Sicheres Voice over IP
Mit der Entscheidung vieler Unternehmen für Voice over IP (VoIP) scheint die neue Technologie endlich Fuß gefasst zu haben. Dennoch besteht teilweise die Furcht vor Sicherheitsrisiken, die Organisationen und Unternehmen von diesem Schritt abhält. In wie weit ist diese Angst begründet? Welche Voraussetzungen müssen im Netzwerk gegeben sein, um die unausweichliche Einführung von VoIP sicher zu gestalten?
Die Entscheidung für VoIP geht meist einher mit der Entscheidung für Konvergenz: Mittlerweile kommen immer mehr Video over IP (Sicherheitskamera, Gebäudeüberwachung), Gebäudekontrollen (Sensoren, Fahrstuhlsteuerungen etc.), Process Control-Systeme und Storage over IP (iSCSI)-Lösungen zum Einsatz. Die Abhängigkeit von einer sicheren und verfügbaren IT-Infrastruktur steigt damit stetig. Das Netzwerk als Herzstück dieser Infrastruktur wird zum entscheidenden Wettbewerbsfaktor.
Gefahren in konvergenten Netzwerken
Das Netzwerk wird noch mehr zum Kern der gesamten Unternehmenskommunikation und muss entsprechend verfügbar sein. Im Gegensatz zu einer getrennten Sprach- und Datenwelt, in der die Gesamtverfügbarkeit als ‚Parallelschaltung‘ der beiden Netze berechnet werden kann ist in einem konvergenten Netz die Gesamtverfügbarkeit nur noch in einer ‚Reihenschaltung‘ zu berechnen. Hier bestimmt dann das schwächste Glied in der Kette die Gesamtverfügbarkeit des Systems. Zusätzlich ist VoIP durch die Verwendung von IP wesentlich anfälliger für Angriffe gegenüber den traditionellen TDM (Time Division Multiplexing) Telefonie-Netzen, die verbindungsorientiert, ohne Broadcast-Mechanismen und mit meist proprietärer Betriebssystem- sowie proprietärer Steuerungssoftware, ausgestattet sind. VoIP hingegen basiert auf einem IP-Netz, das durch das Protokoll selbst und die gleichzeitige Verwendung des Netzes für Datendienst den gängigen Hacking-Tools und -Angriffen (Würmern etc.) ausgesetzt ist. Die Tools der Scriptkiddies können direkt angewendet werden fast alle VoIP-Server (Gateways, Communication Server) setzen auf Standard-Betriebssystemen wie Windows und Linux auf.
Im Allgemeinen sind folgende Probleme zu erwarten:
– Denial of Service (DoS)-Attacken auf VoIP-Server und IP Phones Angriff auf Erleben Sie Licht in neuer, farbiger Vielfalt. Mit dem DALI Gateway Colour für KNX steuern Sie DALI-Leuchten zentral und flexibel, individuell und vielseitig, um das Wohlbefinden gezielt zu steigern und eine besondere Atmosphäre zu schaffen. ‣ weiterlesen
Sprachkommunikation
– Call Interception Mitlesen von Sprachpaketen
– Signal Protocol Tampering Manipulation von Gesprächen
– Presence Theft Vortäuschen eines Benutzers
– Toll Fraud Unerlaubtes Aufbauen von Gesprächen
– Call Handling OS Attacks Angriffe auf das Betriebssystem, auf denen die VoIP-Dienste laufen
Intelligentes Lichtmanagement.
Natürlich müssen ’nebenbei‘ auch die Themen Quality of Service und Zuverlässigkeit im Allgemeinen adressiert sein. Es muss wie im Datenbereich auch ein mehrstufiges Sicherheitskonzept greifen, dass sowohl auf VoIP-Applikationsebene agiert (Verschlüsselung, Authentifizierung und Autorisierung, Schutz der Integrität, Schutz gegen Man in the Middle-Attacken) als auch das Netzwerk selbst sicher und verfügbar macht. Hierbei sind sowohl die Endgeräte als auch die Serversysteme genau zu analysieren. Eine Verschmelzung von Daten- und VoIP-Sicherheit ist ein Muss, um unnötige Mehrkosten zu vermeiden. Wie auch im traditionellen IP-Datennetz sollten Lösungen zum Schutz gegen Denial-of-Service-Angriffe, ARP Cache Poisoning, Broadcast Storms und ARP Flooding eingesetzt werden. Außerdem sollte ein Patch-Management der VoIP-Geräte und Server sowie das Abschalten von Standard-Passwörtern und Remote-Management-Zugriffen selbstverständlich sein. Die zentralen Komponenten sollten durch SIP fähige IPS und Firewall-Systeme geschützt werden. Hierbei ist auf eine entsprechende Performance, die Unterstützung für dynamische Ports des RTP Streams und auf das Thema Delay zu achten. Zusätzlich ist ein guter Denial of Service-Schutz (Stichwort: SIP Invite Floods etc.) in dieser Ebene zu implementieren. Insbesondere aber die geforderte Trennung von Daten, Sprache und sonstigen Diensten im Access-Bereich des Netzes stellt Administratoren vor große Herausforderungen. Eine Sicherheitstechnologie in aller Munde nämlich Network Access Control (NAC) bietet sich auch für VoIP-Lösungen an: Aber nur, wenn die richtige NAC-Technologie verwendet wird. Aktuell tummeln sich über 35 Hersteller in diesem Markt und die Zahl wächst fast täglich. Darunter sind auch einige der etablierten Player sowohl aus aus dem Netzwerk als auch aus dem Security-Markt. Man kann davon ausgehen, dass eine NAC Lösung aus Komponenten beider Lager bestehen wird. Verschiedenste Ansätze kursieren am Markt, speziell für VoIP muss der Anwender daher ganz genau hinschauen.
