Telefonie für denMittelstand - ChannelPartner.de
Telefonie für denMittelstand - ChannelPartner.de
Telefonie für denMittelstand - ChannelPartner.de
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
02 24<br />
02 CP Compact<br />
CP Compact Finanzierung im<br />
Tagesgeschäft<br />
Technik<br />
Security-Features <strong>für</strong>VoIP<br />
Sichere IP-<strong>Telefonie</strong><br />
Voice over IP hat nach wie vor mit Vorbehalten in puncto<br />
Sicherheit zu kämpfen. Dr. Christian Stredicke erklärt, welche<br />
Möglichkeiten die Technologie Unternehmen bietet, sich<br />
erfolgreich gegen Eindringlinge zu wehren.<br />
Die Konvergenz von IT- und TK-Infrastruktur<br />
ermöglicht die Anbindung <strong>de</strong>r<br />
<strong>Telefonie</strong> an an<strong>de</strong>re Applikationen wie E-<br />
Mail- und Datenserver im LAN. Einerseits<br />
lassen sich so Kosten sparen, an<strong>de</strong>rerseits<br />
wer<strong>de</strong>n die Bedrohungen <strong>de</strong>r IT-<br />
Infrastruktur auch zur Bedrohung <strong>de</strong>s<br />
VoIP-Systems. Schlimmer noch: Das Telefonsystem<br />
kann nun aufgrund <strong>de</strong>s gemeinsamen<br />
LANs aus <strong>de</strong>m Unternehmen<br />
selbst heraus attackiert wer<strong>de</strong>n.<br />
Welche Gefahren lauern<br />
In <strong>de</strong>r heutigen Konvergenzwelt gilt es<br />
zwei Sicherheitsproblemen vorzubeugen.<br />
Das erste ist die Abhörsicherheit. Benötigt<br />
man zum Abhören von Gesprächen<br />
<strong>de</strong>r herkömmlichen <strong>Telefonie</strong> noch physischen<br />
Zugang zum Kabel, eröffnet die<br />
Internettelefonie Hackern ganz neue<br />
Spielarten <strong>für</strong> illegale Aktivitäten. Mit aktuellen<br />
Hackerprogrammen wie Cain &<br />
Abel und einem PC im LAN lassen sich<br />
Telefongespräche aufzeichnen, in WAV-<br />
Files umwan<strong>de</strong>ln und so <strong>für</strong> eine spätere<br />
Nutzung konservieren. Der Zugang<br />
zum ungeschützten LAN ist alles, was<br />
man braucht, und <strong>de</strong>n bekommt man<br />
vom unternehmensinternen PC leicht.<br />
Das zweite große Problem sind die<br />
DoS-Attacken (Denial of Service), begünstigt<br />
durch je<strong>de</strong> Menge unsicheres<br />
und instabiles VoIP-Equipment am<br />
Markt. Oft fin<strong>de</strong>t man noch VoIP-Geräte<br />
im Einsatz, die in Sachen Sicherheit und<br />
Funktionalität mit Features ausgestattet<br />
sind, die bei weitem nicht <strong>de</strong>n neuesten<br />
Standards entsprechen. Netzwerkmanipulation<br />
ist dort um ein Vielfaches leichter,<br />
und <strong>für</strong> einigermaßen Versierte<br />
lässt sich im Handumdrehen das Gerät<br />
außer Gefecht setzen.<br />
Ein Albtraum <strong>für</strong> alle Anwen<strong>de</strong>r: Permanentes<br />
Klingeln, permanentes Rebooten<br />
<strong>de</strong>r Telefone o<strong>de</strong>r an<strong>de</strong>re Ärgernisse<br />
wie unerwünschte Nachrichten auf <strong>de</strong>m<br />
Display können vorkommen, wenn man<br />
an Sicherheitsvorkehrungen <strong>de</strong>r kompletten<br />
IT-Struktur wie auch <strong>de</strong>s VoIP-<br />
Systems gespart hat. Um ein Shell Script<br />
zu schreiben, braucht man lediglich ein<br />
paar Programmierzeilen. PC-Nutzer, die<br />
etwas mehr Zeit aufwen<strong>de</strong>n, nutzen<br />
Bugs in einer IP-PBX, um diese mit einem<br />
„Invite to Death“-Paket so richtig<br />
crashen zu lassen (siehe zum Beispiel<br />
www.voipsa.org). Da <strong>für</strong> Hacker VoIP zunehmend<br />
interessanter wird, sind künftig<br />
auch Viren <strong>de</strong>nkbar, die einen Co<strong>de</strong><br />
enthalten, <strong>de</strong>r das Mithören ermöglicht<br />
