Sicherheit in VoIP- und uC-Netzwerken

AudioCodes
Sicherheit in VoIPund UC-Netzwerken
Weltweit folgen Unternehmen dem wachsenden Trend, ihre herkömmlichen TDM-basierenden Telefonsysteme in Unified Communications-Netzwerke (UC) umzuwandeln. Was
es dabei in puncto Sicherheit zu bedenken gibt, erklärt Eric Steger.
Gastbeitrag
D
ie Umstellung auf IP-Technologie
bietet viele Vorteile, doch birgt sie,
vor allem in puncto Datensicherheit, auch einige Risiken. Im Gegensatz zu
TDM-Netzwerken und deren Separierung
von Telefon- und Datennetz, sind die VoIPNetzwerke meist über mehrere potentiell
unsichere Schnittstellen mit anderen Netzwerken verbunden. Ein fehlerhaft konzipiertes VoIP-Netzwerk ist vielfachen Bedrohungen, wie z.B. DOS (Denial of Service)Attacken, Betrug, Viren, Lauschangriffen
und sogar Spamanrufen ausgesetzt. Es gibt
allerdings Lösungsmöglichkeiten, basierend auf einer korrekten Umsetzung, eine
reibungslose Implementierung von VoIPund UC-Diensten ohne Netzwerksicherheitskompromisse sicherzustellen.
Der Autor Eric
Steger ist Director
of Sales DACH bei
AudioCodes
VoIP-Netzwerk-Schwachstellen. Herkömmliche Unternehmenstelefonie hatte
ein hohes Niveau der Datensicherheit. Um
etwa Telefonate abzuhören oder abzufangen, musste man physikalischen Zugang
zum Netzwerk haben. IP-Netzwerke sind
mittels offener Standardprotokolle mit dem
Internet verbunden. Hackern wird somit
potentiell der Zugriff auf höchst vertrauliche Informationen ermöglicht. Durch den
Wechsel von TDM zu VoIP wird Sprache
zu einem weiteren Dienst, der über das IPNetzwerk abgewickelt wird und somit den
gleichen Gefahren ausgesetzt ist wie jeder
andere Datendienst, z.B.:
■■
Denial of Service (DOS) – Netzwerküberlastung durch Anrufe oder Serviceanfragen
Lauschangriff – Sprache in Paket-
■■
36
it&t business 11/2011
form über das Netzwerk transferiert wird
abgehört
Betrug – illegale Benutzung des
VoIP-Netzwerks, z.B. auf Kosten eines legitimen Nutzers telefonieren
VoIP Spam – analog zu Emails können VoIP-Netzwerke durch unerwünschte
Anrufe oder Sprachnachrichten attackiert
werden.
■■
■■
VoIP-Netzwerkschutz. Der Datenverkehr
innerhalb von VoIP- und UC-Netzwerken
ist in drei unterschiedliche Ebenen unterteilt, jede benutzt ihr eigenes Protokoll:
■■
■■
■■
Call Control: hauptsächlich SIP
Media: RTP
Management: SNMP, HTTP, Telnet,
RADIUS etc.
Um die Sicherheit in einem Netzwerk
zu erhöhen und Gespräche vor Bedrohungen zu schützen, kann der Datenverkehr
auf diesen Ebenen durch Protokollverschlüsselung zwischen den Endpunkten
geschützt werden. Jede Ebene hat einen
eigenen Schutzmechanismus, z.B. SIP/TLS
für Call Control, SRTP für Media, SNMP v3
für Management. Alle Komponenten eines
VoIP-Firmennetzwerks werden so eingesetzt, dass die Sicherheitsmaßnahmen
unterstützt werden können.
Demarkationspunkte. Ein wichtiger Punkt
zum Schutz des Netzwerks sind die Demarkationspunkte zwischen „vertrauenswürdigen“ (vom Unternehmen kontrollierten)
und „nicht vertrauenswürdigen“ Domains,
normalerweise die Aufgabe von Firewalls.
Für VoIP jedoch bieten herkömmliche, auf
OSI Layer 3 operierende Firewalls nicht
genügend Schutz. Das SIP-Protokoll beispielsweise, das meistens zur Kontrolle
von VoIP-Anrufen benutzt wird, transportiert Daten, die von einer StandardFirewall nicht analysiert werden können,
die aber wichtig für die Anruflegitimation
sind. Um diese Daten zu kontrollieren und
entsprechende Aktionen einzuleiten, wird
ein spezieller Enterprise Session Border
Controller (E-SBC) benötigt, welcher in der
Application Layer eines Netzwerkes zum
Einsatz kommt. Protokoll-Mediation und
Media-Transcoding sind zwei von vielen
Aufgaben des E-SBC, um die Interoperabilität zwischen VoIP- und TDM-Technologie
zu erleichtern. Der E-SBC bietet essentielle Sicherheitsfunktionen wie z.B. Call
Admission Control, Schutz vor DOS-Attacken, Topology Hiding (d.h. Verbergen der
internen Struktur eines VoIP-Netzwerkes)
und die Verschlüsselung von Singnal- und
Mediastreams.VoIP-Produkte von Firmen
wie AudioCodes unterstützen eine Vielzahl
von Sicherheitsfunktionen, einschließlich der Verschlüsselung des Media- und
Signalverkehrs. Die skalierbaren E-SBC
gewähren Schutz vor einer großen Anzahl
von Angriffen, und machen sie somit zu
wichtigen Elementen jedes VoIP-Netzwerkes in Unternehmen. AudioCodes
www.audiocodes.com