VoIP-Systeme gefährden gesamte IT-Infrastruktur

Mithören, aufzeichnen, Datenverlust: Wie sicher ist die VoIP-Telefonie? Zu den uns bereits aus der herkömmlichen Telefonie bekannten Gefahren gesellen sich neue hinzu.

Artikel erschienen in Swiss IT Magazine 2008/14

     

Seitdem es das Internet, als paketvermittelndes Datennetz, auch erlaubt, Sprache zu übertragen, sind die Anwendungsmöglichkeiten der Sprachkommunikation in die Höhe geschossen. Das heutig gängige Standardprotokoll der Sprachübertragung ist das RTP (RFC 3550), das Realtime Transport Protocol. Es wurde bereits 1996, also schon knapp sechs Jahre nach der ISDN-Telefonie eingeführt, welche mit ihren Basis- und Primäranschlüssen die Kapazitäten der Leitungsvermittlung erhöhte, jedoch nur beschränkt Mehrwertdienste anbot. Mit Voice over IP (VoIP) ist heute nun die Sprache einer von mehreren multimedialen Diensten geworden, welche verknüpft mit anderen wie beispielsweise Videokonferenzen, Television, Steuerungseinheiten etc. auf ein und demselben Medium übertragen werden.


Gefahren und Tücken der Telefonie

Wenn wir als «Sicherheit der Telefonie» den Grad der Abhörsicherheit eines Gespräches durch Dritte definieren, so gibt es drei potentielle Angriffsflächen. Jedoch unterscheidet sich bei VoIP im Vergleich zur «herkömmlichen» Telefonie nur eine davon massiv.


Zum einen gibt es den Menschen: Wie oft erwischt man sich, dass man rein durch sein Stimmorgan ein sensibles Telefongespräch mit ungeschlossener Bürotür führte und just in diesem Moment jemand mithören hätte können? Machen Sie sich Gesprächsnotizen auf Papier, das danach unumsichtig herumliegt?



Zweitens gilt es die Telefoninstallation zu beachten. Hat man Ihnen Wanzen in die Endgeräte gepflanzt? Wurde an der Telefonvermittlungsanlage (TVA) ein Aufnahmegerät angeschlossen, welches sämtliche Gespräche aufzeichnet?


Der Mensch und die lokal vorhandene Installation der Telefonie sind mit VoIP nicht sicherer, jedoch grundlegend auch nicht unsicherer geworden. Jedoch besteht bei folgendem Punkt dank VoIP ein sehr grosses Abhörpotential. Allerdings ist es genau das, was die Flexibilität und Skalierbarkeit der neuen Technologie ausmacht, die Form des Amtsanschlusses beziehungsweise des Übertragungsmediums. Nicht dass das SIP-Protokoll bei der Signalisierung unsicherer ist als ein ISDN-Anschluss. Aber auf Grund dessen, dass SIP auf dem Datennetz übertragen wird, sind die Möglichkeiten, eine solche Übertragung abzufangen und auszuwerten, massiv gestiegen. Mit einfachen Sniffern kann jeder diese Pakete im Datennetz abfangen und entsprechend auswerten, ohne zwingend Experte für Telefonie oder direkt vor Ort an der physikalischen Leitung angeschlossen zu sein.


Unverschlüsselte Kommunikation

Die zwei meistgebrauchten Signalisierungsprotokolle SIP und H.323 sind unverschlüsselt und werden als Plain-Text übermittelt. Diese Pakete enthalten sämtliche technischen Informationen über das Gespräch, wie beispielsweise die Rufnummern. Diese können im Kontext mit einer Personenüberwachung, bei der man das Telefonieverhalten genau analysieren will, interessant sein. Die Pakete vom zurzeit am meisten eingesetzten Protokoll für den Datenstream, also das Gespräch an sich, sind ebenfalls unverschlüsselt und können mit einfachsten Mitteln gesammelt und zum Beispiel als normale MP3-Datei abgespeichert und abgespielt werden.



