VoIP-Security ist eine Herausforderung
SIP im Fokus
Eines der Grundübel für die Angreifbarkeit von VoIP-Installationen orten viele Experten im offenen Standard des Session Initiation Protocol (SIP), das sich immer mehr durchsetzt. Dieses Protokoll ist eng mit den Web- und Mail-Protokollen verwandt und entsprechend anfällig, es hat die Bedrohungen auf der IP-Ebene quasi geerbt.
SIP dient in der Anwendungsschicht dem Aufbau, der Ablaufsteuerung und dem Beenden von Sessions mit zwei oder mehr Teilnehmern – der eigentliche Datenaustausch, das Telefonat, findet allerdings über andere Protokolle wie das Real-time Transport Protocol (RTP) statt.
Beim Aufbau einer SIP-Verbindung sendet der Anrufer eine «Invite»-Nachricht an einen SIP-Proxy, der diese an die im Location-Server hinterlegte IP-Adresse des Angerufenen weiterleitet. Unmittelbar danach kann die Kommunikation beginnen, und zwar über per SIP zufällig ausgehandelte Ports.
Für gesicherte Netzwerkgrenzen ist bereits dieser Datenaustausch auf «zufälliger» Basis ein Problem: Für SIP- und RTP-Verbindungen gibt es keine festen IP-/Port-Kombinationen, weshalb die Firewall dynamisch auf die Kommunikationsanforderungen mit ständig unterschiedlichen Ports reagieren können muss, um nicht zu weit geöffnet werden zu müssen. Auch die Problematik mit allfälligen Network Address Translations (NAT) an der Perimetergrenze muss gelöst werden.
VPN ist keine Lösung
Im SIP-Standard sind bereits verschiedene Sicherheitsmechanismen vorgesehen respektive integriert. So gibt es etwa eine grundlegende Authentifizierung und Autorisierung für Anwender und Proxies per Digest Authentification. Auch Signatur- und Verschlüsselungsmöglichkeiten für die Nachrichten sowie ein Tunneling-Modus für die SIP-Header ist per S/MIME vorgesehen. Dafür wird allerdings eine Public-Key-Infrastructure (PKI) vorausgesetzt.
Auch für die eigentliche Kommunikation zwischen den Teilnehmern liegt mit dem Secure Real-time Transport Protocol (SRTP) eine sichere Lösung vor. Allerdings werden all diese Mechanismen bisher nur von wenigen Herstellern in ihren Produkten implementiert, weil sie auch mit verschiedenen Nachteilen behaftet sind.
Statt dessen setzt die Industrie auf die Absicherung der Transportschicht, und zwar per Virtual Private Networks (VPN) über IPSec. In der Tat ist die Kommunikation durch einen solchen VPN-Tunnel gegen eine Vielzahl potentieller Angriffe geschützt und damit recht sicher. Andererseits wird dadurch der Kreis möglicher VoIP-Kommunikationspartner stark eingeschränkt – in Frage kommen nur noch Teilnehmer, die ebenfalls ans VPN angeschlossen sind.
Die Sprachkommunikation über VPN ist damit höchstens für in sich geschlossene Gruppen sinnvoll, als Ersatz für die herkömmliche Telefonie kommt sie nicht in Frage. Kommt dazu, dass innerhalb eines VPN keine Transportschicht-Sicherheit mehr möglich ist und die Kommunikation deshalb für Angriffe anderer VPN-Teilnehmer offen ist.