Embed Size (px)
Citation preview
1. Netzwerk trifft VoIP
Während analoge und ISDN-Telefonanlagen mit dem öffentlichenTelefonnetz verbunden und aus demInternet nicht erreichbar sind, sind IP-Telefonanlagen über das lokaleNetzwerk oder direkt über das SIP-Protokoll mit dem Internet verbunden.
Falls die TK-Anlage über das SIP-Protokoll mit einem Telefonieanbieter(ISP) verbunden ist, sollte sie übereine Firewall auf das Internetzugreifen. Doch selbst wenn die IP-Telefonanlage über keine direkteInternetverbindung verfügt, ist sieweiterhin an ein lokales Netzwerk(LAN) angeschlossen und darüberangreifbar. IP-Endgeräte sind vonjeder Stelle aus dem Netzwerkerreichbar. Zudem ermöglichenNetzwerkswitches mit Management-funktionen das Abhören von einembeliebigen Punkt im LAN, undServicezugänge einiger Router dasAbhören aus dem Internet. Falls eseinem Angreifer gelingt, in das LAN
einzudringen, kann er auch die IP-Telefonanlage angreifen. Daher ist esdringend ratsam, alle IP-Endgeräte unddie Wege zum Router, ISP und denEndgeräten bestmöglich zu schützen.
Eine weitere Möglichkeit, von der wirabraten, ist dass die IP-Telefonanlagedirekt mit dem Internet verbunden istund eine öffentliche IP-Adresse hat,oder für sie in der Firewall bestimmtePorts geöffnet wurden. Dieser Fall trifftmeist auf, wenn sich externe Telefoneüber das Internet mit der Anlageverbinden sollen, bsw. im Fallereisender Mitarbeiter oder beiHeimarbeitsplätzen.
2. Mögliche Angriffsformen
2.1 Gebührenbetrug
Typischer Weise wird zunächst einPort- Scan auf öffentliche IP-Adressendurchgeführt. Falls sich bsw. hinter Port5060 ein SIP-Server befindet, kann dasPasswort, sobald eine Nebenstellebekannt ist, über eine Brute-Force-
Seite 1
Moderne VoIP-Telefonie birgt RisikenWie Sie Ihr Unternehmen optimal vor Angriffen schützen
VoIP bietet viele Neuerungen gegenüber ISDN und analog. Durch dieenge Verzahnung mit IT-Infrastruktur birgt VoIP aber auch Risiken diein den traditionellen Telefonnetzwerken nicht existierten. Durch denEinsatz von Computernetzwerken als Basis für die IP-Telefonie kannbei unzureichender Prävention eine Gefährdung der gesamten IT-Infrastruktur, also auch der TK-Infrastruktur, die Folge sein. In diesemArtikel erklären wir, wie Sie Ihre IP-Telefonie absichern können.
Attacke erraten werden. Der Angreiferkann sich anschließend am Serverregistrieren und Gespräche aufbauen.
Eine weitere Möglichkeit ist dasVerwenden von offen zugänglichen,fremden SIP-Proxies oder Gateways.Außerdem können durch Identitäts-diebstahl Dienste widerrechtlichgenutzt werden. Indem ein Angreiferteure Verbindungen aufbaut, könnendem Opfer unwissentlich hohe Kostenentstehen. Dazu können bsw.Verbindungen über das öffentlicheTelefonnetz anstatt über das IP-Netzvermittelt werden, oder vom Netz desOpfers teure Service-Nummernangewählt werden. Über gehackteServer erhaltene Gesprächsminutenkönnten ebenfalls verkauft werden.
Identitätsdiebstahl betrifft nebenVoIP, auch andere Kommunikations-protokolle. Im einfachsten Fall wird alsangezeigter Name eine andereIdentität angegeben. Aber auch durchManipulation der Registrierung odermit Man-in-the-Middle-Angriffen istdas Vortäuschen einer anderenIdentität möglich. Dabei werden dieeingehenden Anrufe an das Opfer zuEndgeräten des Angreifers geleitet.Auch durch den Diebstahl vonAnmeldeinformationen könnenAngreifer an Passwörter gelangen, umsich als gültiger Benutzerauszugeben. Dies kann durch dasAbhören von Gesprächen geschehen,oder durch Vortäuschen einerfalschen Identität und Erfragen derAnmeldeinformationen vom Nutzer.Ziele können Gesprächsmitschnitteund Einzelverbindungsnachweisesein, aber auch ein weitererMissbrauch der Anmeldedaten durchGebührenbetrug oder Spam.