Hier bietet sich jedoch seit längerem die Möglichkeit, diesen Datenstream mit dem Advanced Encryption Standard (AES) zu verschlüsseln. Allerdings wird das von vielen Endgeräten nicht unterstützt. Das ist bedenklich, denn unter Windows ist es bereits sehr einfach geworden, mit Programmen wie beispielsweise «Wireshark», das eigentlich für die zur Netzwerk-Analyse entwickelt wurde, solche Pakete zu sammeln.


Gespräche aufzeichnen und mithören

Anhand eines Beispiels soll aufgezeigt werden, wie das konkrete Sammeln und Auswerten von SIP- und RTP-Paketen funktioniert. Gegeben ist, dass wir uns in einem Bürogebäude eines Unternehmens mit drei Stockwerken befinden, das ein Intranet besitzt und jedes Stockwerk mit einem gemanagten Switch verbunden ist. Von dort aus geht es zu den Endgeräten. Ebenfalls muss ein DHCP-Server vorhanden sein.


Als erstes schliessen wir uns mit einem Notebook an den Switch. Beim Sammeln der IP-Pakete, was mit Wireshark recht schnell geht, sehen wir nur einen sehr bescheidenen Fluss an Daten, nämlich nur den zwischen unserem Notebook und dem angesprochenen Zielsystem, jedoch nicht den Verkehr (die Frames) der anderen Endgeräte. Das muss auch so sein, aufgrund des Layer-2-Switch.



Um nun beispielsweise an den Voice-Traffic eines Endgerätes zu kommen, braucht es also noch etwas mehr. Mit einer Mac-Flooding-Attacke auf den Switch bringt man dessen «Stack» zum Überlaufen, in dem man Tausende von Mac-Adressen auf beispielsweise 2,3 Ports gleichzeitig sendet. Der Switch geht dann in den «Bypass-Modus», da er nicht mehr managen kann, und man erhält den Zugriff auf sämtlichen Traffic, welcher über diesen Switch geschaltet wird.


Nun kann man alle gewünschten Pakete sammeln und findet auch schnell Pakete vom SIP-Typ, die gleich im Plain-Text angeschaut und interpretiert werden können. Auch der RTP-Stream ist, auf Grund der vielen Pakete, deutlich sichtbar. Er kann mittels Wireshark einfach markiert und als RAW- oder MP3-Datei auf dem PC zusammengesetzt und gespeichert werden. Mit ein wenig Zusatzprogrammierung ist es auch möglich, realtime das Gespräch mitzuhören.


Der GAU: Kompletter Datenverlust

Neben der Abhörsicherheit sind bei VoIP-Anlagen mögliche Impacts auf das vorhandene IT-Datennetz eines Unternehmens weitere Aspekte, die es punkto Sicherheit zu beachten gilt. Oftmals ist das Risikopotential enorm. Der GAU ist sicherlich der Verlust sämtlicher Daten und Strukturen. Mit einer nicht korrekt implementierten VoIP-Lösung kann man sich nämlich über einen gesnifften SIP-Account Zugang zu einem Endgerät verschaffen, das sich im Intranet des Betriebes befindet.



Oftmals sind auch Web-Konfiguratoren erreichbar, und meistens reicht ein Blick in das Manual des Gerätes, um das Standardpassword erfolgreich anzuwenden und sich Zugriff zu verschaffen. Was SPIT (Spam über das Voice-Netz, Computer, die mit mechanischen Stimmen Werbung verkaufen) betrifft, so ist die Gefahr klein, sofern man sich als Carrier einen First-Line-Telefonieanbieter aussucht.


Businesstauglichkeit von VoIP

Für die meisten Schweizer KMUs wird punkto Telefonie die Abhörsicherheit weniger gewichtet als die Sicherheit, dass Verfügbarkeit und Gesprächsqualität auf einem mit der herkömmlichen Telefonie vergleichbaren Niveau sind. Diese Verfügbarkeit und Qualität hängen direkt mit der IP-Anbindung sowie den vorhandenen CPEs (Customer Premises Equipment oder Teilnehmer-Endgeräte) und mit der beim Provider des Telefoniedienstes im Einsatz stehenden Infrastruktur zusammen.