Definition von NAC
Im Allgemeinen kann man NAC als eine benutzerfokussierte Technologie beschreiben, die ein genutztes Endgerät autorisiert und Zugriffe auf Ressourcen gewährt. Dies läuft auf der Basis der Authentisierung der Identität des entsprechenden Benutzers (oder/und Gerätes) sowie auf dem Status des Gerätes im Hinblick auf sicherheitsrelevante Parameter und Einstellungen ab: die sog. Compliance mit entsprechenden Unternehmensvorgaben. Diese Parameter werden im sog. Pre-Connect-Assessment ermittelt, d.h. vor Anschluss an die Infrastruktur. Es sollte aber auch im laufenden Betrieb eine Überprüfung erfolgen, welche dann als Post-Connect-Assessment bezeichnet wird. Teilweise wird auf den einen oder anderen Baustein im Rahmen einer Implementierung auch verzichtet je nach Kundenanforderung. Ein Prozess zur Wiederherstellung der Compliance, der Remediation, ist hier ebenfalls enthalten. Dies gilt für alle Endgeräte und Nutzer am Netz, d.h. eigene Mitarbeiter, Partner, Gäste, Kunden und sonstige Geräte wie Drucker, Videokameras etc.
NAC die Steps
Generell besteht NAC aus fünf Schritten: Detection, Authentication, Assessment, Authorization und Remediation des jeweiligen Systems. Der Detection und Authentication aller am Netz angeschlossener Systeme kommt hier eine zentrale Bedeutung zu. Da man nie von einer reinen 802.1x Umgebung (insbesondere auch noch bei vielen VoIP Phones) ausgehen kann, sollte der Access Switch diverse Authentisierungsmethoden gleichzeitig pro Port unterstützen (z.B. PCs, IP-Phones, Drucker, Sicherheitskameras, externe Personen, Besucher etc.) ansonsten wird eine Implementierung von NAC nahezu unmöglich. Es sollten auch mehrere Geräte pro Port unterstützt werden (u.a. für MiniSwitches, PC/Phone in Reihe etc.), die auch unterschiedliche Policies haben dürfen wie z.B. bei Enterasys die Multi-User Authentication and Policy (MUA+P)-Funktion. Im Rahmen der Autorisierung sollten dann Sicherheits- und QoS-Policies automatisch zugewiesen werden. Damit ist eine präzise, sicherheitsrelevante Teilung der Endsysteme bzw. ein Zuweisen von entsprechenden Service-Qualitäten möglich ohne den Administrationsaufwand zu erhöhen.
Die Policies pro Endsystem können
bestehen aus
– VLAN-Zuweisung
– ACL(Access Control Lists)- Zuweisung
– Prioritätszuweisung (Quality of Service)
– Rate Limiting
sowie eine Zusatzklassifizierung auf OSI Layer 2/3/4 zur Unterscheidung von beispielsweise Protokollen, IP Subnetzen, DiffServ Signalisierung und Applikationen pro Benutzer. Diese Funktion bietet die Möglichkeit, ohne VLANs Nutzergruppen und VoIP voneinander im gleichen Subnetz zu trennen. Der Entfall einer VLAN-Struktur bietet einen geringeren Administrationsaufwand und wesentliche Verbesserungen in der Netzstruktur, da keine Layer2/VLAN-Dienste über das gesamte Netz gebridget werden müssen. Die Skalierbarkeit großes gebridgeter Layer 2-Netz ist begrenzt. Auch wenn Daten und VoIP VLAN mäßig getrennt wird, bietet diese Technik den Vorteil der selektiven Separierung untereinander. Die Überprüfung des Clients vor Anschluss an die Infrastruktur und auch dessen regelmäßige Prüfung löst nur einen Teil des Sicherheitsproblems. Ein völlig konformes Endsystem kann dennoch nicht-autorisierte Aktionen in der Infrastruktur vornehmen. Diese müssen auch erkannt werden und im gleichen Prozess enden wie eine Identifikation eines Problems bei/vor Anschluss and die Infrastruktur. Die Funktion ist eine IDS/IPS ähnliche (in Verbindung mit Anomalie-Erkennung), die von den NAC Inline Appliance Herstellern fokussiert angeboten wird. Dieses Post Connect Assessment eignet sich gut auch für VoIP- Umgebungen, da ein VoIP-Phone damit ohne Agent überwacht werden kann und die Kommunikation eines Phones typischerweise sehr strukturiert ist und wenige Applikationen nutzt.
Zusammenfassung
Sicherheit in konvergenten Netzen ist wie die Sicherheit generell ein mehrstufiges Konzept. Die Netz-Infrastruktur an sich muss redundant, sicher und in der Lage sein, auch Bandbreiten zu garantieren. Nur dann kann eine konvergente Lösung auch funktionieren. Das entbindet den Anwender aber nicht davon, sowohl auf Applikations- als auch auf Organisationsebene weitere Sicherheitsfunktionen zu implementieren. Denn nur ein mehrstufiges Sicherheitskonzept ist ein effizientes und wirksames Konzept. Die Lösung von Enterasys zum Beispiel ist hier absolut herstellerunabhängig und ermöglicht so die erfolgreiche Implementierung beliebiger VoIP-Lieferanten. So wie es auch für jede andere IT Applikation sein sollte.