2.2 Gespräche abhören
Anders als bei der herkömmlichenTelefonie, ist das Abhören vonGesprächen bei VoIP um einVielfaches einfacher. Durch dieKonvergenz der Netze wird keinspezielles Equipment und keinseparater Zugang zu denphysikalischen Leitungen desTelefonnetzes benötigt.
Im Internet finden sich zahlreicheProgramme für das Abhören von VoIP-Gesprächen. Benutzernamen undKennwörter lassen sich ebensoausspionieren, wie das Telefonie-verhalten und die sozialen undgeschäftlichen Kontakte. Eineverbreitete Abhörtechnik ist die Man-in-the-Middle-Attacke (MitM), wo derAngreifer sich als Proxy zwischen denKommunikationspartnern befindet.Dabei kann der Angreifer selbst beiverschlüsselten SSL- oder SSH-Verbindungen die Kommunikationabhören oder sogar manipulieren.
Das Address Resolution Protokoll (ARP)dient dazu, IP-Adressen den Hardware-Adressen zuzuordnen, welche durchdas Data Link Protokoll genutztwerden. ARP-Poisoning kann nur inlokalen Netzen eingesetzt werden, istaber höchst wirksam und gefährlich.Die Verbindung wird transparent um-geleitet und kann nur von Stationen imgleichen Subnetz entdeckt werden.Um Verbindungen außerhalb deseigenen LAN abzuhören, wird in derRegel ein Server vorgetäuscht und derVerkehr durch gefälschte DNS-Informationen dorthin geleitet. DieserServer arbeitet dann als Proxy, falls dieVerbindung weitergeleitet werdenmuss, oder gibt sich als Zielserver aus.
Alternativ ist es über vorgetäuschteStandard-Gateways möglich, denDatenverkehr abzuhören. DieseGateways werden durch DHCP-Spoofing bei den Opfern bekanntgemacht. DHCP steht für DynamicHost Configuration Protocol. MittelsDHCP kann Computersystemenautomatisch eine Netzwerk-konfiguration mitgeteilt werden. DurchDHCP-Spoofing werden dem Opfergefälschte DHCP-Antworten für dasStandard-Gateway und den DNS-Server mitgeteilt. Dadurch kann einAngreifer sämtliche aus dem Subnetzausgehende Datenpakete abhörenoder manipulieren, aber auchAntworten auf DNS-Anfragen fälschen.
Eine weitere Möglichkeit ist dasInfrastructure Hijacking, bei demServer, Endgeräte oder andere
Seite 2
Netzwerkkomponenten Angriffszielesein können. Angreifer können durchschwache Anmeldemechanismen mitgeratenen oder gestohlenen Pass-wörtern, oder durch Sicherheits-lücken in fehlerhaften ServerdienstenZugriff auf die Geräte erlangen. ImFalle eines Servers kann der Angreiferdie Verbindung mindestensprotokollieren, aber auch Geprächemithören, oder umleiten um siemitzuschneiden oder vorzugeben, dergewünschte Gesprächspartner zusein.
2.3 Denial-of-Service
Denial-of-Service (DoS) ist dieNichtverfügbarkeit eines Dienstes
und lässt sich auf mehrere Weisenprovozieren. Das Ziel von DoS-Angriffen ist die Störung des Betriebes.Im schlimmsten Fall wird ein Systemkomplett stillgelegt.
Da der Angreifer möglichst unerkanntbleiben möchte, wird meist einegefälschte Absenderadresseangegeben, was auch als IP-Spoofingbezeichnet wird. Bei DoS-Angriffen, aufniedrigeren Netzwerkschichten,müssen meist nur Anfragen versendetwerden, während Antworten nichtbenötigt werden. IP-Spoofing kannaber auch dazu verwendet werden, umdas Opfer mit Antwortpaketen zuüberlasten.
verfolgung sehr schwer da Absendernicht eindeutig identifiziert werdenkönnen, dank Identitäts-diebstahl undVerbreitung über gekaperte Geräte,die unwissentlich Teil eines Bot-Netzessind. Eine weitere Möglichkeit um SPITzu versenden, ist das Einspielen vongefälschten RTP-Paketen.
