Voice over IP

Verschlüsselung tut Not

Mittwoch, 30.04.2008 | 11:30 von Claudia Bardola
Zur Absicherung der Wege, auf denen die Sprachdaten transportiert werden, empfiehlt sich der Einsatz eines VPN (Virtual Private Network). Hierbei wird die sichere Datenkommunikation zwischen mehreren Standorten eines Unternehmens gewährleistet, indem der gesamte Datenverkehr auf fest definierten Verkehrswegen und über zuverlässig überwachte Router geleitet wird.

Die VPN-Technik sichert allerdings nur den Übertragungsweg der Sprachdaten. Zugunsten einer umfassenden End-to-End-Security sind daher noch weitere Schritte nötig. So müssen einerseits die Sprachdaten verschlüsselt werden. Andererseits ist dafür zu sorgen, dass auch die entsprechenden Signalisierungsdaten verschlüsselt sind. Dies trifft insbesondere auf das allgegenwärtige SIP (Session Initiation Protocol) zu. Letzteres ist für die Session-Kontrolle zuständig, also beispielsweise die Registrierung der Endgeräte, den Rufaufbau und den Rufabbau. Weil die SIP-Nachrichten textbasiert und meist als Klartext gesendet werden, können sie leicht abgefangen, gefälscht und manipuliert werden – Verschlüsselung tut daher Not.

Weiterer Handlungsbedarf besteht bei der Codierung des Administrationsverkehrs: VoIP-Komponenten lassen sich über verschiedene Protokolle wie HTTP, Telnet, SSH oder HTTPS administrieren, von denen einige die Benutzer- und Passwortdaten ebenfalls als Klartext übertragen, also sehr leicht abhörbar sind. Für eine sichere Verwaltung der VoIP-Komponenten müssen die administrativen Verbindungen entweder verschlüsselt oder über einen gesonderten Netzbereich verschickt werden.

Überdies müssen alle Endgeräte wie VoIP-Telefone und Softphones am PC in das Sicherheitskonzept einbezogen werden. Denn VoIP-Endgeräte können durch Manipulationen der Konfigurationen oder der Firmware das gesamte Netz in die Knie zwingen. Dies lässt sich verhindern, indem Änderungen an der Konfiguration nur zentral über eine Applikation an einzelnen Geräten oder an Gerätegruppen erlaubt werden.

Risikofaktor Mensch

Weil die Mitarbeiter bekanntermaßen das größte Sicherheitsrisiko in der IT darstellen, reichen die erwähnten technischen Maßnahmen zur umfassenden Absicherung eines VoIP-Systems nicht aus. Zumal gerade bei VoIP die Gefahren durch die Anwender noch größer sind als bei klassischen IT-Applikationen. So bietet ein ungesperrtes Telefon Einblick in Ruflisten, Voice-Mails und Telefonbücher. Ein Angreifer kann an einem ungesicherten Gerät die Sprachverschlüsselung deaktivieren und die Gespräche auf seinen Rechner umleiten. Deshalb ist es wichtig, die Mitarbeiter im Rahmen einer ausführlichen Schulung für den sicheren Umgang mit VoIP zu sensibilisieren. Zudem sollten umfassende Security-Regeln aufgestellt werden.

Mittwoch, 30.04.2008 | 11:30 von Claudia Bardola
Kommentieren Kommentare zu diesem Artikel (0)
250591