o<strong>de</strong>r gleich <strong>de</strong>n PBX-Server in die Knie<br />
zwingt.<br />
Mittlerweile gibt es Anbieter am Markt,<br />
die VoIP-Alarmsysteme anbieten (zum<br />
Beispiel www.sipera.com). So wie es Sicherheitsanlagen<br />
gibt, die unerlaubtes<br />
Betreten von Büroräumen mel<strong>de</strong>n, so beobachten<br />
VoIP-Alarmsysteme das Netzwerk<br />
und sen<strong>de</strong>n Alarmsignale an <strong>de</strong>n<br />
IT-Administrator, wenn sich ein ungewollter<br />
Eindringling an <strong>de</strong>r Anlage zu<br />
schaffen macht. Doch das sollte<br />
nicht <strong>de</strong>r einzige Schutz sein.<br />
Manchmal ist es lediglich ein<br />
schlechtes Netzwerk-Setup, das<br />
DoS-Probleme auslöst. Wenn<br />
man beispielsweise Sprachpaketen zwischen<br />
<strong>de</strong>m Büro und <strong>de</strong>m Service-Provi<strong>de</strong>r<br />
keine Priorität einräumt, sollte man<br />
nicht allzu überrascht sein, wenn ein einfacher<br />
E-Mail-Download zur unbeabsichtigten<br />
DoS-Attacke von laufen<strong>de</strong>n Telefonaten<br />
wird. In diesem Fall verdrängen die<br />
ankommen<strong>de</strong>n E-Mail-Pakete sämtliche<br />
verfügbare Bandbreite, und die Audiodatenpakete<br />
schaffen es nicht mehr rechtzeitig<br />
zum Empfänger.<br />
Um sicherzugehen, dass wenigstens<br />
das LAN <strong>de</strong>n Voice-Daten höhere Priorität<br />
verschafft, sollte man auf Virtual Local<br />
Area Network (VLAN) setzen. Fast alle<br />
mo<strong>de</strong>rnen Switches unterstützen<br />
VLAN-Tagging, das <strong>de</strong>m Switch signalisiert,<br />
zu welchem VLAN das zu verarbeiten<strong>de</strong><br />
Ethernet-Paket gehört. Das löst<br />
auch schon <strong>de</strong>n größten Teil <strong>de</strong>s Problems.<br />
Wenn darüber hinaus <strong>de</strong>r Ethernet-Switch<br />
auch Bandbreitenlimitierung<br />
auf Trunks unterstützt, können ankommen<strong>de</strong><br />
Attacken abgewehrt wer<strong>de</strong>n, bevor<br />
sie das Gerät erreichen.<br />
Die richtigen Daten<br />
kommen durch<br />
Bezüglich Firewalls ist immer wie<strong>de</strong>r zu<br />
hören, dass diese alle ein- und ausgehen<strong>de</strong>n<br />
Daten verstehen müssten, also auch<br />
SIP-Daten. Bei älteren Firewalls können<br />
durchaus Probleme in Sachen VoIP und<br />
SIP auftreten. Mo<strong>de</strong>rne Firewalls erkennen<br />
jedoch VoIP- und SIP-Datenpakete<br />
und sichern <strong>de</strong>ren ungestörtes Durchkommen,<br />
in<strong>de</strong>m sie <strong>de</strong>n Paketen die entsprechen<strong>de</strong><br />
Priorität geben. Einige Firewalls<br />
übernehmen sogar das Verschlüsseln<br />
von unverschlüsselten SIP- und<br />
RTP-Daten und übersetzen diese in sichere<br />
TLS- und SRTP-Pakete (zum Beispiel<br />
InGate o<strong>de</strong>r Bor<strong>de</strong>rware).<br />
Bei <strong>de</strong>r Installation eines kostenfreien<br />
Softphones auf <strong>de</strong>m PC ist gehörig Vertrauen<br />
in die Ehrlichkeit <strong>de</strong>s Herstellers<br />
gefor<strong>de</strong>rt. Nutzt eine Applikation ein eigenes,<br />
verschlüsseltes Protokoll <strong>für</strong> die<br />
Kommunikation nach draußen, kann die<br />
Firewall nicht mehr beurteilen, ob gera<strong>de</strong><br />
telefoniert wird o<strong>de</strong>r Unternehmensdaten<br />
auf <strong>de</strong>n Rechner eines Angreifers<br />
hochgela<strong>de</strong>n wer<strong>de</strong>n.<br />
Kann <strong>de</strong>r Hersteller eines solchen Softphones<br />
<strong>de</strong>r kleinen Hintertür in <strong>de</strong>r Soft-<br />
Das Schlosssymbol im Display von Snom-Telefonen zeigt<br />
an, ob die Verbindung verschlüsselt ist o<strong>de</strong>r nicht.