Gib mir fünf!

Bewährte Methoden für mehr Sicherheit bei der IP-Telefonie

Noch immer haben Nutzer Bedenken bezüglich der Sicherheit von IP-Telefonie. Sind die Systeme richtig konfiguriert, bieten sie jedoch wenig Angriffsfläche und sind durch den Einsatz von Verschlüsselung sogar sicherer als klassisches Telefonieren.

Von Andreas Steinkopf, Köln

IP-Telefonie ist unsicherer als ISDN – so lautet häufig die „gefühlte Wahrheit“ und ein beliebtes Vorurteil. Stimmt aber nicht: Denn für Voice-over-IP (VoIP) ist ein breites Spektrum leistungsfähiger Verfahren und Systeme verfügbar, mit denen Unternehmen de facto ein höheres Maß an Sicherheit erzielen können, als es bei der klassischen Telefonie der Fall war.

Beim bis 2018 anstehenden Umstieg von ISDN auf IP-Telefonie – Stichwort „All-IP“ – ist eine strukturierte Vorgehensweise allerdings unabdingbar: Auch hier sollten Unternehmen rund um Risikomanagement und Sicherheit Normen wie die ISO 31000 und ISO 27000 berücksichtigen. Einen konkreten Leitfaden für das weitere Vorgehen und die Entwicklung eines IT- und TK-Sicherheitsplans liefern zusätzlich die IT-Grundschutzkataloge des BSI.

Allen diesen Rahmenwerken ist gemein, dass Unternehmen Risiken zunächst identifizieren, analysieren und bewerten, um dann größere Risiken auf ein vertretbares Niveau zu reduzieren. Dabei ist eine Orientierung an den IT-Grundschutzkatalogen hilfreich (www.bsi.bund. de/grundschutz, s. a. bes. [1]) – und zwar in Abhängigkeit davon, ob die Geschäftsführung den Schutzbedarf des Unternehmens (bzw. der Telefonie) als normal, hoch oder sehr hoch einstuft. Bei der Sprachkommunikation hängen Risiken stark vom gesamten IP-Übertragungsweg der Sprachdaten ab, daher muss die IP-Topologie erfasst und gegebenenfalls optimiert werden.

Im Übrigen lassen sich Sicherheit und Verfügbarkeit der IP-Telefonie durch fünf bewährte Methoden deutlich verbessern, die im Folgenden skizziert sind.

Betriebssicherheit verbessern

Alle Systemkomponenten der IP-Telefonie- Infrastruktur sollten im Detail aufeinander abgestimmt sein. Deshalb ist es wichtig, dass auch Carrier und TKAnlagenhersteller eng miteinander kooperieren: So lassen sich idealerweise ausführliche Freigabetests durchführen, bevor Anwendern etwa ein SIP-Trunk (Session-Initiation- Protocol-Anschluss) empfohlen wird. Vergleichbares gilt für die Standardisierung: Je standardisierter die verwendeten Schnittstellen sind, umso reibungsloser funktioniert die IP-Telefonie.

Ein hoch-redundanter Next-Generation-Networking-( NGN)-Aufbau sowie gute, VoIP-bezogene Redundanz- Konzepte sorgen nicht zuletzt dafür, dass Unternehmen eine hohe Verfügbarkeit der All-IP-Kommunikation erreichen – bis hin zu einem ortsübergreifenden redundanten TK-Anlagensystem. Konkret kann die IP-basierte Standortanbindung von TK-Anlagen sowohl ITK-konvergent als auch redundant ausgelegt werden. Die Einführung eines umfassenden System- und Change-Managements stellt zudem eine schnelle Reaktion im Notfall sicher.

Sicherheitsschwachstellen beseitigen

Mit einfachen Passwörtern gesicherte TK-Anlagen oder SIP-Trunks sind eine große Gefahr, denn Angreifer könnten dann Zugang erhalten und so Gespräche abhören oder umleiten, hohe Telefonkosten durch Verbindungen zu Servicenummern verursachen oder die Verfügbarkeit beeinträchtigen (Denial of Service). Um das zu verhindern, müssen auch alle administrations- und userbezogenen Kennwörter der TK-Anlage und des SIP-Trunks der explizit festgelegten Unternehmens-Policy entsprechen. Zudem dürfen keine vorbelegten Standardpasswörter der Hersteller in den Systemen verbleiben.

Weitere Sicherungsmaßnahmen bestehen darin, Auslands- und teure Servicerufnummern weitgehend zu sperren, regelmäßige Betriebssystem-Updates der TK-Anlage durchzuführen und gegebenenfalls Beschränkungen der Telefonieberechtigungen in der TK-Anlage einzurichten. Darüber hinaus kann es erforderlich sein, unternehmensindividuelle Gebührengrenzwerte für nationale und internationale Gespräche zu etablieren sowie die Angreifbarkeit von VoIP-Systemen zusätzlich auf der SIP-Ebene zu verringern – beides sind Aufgaben für so genannte Session-Border-Controller (SBC), die vor Ort beim Kunden, aber auch beim Carrier platziert werden können.

