Brian Jackson - Fotolia

Mit diesen fünf Tipps verbessern Sie die VoIP-Sicherheit

Für bestmögliche VoIP-Security sollten Sie die Voice Gateways isolieren. Sie können Firewalls und Verschlüsselung des Traffics einsetzen.

Sogenannte Voice Gateways sind für jeden Unified Communications Service (UCS) zwingend erforderlich, der sich über VoIP-Netzwerke (Voice over IP) zu den Telekommunikations-Providers und analogen Geräten verbindet. Die Konfiguration eines Voice Gateways ist möglicherweise unkompliziert. Die IT-Sicherheit in diesem Zusammenhang steht allerdings auf einem anderen Blatt.

Unglücklicherweise steht Sicherheit für Voice Gateways bei vielen VoIP-Technikern nicht im Fokus. Das gilt häufig auch für IT-Abteilungen und in einigen Fällen sogar für UC-Anbieter (Unified Communications). Als Unternehmen angfingen, VoIP-Technologie vermehrt einzusetzen, genoss Security keine Priorität in diesem Bereich. Das änderte sich erst, als unautorisierte Anrufe mehrere tausend Euro Schaden anrichteten. VoIP-Sicherheit stand dann sehr schnell auf der Agenda der Firmen.

Voice Security ist ungemein komplex. Viele Anbieter nutzen Ihre Voice Gateways als Terminierung für die VoIP-Trunks der Telekommunikations-Provider oder die VoIP-Anwendungen der mobilen Mitarbeiter. Weiterhin werden damit Sprachsitzungen zwischen Endgeräten transkodiert. Wollen Sie so eine anspruchsvolle Umgebung absichern, trägt das zur Komplexität bei.

Erschwerend kommt hinzu, dass Sie bei der Voice Security mehrere VoIP-Protokolle absichern müssen. Dazu gehören SIP, MGCP, H.323 und Ciscos proprietäres Protokoll SCCP (Skinny). Jedes davon bringt seine eigene Geschichte im Hinblick auf Sicherheitsprobleme mit sich.

Nehmen wir an, ein Unternehmen hat es mit einem Netzwerk zu tun, über das mehrere VoIP-Protokolle laufen. In diesem Fall müssen die Administratoren sicherstellen, dass das Netzwerk angemessen gepatcht ist. Zusätzlich muss es vor Hacking-Angriffen via VoIP und anderen Gefahren geschützt sein.

Folgend finden IT-Administratoren und Voice-Techniker hilfreiche Tipps, wie Sie wichtige und oft vergessene Bereiche beim Thema Voice Security unter Kontrolle haben.

1. Isolieren Sie das Voice Gateway und das Voice-Netzwerk

Voice Gateways und der Rest der Voice-Infrastruktur müssen von anderen Netzwerken isoliert sein. Platzieren Sie das Voice Gateway in ein anderes VLAN (Virtuelles Local Area Network), dann hilft das wenig, sollte der Rest des Netzwerks uneingeschränkten Zugriff darauf haben. Es müssen Sicherheitsmaßnahmen vorhanden sein, die den Zugriff auf Voice einschränken. In der Regel ist eine Firewall dafür zuständig.

Zugriffslisten (Access Lists) können auf Ebene des Voice Gateways als zweite Schutzschicht implementiert werden. Damit limitieren Sie Zugriffe von extern und intern lediglich auf bekannte IP-Adressen.

2. Patchen Sie Ihr Voice Gateways

Stellen Sie sicher, dass sich alle von Ihnen eingesetzten Gateways immer auf dem aktuellen Stand befinden. Administratoren müssen die neueste Software und entsprechende Patches einspielen. Folgen Sie aus diesem Grund den Anweisungen des Voice-Gateway-Anbieters und prüfen Sie regelmäßig auf Security Updates. Auf diese Weise vermeiden Sie den Betrieb eines nicht gepatchten Gateways.

Sobald neue Angriffe erkannt und gemeldet werden, gibt es von den Anbietern meist kurz darauf entsprechende Patches. Danach liegt es an den Administratoren, dass diese Flicken so bald wie möglich auf den Systemen eingespielt werden. So verhindern Sie Einbrüche.

3. Setzen Sie auf neue Technologie oder Next-Generation Firewalls

Wollen Sie den VoIP-Traffic auf Firewall-Ebene absichern, ist das eine große Herausforderung. In den meisten Fällen werden Unternehmen ihre VoIP-Infrastrukturen hinter einer Firewall platzieren, die nicht VoIP-aware ist. Gute Beispiele dafür wären veraltete Firewall Security Appliances, die VoIP-Traffic nicht angemessen identifizieren können. Somit sind sie nicht in der Lage, verdächtige Traffic-Muster zu erkennen oder Voice-Hacking-Versuche abzuwehren.

