VoIP Sicherheit & VoIP Audits
Sichere Telefonie in zukunftsweisenden Netzen
Ihre Herausforderung
- Abhörsichere Kommunikation im IP-Netz implementieren
- Angriffe auf die VoIP-Infrastruktur abwehren
- Optimierung Ihrer VoIP bzw. SIP basierten Umgebung
VoIP Lösungen bieten viele an. Die VoIP Sicherheit wird dabei oft stark vernachlässigt.
Telefonieren über IP-Netze (Voice over IP) findet immer stärkere Verbreitung. Gerade Themen wie Zentralisierung und Kostenersparnis sind einige der Hauptargumente für die IP-Telefonie, die zunehmend auch im geschäftlichen Umfeld Einzug hält. Wie bei jeder anderen neuen Technologie, gibt es auch in Bezug auf die Sprachdatenübertragung per IP-Protokoll schwerwiegende sicherheitsrelevante Bedenken.
Man muss sich im Klaren sein, dass Sprachdaten über IP-Netze übertragen werden, für die in praktisch unbeschränktem Umfang Analyse bzw. Abhörwerkzeuge kostenlos und für jedermann zur Verfügung stehen. Somit unterliegt Sprachkommunikation allen klassischen Gefahrenquellen eines IP-Netzes. Es müssen also IT-Sicherheitsmaßnahmen implementiert werden, die zumindest Vertraulichkeit (i. d. R. durch Verschlüsselung) und Authentizität (i. d. R. durch PKI Verfahren) sichern. Ebenso kann es erforderlich sein, den Zugang zum Telefonnetz durch Netzwerkauthentisierung (802.1x, etc.) abzusichern, um Angriffe zu vermeiden.
Darüber hinaus besteht die Möglichkeit einer Art von VoIP-Spam, auch SPIT (Spam over Internet Telephony) genannt. Grund hierfür sind die geringen Kosten einer VoIP-Verbindung.
Auch das oftmals eingesetzte SIP-Protokoll kann ebenso nicht in allen in der Praxis anzutreffenden Formen als hinreichend sicher betrachtet werden. Das SIP-Protokoll verfügt zwar über Sicherheitsfunktionen (bspl. Call-IDs auf der Basis von Hashes), jedoch besteht auch die Gefahr eines DoS-Angriffs.
Aus technischer und organisatorischer Sicht stehen geeignete Sicherheitsmaßnahmen zur Verfügung. Diese sollten bereits bei der Produktauswahl berücksichtigt werden, denn die auf dem Markt verfügbaren Produkte weisen ein breites Spektrum an Sicherheitsfunktionen auf, und Sicherheit muss ein maßgebliches Kriterium für die Entscheidung zugunsten eines Produktes sein. Auch sollte bei der Auftragsvergabe an VoIP-Lösungsanbieter auf deren nachweisliche Kompetenz geachtet werden. Derzeit tummeln sich viele Firmen in diesem neuen Markt, die selten die Technologie im Detail kennen, sondern nur den schnellen Umsatz suchen.
Nachfolgenden möchten wir Ihnen einen Einblick in Risikien bei VoIP geben.
Mögliche Bedrohungen bei VoIP
- Angriff auf IPSec Verbindungen
- DoS Angriffe auf VoIP Gateways und Session Border Controller
- Spam Anriffe auf VoIP Gateways oder VoiP Clients
- Premium Rufnummern Attaken (0900 usw.)
- Identitätsdiebstahl von VoIP Rufnummern, Client u. PBX-Provider Accounts
- Mithören von VoIP Gesprächen
- Kein Einsatz von SIPS und ZRTP zur Erhöhung der Sicherheit
- Kein Einsatz von VoIP VLAN (Switching, Routing, Firewalls)
- Schelchte Sicherheit für DLS Umgebungen und User-Management, insbesondere fehlende Token Authentifizierung innerhalb der Systeme und Admin-Zugänge
- Kein Einsatz von Systempasswörtern bei Clients, Authentifizierung, PBX-System, usw.
- Kein Schutz der SoftPhones hinsichtlich Viren und schadhafter Drittsoftware (Sprachaufzeicnung, Überwachung, Weiterleitung von CTI bzw. UC Informationen)
- Kein Schutz vor Re-Routing von IPSec Verbindungen durch unsichere Netze bzw. transparente Proxys
- Manipulation an Session Border Controller
- u.v.m.