Sprach- und Datennetz trennen

IP-basierte TK-Anlagen können bei Cyber-Angriffen auf die allgemeine IT-Infrastruktur in Mitleidenschaft gezogen werden und umgekehrt. Neben einem Schutz durch organisatorische Maßnahmen und technische Mittel wie Firewalls und SBC empfiehlt es sich daher zusätzlich, den Sprach- und Datenverkehr zu trennen (vgl. [2]). Im Unternehmen geht das am besten auf Layer 2 per Virtual-Local-Area-Network (VLAN) mit einem entsprechend ausgestatteten Switch.

Anbieter von TK-Anlagen realisieren die Trennung von Daten- und VoIP-Netz mit einem separaten NGN- oder WAN-Ethernet-Port, der in der zentralen Appliance, einem getrennten Mediation-Server oder in einem vorgeschalteten SBC integriert ist.

Auf Carrierebene stellen einige Anbieter einen getrennten Voice-Ethernet-Port am Access-Router für die Separierung bereit: Dieser wird per Access-Control- Liste (ACL) so konfiguriert, dass er ausschließlich mit den Voice-Komponenten des Providers und damit dessen SBC kommunizieren kann. Da SBC nur bereinigte SIP-Kommunikation passieren lassen, erreicht auch den Voice-Port des Access-Routers keine potenziell gefährliche Datenkommunikation aus dem Internet.

Lösungen von Anbieter und Carrier bieten in Kombination auch die Möglichkeit, auf der SIP-Trunk-Seite die Netze zu trennen und so einen „Voice-only“-SIP-Anschluss bereitzustellen, der ohne Internetdienst auskommt.

Kommunikationssicherheit erhöhen

Um die Vertraulichkeit eines SIP-Trunks zu verbessern, empfiehlt sich außerdem der Einsatz des Secure-Real-Time-Protocol (SRTP) auf Layer 5 des OSISchichtenmodells (vgl. (1) in Abb. 1). Durch eine Kombination von SRTP mit dem auf Layer 4 arbeitenden Transport-Layer-Security-(TLS)-Protokoll (2) lassen sich zusätzlich Integrität und Authentizität der SIP-Signalisierung steigern – bis hin zum Einsatz von Ephemeral- Diffie-Hellmann-(DHE)-Verfahren.

Abbildung 1: In der IP-Telefonie gibt es etliche Ansatzpunkte, um statt ungeschützter Protokolle verschlüsselte

Allerdings sichern SRTP und TLS nur die Vertraulichkeit des SIP-Trunks. Wollen Unternehmen mehrere Standorte vernetzen, empfiehlt sich der Aufbau eines IP-VPN, bei dem die IP-Kommunikation aller Anwendungen über „private“, nicht über das Internet erreichbare IP-Adressen erfolgt (RFC 1918). Ein Service-Provider kann beispielsweise auch ein Multi-Protocol-Label-Switching- VPN (MPLS-VPN) auf Layer 2 für Kunden aufbauen (3). Und auch ein SIP-Trunk lässt sich per IP-VPN absichern, indem der Service-Provider eine entsprechende Verbindung zwischen dem Kunden-IP-VPN und seinen SBC herstellt (4).

Sprachdaten verschlüsseln

Anders als bei ISDN lassen sich mit IP-Telefonie auch die übertragenen Inhalte (Mediendaten) mit SRTP und darin mit 3DES und AES verschlüsseln. Bei entsprechender Anbindung der TK-Anlage per SIP-Trunk verschlüsselt das standardbasierte Verfahren die Sprachübertragung zwischen der TK-Anlage und dem NGN des Providers.

Selbst bei einer Telefonverbindung über einen verschlüsselten SIP-Trunk zu einem weiteren Teilnehmer des gleichen Providers mit verschlüsseltem SIP-Trunk müssen die Daten des Medienstroms aber im weiterleitenden Provider-SBC erst entschlüsselt und zum zweiten Teilnehmer wieder neu verschlüsselt werden („Hop-by-Hop“). Dieses Prinzip gilt natürlich erst recht für SIP-Übergänge zu anderen Providern.

Eine vollständige Ende-zu-Ende-Verschlüsselung ist weiterhin problematisch und nur mit „passenden“ Endgeräten oder Verschlüsselungs-Apps zu realisieren (z. B. RedPhone für Android oder Signal für iOS). Solche Lösungen laufen dann aber in der Regel komplett „neben“ beziehungsweise unabhängig vom öffentlichen Telefonnetz und nur, wenn der jeweilige Partner dieselbe Anwendung nutzt.

Andreas Steinkopf ist Produktmanager IP-Telefonie bei der QSC AG

Literatur

[1] BSI, IT-Grundschutz-Baustein B 4.7 VoIP, Stand: 10. EL 2008, www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b04/b04007.html

[2] BSI, IT-Grundschutz-Maßnahme M 2.376 Trennung des Daten- und VoIP-Netzes, Stand: 13. EL 2013, www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02376.html

[3] BSI, ISi-VoIP – Leitlinie zur IP-Telefonie, 2008, www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-VoIP/isi-voip.html