Aus Erfahrung sind hier lediglich Anbieter in der Lage, einen solch hochwertigen Dienst anzubieten, welche vom IP-Anschluss, über den Carrier-Switch bis hin zum CPE beim Kunden sämtliche Komponenten aufeinander abgestimmt und harmonisiert haben. Oft haben in jüngster Vergangenheit hochstehende Lösungen im Bereich IP-PBXen, die beim Kunden vor Ort stehen oder gehosted werden, oder anderer Voice-Anwendungen versagt. Nicht da sie etwa schlecht gewesen wären, sondern weil beispielsweise der Carrier nicht den Produktanforderungen entsprach oder der IP-Anschluss des Kunden zu geringe oder instabile Bandbreite anbot.



Mit VoIP ist ein enormes Potential im Schweizer KMU-Markt vorhanden. Standortvernetzungen, die Nummernkreis-übergreifend sind, Auslandeinbindungen, Kostenreduktionen und die Integration mittels CTI (Computer Telephony Integration) in ERP-Systeme sind Schlagworte, welche beim Kunden den Mehrwert der IP-Telefonie schmackhaft machen. VoIP steht als grundlegend differenzierte Technologie zur Leitungsvermittlung aber erst in den Anfängen ihrer Blüte. Damit ist auch der «Hacker-Markt» noch nicht am florieren. Unter dem Strich besteht aber sicherlich ein grösseres Gefahrenpotential mit VoIP, sofern man dies falsch einsetzt, da der Impact auf die gesamte IT-Infrastruktur übergreifen kann. Bei seriöser Integration ist jedoch ein geringes Restrisiko vorhanden, was etwa der selben Sicherheitsstufe der herkömmlichen Telefonie entspricht.


Inputs für sichere VoIP-Lösungen

Soll primär mit Softclients auf Computern oder mit IP-Hardphones gearbeitet werden?
Die Erfahrung zeigt, dass der Komfort eines Hardphone aktuell gegenüber dem Softclient noch überwiegt. Der Softclient ist als gute und mobile Ergänzung dazu zu sehen. Punkto Sicherheit gibt‘s keine Unterschiede.



Soll für die Hardphone-Telefonie eine dedizierte Verkabelung verwendet werden?


Idealerweise ja, bedeutet jedoch einen Mehraufwand bei Switches, Verkabelung, Dosen etc. Wenn dieselbe Verkabelung wie für das Datennetz gebraucht wird, ist ein Hardphone mit integriertem, gemanagten Switch zu bevorzugen, der auch gleich eine minimale QoS-Funktion mit sich bringt.



Wo steht mein SIP-Server?

Einen externen SIP-Server, auf welchem sämtliche Telefone sind, sollte man mit lokaler, Internet-IP-Adresse hinter einer NAT connecten. Das bedeutet, dass die Firewall beispielsweise einen SIP-ALG (Application Layer Gateway) unterstützen sollte. Ist der Server intern und mittels eines SIP-Trunk zum Carrier verbunden, so empfiehlt es sich, den Server hinter eine Firewall zu stellen und eine öffentliche IP-Adresse zu vergeben.



Sind mehrere Standorte miteinander zu vernetzen?

VPN ist, sofern der VPN-Gateway schnell genug en- und decrypted und die Bandbreite auch noch den VPN-Overhead zulässt, zu empfehlen. Hier ist idealerweise ein VPN im Einsatz ohne Fehlerkontrolle und Paketransmission. Am einzelnen Standort empfiehlt es sich, die VoIP-Endgeräte mit der gleichen Sorgfalt wie Computer und andere Netzkomponenten zu integrieren.


Der Autor

Michael A. Birrer ist CEO und Gründer von megaBYTE Informatik und VoIP-Experte.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER