Die Infrastruktur für Voice over IP muss mit äußerster Sorgfalt geplant und eingeführt werden, da hierdurch nicht nur die Sicherheitsrisiken der Datennetze geerbt werden, sondern auch das Datennetz durch VoIP neue Verwundbarkeiten übertragen bekommt. Dies verlangt eine spezifische und ganzheitliche Absicherung des Unternehmensnetzes.
Angriffsarten auf VoIP-Systeme Das Mitschneiden von RTP-Sprachdaten, die Integrität der übertragenen Sprachdaten, das Ausforschen von VoIP-/VoWLAN-Infrastrukturen sowie die Betriebssicherheit hinsichtlich der Verfügbarkeit stellen zweifellos die wesentlichen Angriffsflächen über die VoIP-Kommunikation dar. Einen umfassenden Überblick über die möglichen Bedrohungen liefert die Studie zur Sicherheit von Voice over Internet Protocol VoIPSEC des Bundesamtes für Sicherheit in der Informationstechnologie (BSI). Die Studie benennt nicht nur die Schwachpunkte der durch VoIP genutzten unterschiedlichen Protokolle, sondern sie beschäftigt sich vor allem auch mit den Schwachpunkten der gesamten Infrastruktur. |
Insofern werden für den Einsatz von Voice over IP besondere Anforderungen an die Sicherheitsbedingungen der Netzwerkinfrastruktur gestellt, weil mit der Öffnung der Infrastruktur für die Sprachkommunikation zusätzliche Angriffspotenziale bestehen. Zudem lassen sich heutige Tools dafür recht einfach bedienen und erfordern keine besonderen Kenntnisse des Angreifers. Wurden sie erst einmal auf einem PC im Netzwerk installiert, lassen sich mit ihrer Hilfe VoIP-Gespräche einfach mitschneiden, abhören und auch manipulieren.
Hierzu enthält das Tool Cain & Abel etwa spezielle Erweiterungen durch VoIP-Sniffer und -Recorder. Entsprechende Plug-ins für Tools wie Etherreal, speziell für VoIP, versetzen Anwender in die Lage, Initialisierungsdaten und -nachrichten auszuwerten und somit Quell- und Zieladressen zu ermitteln. Durch Manipulation der entsprechenden Vermittlungskomponenten können ebenso Teile oder gesamte Kommunikationsanlagen mit Denial-of-Service Attacken gestört werden. Damit sind interne Angreifer beispielsweise in der Lage, die gesamte Kommunikation eines Unternehmens lahm zu legen.
Die Liste entsprechender Tools entwickelt sich gegenwärtig fast inflationär. Hinzu kommt das Problem, dass das Leistungsspektrum dieser über das Internet herunterladbaren Angriffstools in ihrer Funktionalität permanent erweitert wird. Umso wichtiger ist es, diesen Sicherheitsrisiken das nötige Augenmerk zu schenken. Dafür muss eine gesonderte Inventarisierung von VoIP-Komponenten erfolgen, um besondere Maßnahmen zur präventiven Überwachung einleiten zu können, damit Gespräche nicht abgehört oder unterbunden werden.
Plädoyer für einen ganzheitlichen Security-Ansatz
Ein wirksamer Lösungsansatz sollte jedoch die VoIP-Sicherheit nicht separieren, sondern sinnvollerweise Bestandteil eines gesamtheitlichen internen Security-Ansatzes für das Unternehmensnetz sein. Vorteilhaft sind hier Konzepte, die neben VoIP-Systemen ebenso Infrastrukturkomponenten, wie Switches und Router integrieren und somit flächendeckend zur Überwachung eines jeden Ports auch für Network Access Control im Netzwerk genutzt werden können. Darüber hinaus sollten die bereist vorhandenen Komponenten der Sicherheits-Infrastruktur wie Firewalls, IDS oder IPS zur Implementierung einer ganzheitlichen Security Architektur eingebunden werden.
Eine solche Angriffsüberwachung kann somit jegliche kommunizierenden Komponenten einbeziehen und daher auch neue Technologien wie VoIP und WLAN absichern. Die Überwachung der Infrastruktur sollte durch eine einzige Komponente für das gesamte Netz erfolgen, wodurch Kosten und Ressourcen für die Systemverwaltung gespart werden.