2.4 Spam-over-Internet-Telephony
Durch die Verbindung von Telefonieund Computernetzwerken ist SPAM-over-Internet-Telephony (SPIT) einzunehmendes Problem, bei demAngreifer Telefon-SPAM über einegekaperte Telefonanlage verbreiten.Wie bei E-Mail-SPAM, ist die Rück-
Abb.: Verbreitete Angriffsformen und -techniken
Seite 3
Denial ofServiceAbhören von
Gesprächen
SPIT
Gebührenbetrug
Man-in-the-Middle Attack
Flooding
InfrastructureHijacking
Nutzen fremderInfrastruktur
Kosten durchteure
VerbindungenIdentitätsdiebstahl
Brute ForceAttack
ARP Poisining
Bot-Netze
IP-Spoofing
Trotz der Ähnlichkeit zu SPAM,gestaltet sich die Bekämpfung vonSPIT schwieriger. Wie bei E-Mails,kann eine Vorklassifizierung un-zuverlässig sein. Eine Inhaltsfilterungkann zuviele Ressourcen benötigenund greift während eines Telefonateszu spät, da der Angerufene bereitsdurch den Anruf belästigt wurde. BeiSprachnachrichten auf einem Anruf-beantworter könnte ein Inhaltsfilteraber Abhilfe schaffen.
Kontrolliert ein Angreifer einEndgerät, kann er darüber auf dasNetzwerk und die dort verfügbarenDienste zugreifen. BetroffeneSysteme können als Bot für SPIT-Versendungen oder Angriffe aufandere Anwender eingesetzt werden.Opfer können die Spur zum Angreiferoft nur bis zu dem gekaperten Serververfolgen.
3. Sicherheitsmaßnahmen
Im folgenden Abschnitt gehen wir aufverschiedene Sicherheitsmaßnahmenein. Wir empfehlen möglichst vieledavon umzusetzen, um ein möglichsthohes Maß an Sicherheit zu erreichen.Generell empfiehlt es sich, für denSchutz eines Netzwerkes eineSicherheitsrichtlinie aufzustellen unddiese etwa durch die im folgendenvorgestellten Schutzmaßnahmenumzusetzen und kontinuierlich aufEinhaltung und mögliche Schwach-stellen zu überprüfen. Zum Schutzvor Angriffen ist dringend zubeachten, dass ein alleinigesAbsichern der TK-Anlage nichtausreichend ist. Alle relevantenNetzwerkkomponenten sind zuberücksichtigen. Außerdem müssenTK-Anlage und Endgeräte geschütztwerden, auch wenn die TK-Anlagekeine direkte Verbindung mit demInternet hat, da durch einen Angriffauf andere Netzwerkkomponentenimmer noch eine Gefährdung der TK-Anlage auftreten kann.
3.1 Sichere Passwörter
Als Schutz vor allen Angriffen sindmöglichst sichere Passwörtererforderlich. Es sollten längere
Passwörter mit Buchstaben, Zahlenund Sonderzeichen gewählt werden,und keine einfachen Passwörter wieNamen, Geburtstage oder ganzeWörter. Falls Nutzer dennoch einfachePasswörter einsetzen, sollte derAdministrator konsequent sicherePasswörter durchsetzen, entwederdurch entsprechende Vorgaben oderindem er selber jedem Nutzer dieZugangsdaten zuweist. AskoziaPBXgeneriert automatisch für jedes neuangelegte Telefon ein sicheresPasswort.
3.2 Firewall
Als Teil einer Firmen-Firewall kann einPaket- oder Netzwerkfilter den ein-und ausgehenden Datenverkehrfiltern. Damit wird sowohl der Schutzdes Netzwerkes vor Angreifern erhöht,als auch gegen ungewollt ausgehendePakete um bsw. zu verhindern dassNetzwerkkomponenten als Teil einesBot-Netzes missbraucht werden.