Das unterstreicht auch die Wichtigkeit, Firewall-Firmware und Software immer auf dem aktuellen Stand zu halten. Alternativ können Sie auch neuere Generationen an Firewall-Systemen einsetzen, die VoIP-Traffic inspizieren und Voice-Hacking-Versuche erkennen können.

Firewall Security hat in den vergangenen Jahren große Fortschritte gemacht. IDS (Intrusion Detection System) und Firewall-Technologie werden in einer einzigen Appliance angeboten. Ein prominentes Beispiel ist Ciscos ASA 5500-X mit FirePOWER Security, womit Sie Advanced Threat Detection nutzen können. Interessante Alternativen sind Firewall Security Appliances von Palo Alto Networks.

Bei neueren Firewall-Systemen gibt es praktisch keine Verzögerungen bei der Inspektion auf Paketebene. Das liegt an verbesserter Software und 64-Bit-Architekturen. Traffic lässt sich wesentlich schneller verarbeiten und Verzögerungen oder Latenz sind vernachlässigbar.

4. Limitieren Sie VoIP-Protokolle und Service am Voice Gateway

Ein Voice Gateway ist in der Lage, eine ganze Reihe an Services zur Verfügung zu stellen. Dazu gehört Unterstützung für verschiedene VoIP-Protokolle und die Terminierung von mobilen VoIP-Clients ist möglich. Wir tendieren oftmals dazu, die gewünschten Funktionen oder Protokolle zu konfigurieren, ohne den Rest zu deaktivieren. Das sind potenzielle Angriffsflächen, die VoIP-Netzwerke möglicherweise zu einfacheren Opfern von Voice-Hacking-Versuchen machen.

Als Maßnahme sollten Sie nur die notwendigen Protokolle und Funktionen aktivieren. Alle anderen Services und Protokolle sind abzuschalten. Anbieter stellen oft Anweisungen zur Verfügung, wie Sie unerwünschte Services deaktivieren. Auf diese Weise limitieren Sie die Services, die auf dem Voice Gateway in Betrieb sind. Sie verbessern damit auch die allgemeine Stabilität und sparen wertvolle Ressourcen.

5. Verschlüsseln Sie den VoIP-Traffic

Das Verschlüsseln von VoIP-Traffic ist nichts Ungewöhnliches. Allerdings gilt es immer noch nicht als vorgeschriebene Security-Praxis in Unternehmen. Natürlich bringt das Verschlüsseln der VoIP-Streams zusätzliche Komplexität ins Spiel. Allerdings ist diese Maßnahme auch ein nicht zu unterschätzender Schutz gegen Lauschangriffe und das Hijacking von VoIP-Anrufen. Verschlüsselung hilft auch gegen SIP-Angriffe, die wiederum zu Gebührenbetrug führen können. So ein erfolgreicher Angriff mit nicht autorisierten Anrufen kann schnell mehrere Tausend Euro kosten.

Unverschlüsselter VoIP-Traffic ist eine Einladung auf dem Silbertablett für böswillige Hacker, um nicht autorisierten Zugriff auf Ihre VoIP-Infrastruktur zu bekommen. Das gilt vor allen Dingen für WAN-Verbindungen. Verschlüsselung von VoIP ist noch wichtiger, wenn der Traffic durch öffentliche, unsichere Netzwerke wie zum Beispiel das Internet läuft. In solchen Fällen sollten Voice Gateways unbedingt VoIP-Verschlüsselung einsetzen, damit der entsprechende SIP-Trunk zum Telekommunikations-Provider angemessen terminiert ist.

Unternehmen sollten sich für eine Security Policy entscheiden, die eine Nutzung von SIP-Providern unterbindet, die keine SIP-Verschlüsselung unterstützen. Setzen Sie auf so eine Richtlinie, erspart das jede Menge Probleme und Kopfschmerzen.

Voice Gateways sind in der Regel die primären Ziele von Angreifern innerhalb der VoIP-Infrastruktur. Oftmals werden solche unsicheren Umgebungen in Kauf genommen, da die Konfiguration bequemer ist. Sollten Sie noch keinen Sicherheits-Check der Voice Gateways in Ihrem Unternehmen durchgeführt haben, dann holen Sie das nach. Versichern Sie sich, dass die Komponenten bestmöglich geschützt sind.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Checkliste für mehr SIP-Sicherheit: SIP Trunks absichern.

So funktioniert Betrug mit Voicemail Phishing.

Bösartigen Traffic in VoIP-Netzwerken mit Wireshark erkennen.

Fünf Methoden für eine robuste VoIP-Infrastruktur.

Artikel wurde zuletzt im August 2016 aktualisiert

Erfahren Sie mehr über Unified Communications

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close