Freitag, 12. März 2010
Voice over IP ist längst kein Thema mehr nur für technikverliebte Admins: Jede moderne Telefonanlage ist VoIP-fähig. Doch bevor man zum IP-Telefon greift, sollte man sich um die Sicherheit kümmern.
Risiko bei IP-Telefonaten
Der Satz ist eine Binsenweisheit und leuchtet allen IT-Verantwortlichen sofort ein: IT-Systeme müssen vor Angriffen geschützt werden, um Datenverluste und Produktivitätsausfälle zu verhindern. Firewalls, Intrusion-Detection-Systeme und seit Neuestem auch Data-Leakage-Prevention-Produkte sind allgegenwärtig. Dass moderne, VoIP-fähige Telefonanlagen aber ebenfalls Schutz benötigen, wird oft übersehen.
So belegt der »Infrastructure Security Report« des IT-Security-Herstellers Arbor Networks, dass lediglich 21 Prozent aller Internet-Provider spezielle Sicherheitsmechanismen vorhalten, um ihre Kunden gegen VoIP-Attacken zu schützen. Gleichzeitig erwarten die Autoren des »Emerging Cyber Threats Report for 2009« aber ähnlich gewaltige Angriffe über und gegen VoIP-Infrastrukturen, wie sie E-Mail-Systeme seit Jahren aushalten müssen.
Ohnehin sollte der Absicherung der Telefonie per Voice over IP besondere Aufmerksamkeit gewidmet werden. Klassische Telefonanlagen mussten meist nicht gegen unberechtigtes Abhören von Gesprächen geschützt werden: Lauschangriffe von innen heraus waren technisch aufwändig, so dass zumindest durch die eigenen Mitarbeiter kaum Gefahren drohten. Wenn die Gespräche zwischen Telefonanlage und Provider abgehört wurden, dann waren entweder Profis oder Strafverfolger am Werk und vor diesen
Berufsgruppen gibt es ohnehin kaum Schutz.
VoIP-Telefonate sind unverschlüsselt
VoIP hingegen muss sich einer ganz anderen Bedrohungslage stellen. Denn VoIP-Anlagen setzen meist auf die Protokolle SIP (Session Initiation Protocol) und RTP (Real Time Protocol). Beide übertragen die Daten unverschlüsselt. Ein ARP-Spoofing-Tool und ein Netzwerkscanner genügen, um den VoIP-Datenstrom abzufangen und in hörbare Soundfiles umzuwandeln. Prinzipiell könnte also jeder Mitarbeiter im internen Netz beliebige Telefonate im Unternehmen belauschen und mitschneiden – ein untragbarer Zustand.
Nur 21 Prozent der Internet-Provider schützen ihre Kunden vor VoIP-Attacken. Das hat eine Studie von Arbor Networks herausgefunden.
Dieser Gefahr werden IT-Verantwortliche auf verschiedene Arten Herr. So sollten VoIP-Anlage und -Endgeräte stets in einem physikalisch von den Clients (Notebooks, PCs) getrennten IP-Netzwerksegment untergebracht werden. Dann läuft die ARP-Spoofing-Attacke ins Leere, da sie nur im gleichen IP-Subnets funktioniert. Eine Alternative zur getrennten Verkabelung sind VLANs. Dadurch trennt der Ethernet-Switch die Sprach- und Datennetze sauber voneinander.
Endgeräte und Anlage aus einer Hand
Darüber hinaus müssen die VoIP-Daten in jedem Fall verschlüsselt werden. Dies funktioniert dann, wenn Endgeräte und Anlage aus einer Hand stammen. Zwar gibt es standardisierte Verschlüsselungstechniken wie S-RTP (Secure RTP), aufgrund von unterschiedlichen Implementierungen des Standard durch die verschiedenen Hersteller kommt es in der Praxis aber immer wieder zu Kompatibilitätsproblemen.
Unabdingbar ist, dass alle Endgeräte die Verschlüsselungstechnik beherrschen (End-to-End), da die Geräte während der Unterhaltung direkt per RTP miteinander kommunizieren. Die Telefonanlage schaltet sich nur zum Gesprächsauf- und -abbau ein und kann während der Unterhaltung keine Sicherungsmechanismen bieten.
Mehr zu VoIP
AKTUELLE TAGS
IT FRONTAL - DAS ITU BLOG
| Übersicht
SERVICES
Kontakt | Datenschutzerklärung | AGB | Anbieter | Impressum | NetMediaEurope Deutschland
Web Testticker | PC Professionell | Internet Professionell | IT im Unternehmen | Channel Insider | eWEEK europe | The Inquirer | Gizmodo | Downloads
Kundenservice Newsletter
NetMediaEurope Deutschland Mediadaten
| Über NetMediaEurope Deutschland
NetMediaEurope Deutschland GmbH © 2010 All rights reserved. Part of NetMediaEurope