AskoziaPBX verfügt über eine interneFirewall. Neben der Firmen-Firewall zurprinzipiellen Absicherung desNetzwerkes, sollte auch diese interneFirewall aktiviert werden. Dabei ist zubeachten, dass diese interne Firewallausschließlich der TK-Anlage Schutzbietet, aber nicht die Firmen-Firewallim Netzwerk ersetzt. Die Firmen-Firewall führt eine Adressübersetzung(NAT) durch. So kann nur der Serverund somit der Adressbereich des ISPsaus dem Internet mit der Anlagekommunizieren, da sich die Anlageselbst mit diesem verbunden hat.Diese Option bietet wesentlich mehrSicherheit als bsw. das Ändern von SIP-Ports. Falls der Server auf eineröffentlichen IP-Adresse läuft, ist es nureine Frage der Zeit bis dermodifizierter SIP-Port gefunden wird.
3.3 Fail2Ban
Als Maßnahme gegen Brute-Force-Attacken, kann bei aktiver Firewall inAskoziaPBX zusätzlich Fail2Banaktiviert werden. Dabei werden IP-Adressen gesperrt, die in einem vomAdministrator festgelegten Zeitfensterwiederholt versuchen, sich mit
Seite 4
falschen Passwörtern anzumelden.Bei der Authentifizierung nutztAskoziaPBX außerdem die Optionalwaysauthreject=yes, um zu ver-hindern dass Angreifer eine interneRufnummer durch Probieren erraten.Antworten auf Anfragen sind daherimmer identisch, unabhängig davonob der Benutzername korrekt ist.
3.4 Portfreigaben vermeiden
Portfreigaben und -weiterleitungensind ebenso wie DMZ (DemilitarisedZone) und Hosting auf Heimrouternunbedingt zu vermeiden. Der Zugangzu externen Geräten. sollte statt-dessen über virtuelle private Netze(VPN) geschehen. Wenn überhaupt,sollten Portweiterleitungen nur mitmöglichst sicherem Passwort undaktivem Fail2Ban umgesetzt werden.Wir raten jedoch prinzipiell davon ab.
3.5 Anrufrechte
Die Begrenzung von Anrufrechten istebenfalls nicht zu vernachlässigen, daes sowohl vor Missbrauch durchinterne Nutzer als auch vor Angriffenvon außen schützen kann. In der TK-Anlage können durch restriktiveWählmuster Anrufe in Länderunterbunden werden, mit denen dieNutzer in der Regel nicht telefonieren.Gleichzeitig sollten Gespräche zunationalen Rufnummern mit hohenGebühren gesperrt werden. Falls nichtalle Gefährdungen unterbundenwerden können, wenn bsw.international telefoniert wird, kannzumindest die Anzahl der Gesprächeoder die Gesprächsdauer begrenztwerden. Falls bei Überschreiten eintatsächlicher Angriff alswahrscheinlich angesehen wird,können Gespräche auch komplettunterbunden werden. Eine weitereVorkehrung kann ein Prepaid-Guthaben sein, um die Auswirkungeines Angriffes zu begrenzen.
3.6 Trennung von Telefonie und Daten
Für VoIP können dedizierteNetzwerkleitungen (NGN-Anschlüsse)verwendet werden, die von einigenAnbietern bereits angeboten werden
aber meist noch teuer sind. Daten-und Telefonnetz sollten zudem übervirtuelle lokale Netze (VLAN) getrenntwerden. Ein VLAN ist ein logischesTeilnetz innerhalb eines Switches odereines Netzwerks, wo es sich auch übermehrere Switches hinweg ausdehnenkann. Physische Netze werden dabei inTeilnetze aufgeteilt und Datenpaketekönnen dank VLAN-fähiger Switchenicht in andere Teilnetze weitergeleitetwerden.
3.7 SIP-Proxy
Gemessen am Aufwand kann es fürgroße Installationen Sinn machen,einen externen Server als SIP-Proxy füreingehende Gespräche zu nutzen. EinProxy-Server agiert als Vermittler, derAnfragen einer Seite entgegennimmtund dann über seine eigene Adresseeine Verbindung zu einer anderenSeite herstellt.
3.8 Verschlüsselung
Durch Verschlüsselung zwischen IP-Telefonanlage und -Endgeräten überSecure SIP (SIPS) und Secure RTP(SRTP) kann dem Abhören vonTelefonaten vorgebeugt werden. Diedafür notwendigen Zertifikate könnenin AskoziaPBX in den Einstellungen fürverschlüsselte Telefonie erzeugt oderhochgeladen werden.
