen oder die integrierten Funktionen zu verändern.
Verwaltung der Verteidigung
Der dritte Teil der VoIP-Sicherheitsstrategie ist der Schutz vor Bedrohungen. Hier kommen Stateful-Firewalls, Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) ins Spiel. Die Firewalls sind an zwei Stellen wichtig. Zum einen dort, wo einander Sprach- und Datensegmente treffen, und zum anderen, wo immer ein Stateful-Monitor notwendig ist, um die Sprachdienste zu sichern.
IDS sind ein weiterer wichtiger Bestandteil. Das gilt sowohl für auf Netzwerken basierende IDS, kurz NID, wie auch für auf Hosts basierende IPSs, kurz HIP. Beide liefern unterschiedliche, aber einander ergänzende Sicherungen. NID überwachen Paket-Streams und suchen nach Signaturen oder Bit-Sequenzen von bekannten Angreifern. Sie arbeiten ähnlich wie Antivirus-Software. Zudem erkennen sie Unregelmäßigkeiten in Protokollen. IDS sollten in allen Schlüsselsystemen im Netz, einschließlich Voice-Mail und Call-Processing-Systemen, bereit stehen.
HIP erweitern die Funktion der IDS. Sie suchen nicht nach Signaturen, sondern nach außergewöhnlichen Ereignissen auf den Hosts und reagieren entsprechend. Ändern sich beispielsweise die Einstellungen eines Web-Servers, erkennt dies das HIP und sendet diese Information weiter. Genau solche Änderungen deuten auf einen Wurm hin.
Übergreifende Sicherheit
Nachdem die Policies und Technologien für sichere Verbindungen, autorisierten Zugriff und für die Verteidigung vor Bedrohungen stehen, geht es darum, die Maßnahmen bis in die Tiefen des Netzes auszubreiten. Alle Technologien sollten überall dort eingesetzt werden, wo es auch nur im Entferntesten sinnvoll erscheint. Es ist niemals ausreichend, sich auf nur einen Mechanismus zu beschränken. So sollten beispielsweise IDS auf Routern, Switches, Servern und selbst auf Client-Systemen wie PCs aktiviert sein. Gleiches gilt für ACLs und den großzügigen Einsatz von Firewalls. Letztendlich lautet die Strategie: mehrere Technologien auf mehreren Ebenen im gesamten Netzwerk.
Der Aufbau eines sicheren Netzwerks für ein VoIP-System ist durchaus machbar. Die notwendigen Produkte und Techniken stehen bereit. Gemeinsam mit einer umsichtigen Planung und einem ausgeklügelten Design sorgen sie dafür, dass VoIP im Netzwerk nicht zum trojanischen Pferd wird.
Stefanie Karl
freie Journalistin