3.9 Sperre und Freigabe
Um das Bedrohungspotential zureduzieren, können bestimmte Ruf-nummern gesperrt oder freigegebenwerden. In AskoziaPBX können in denerweiterten Provider-Einstellungenunter Blacklist Rufnummern gesperrt,und in den Firewall-Einstellungenunter Whitelist Ausnahmen fürFail2Ban zugefügt werden.
3.10 Zugriffsrechte
Um die Sicherheit weiter zu erhöhen,sollten nur ausgewählte Geräte imNetzwerk zugelassen werden und dieVerbindung zu inaktiven Gerätengetrennt werden. Des Weiteren solltenZugriffsrechte für Nutzer mit Bedachtvergeben werden. Bsw. können in
Seite 5
Askozia eigene Nutzerkonten (ClientUser Interface) für den Zugriff aufbestimmte Daten werden. Auf dieseWeise hat nur der AdministratorZugriff auf das gesamte System undsicherheitsrelevante Einstellungen.
3.11 Sicherheitsupdates
Um einem Angriff auf Ihre Netzwerk-infrastruktur vorzubeugen, sind füralle Netzwerkkomponenten immer dieneueste Softwareversion zuverwenden. und Sicherheitsupdatesdurchzuführen. Das betrifft neben IP-Telefonanlagen, auch die IP-Telefone,Router, Switches, Firewalls, usw.Dienste, welche nicht verwendetwerden, sollten deaktiviert werden.Man spricht dabei von Abhärtung(System Hardening).
3.12 Fachwissen
Sollte man im eigenen Unternehmennicht über das notwendigeFachwissen verfügen, sollte dieDienstleistung von spezialisiertenNetzwerkdienstleistern, Fachhändlernoder Systemhäusern in Anspruchgenommen werden.
3.13 Hochverfügbarkeit
Falls es doch zu einem Angriff kommtund ein Systemausfall erzwungenwird, sollte man einen Plan B haben.Eine Möglichkeit heißt Hoch-verfügbarkeit (eng.: High Availability)und sollte insbesondere vonUnternehmen mit hohem Telefonie-aufkommen umgesetzt werden. Dabeiwird eine zweite TK-Anlage mitgleicher Konfiguration bereitgehalten,um die Produktivanlage im Notfallzügig zu ersetzen.
4. Fazit
Ziel von IT-Sicherheit und somit auchVoIP-Sicherheit sollte es sein,möglichst viele Gegenmaßnahmenumzusetzen, um potentiellenAngreifern das Leben so schwer wiemöglich zu machen. In der Regel sorgtbereits ein Umsetzen der wichtigstenSicherheitsvorkehrungen dafür, diemeisten Angreifer abzuwehren. Diessollte jedoch keine Ausrede dafür sein,nicht nach maximaler Sicherheit zustreben. Das Hinzuziehen von auf IT-und Netzwerksicherheit spezialisiertenDienstleistern zur Umsetzung undregelmäßigen Überprüfung derNetzwerksicherheit ist "mit Sicherheit"lohnenswert.
Seite 6
Askozia setzt auf offene Standards fürInteroperabilität ohne proprietäreAbhängigkeiten. Die Preisgestaltungist transparent und Nutzer zahlennicht zusätzlich pro Telefon, Neben-stelle oder Gesprächskanal.
Haben Sie Fragen zu Installation,Einrichtung oder laufendem Betrieb?Unser technisches Supportteam stehtIhnen zur Seite.
Erfahren Sie mehr unteraskozia.com/de.
Über Askozia
Askozia ist seit 2006 ein internationaltätiger Hersteller von Echtzeit-IP-Kommunikationstechnologien undPBX-Software für Service-Anbieter,mittelständische Unternehmen undSystemintegratoren.
Kern aller Produkte ist AskoziaPBX,eine einfach zu verwendende, aufAsterisk basierende IP-Telefonanlage.AskoziaPBX kann sowohl direkt imUnternehmen als auch in der Cloudeingesetzt und über die Web-oberfläche einfach eingerichtetwerden. Neben der Software-PBXbietet Askozia Kunden hochwertigeKomplettlösungen in Form seinerTelephony Server an.
