Clever Blog

Zur Bedeutung von Passwörtern in der VoIP-Telefonie

Zur Bedeutung von Passwörtern in der VoIP-Telefonie

Oft machen sich die Nutzer von Telefonanlagen, die auch via VoIP-Verbindungen zu Ihren einzelnen Niederlassungen aufbauen, viele Gedanken um den Passwortschutz nach außen. Intern wird das Risiko aber unterschätzt, hier werden gerne weniger sichere, dafür aber einfach zu merkende Passwörter genutzt. Obacht – diese Denkweise schwächt die gesamte Sicherheit Eurer Kommunikationsinfrastruktur!

Die Telefonanlage in unserer Zentrale ist ja sicher…

Werden außen liegende Nebenstellen ohne VPN angebunden, sind sichere Passwörter unbedingt notwendig. Und das sowohl für die internen Teilnehmer als auch für außen liegende Nebenstellen. Der Denkfehler liegt hier in der Vorstellung von einem Netzwerk: Netzwerke sind eben nicht an einen Ort gebunden, auch wenn sie zwei Postanschriften haben (z. B. Firmenzentrale und Nebenstelle). Vergleichbar ist das mit einem Fluss: Wird an der vermeintlich saubersten Stelle, also einer Quelle, das Wasser verunreinigt, ist es auch an der Mündung nicht sauber. Genauso kann ein Kommunikationssystem schon an der vermeintlich sichersten Stelle, in unserem Beispiel eine Zentrale, angegriffen werden. Da ist es dann egal, wie weit die außen liegende Nebenstelle entfernt ist und wie sicher das Passwort gewählt wurde.

Von der technischen Seite betrachtet liegt der Denkfehler darin begründet, dass eine Telefonanlage nicht zwischen „internen“ Teilnehmern und außen liegenden Nebenstellen unterscheidet. Um in unserem Beispiel zu bleiben, macht es also keinen Unterschied, ob sich jemand in einer Firmenzentrale an einem Systemtelefon einloggt oder ein Außendienstmitarbeiter in Australien. Grundsätzlich entsteht das Problem dadurch, dass für die Anmeldung von außen liegenden Teilnehmern ohne VPN in der Regel ein Port-Forwarding konfiguriert wird. Dieses unterscheidet häufig nicht nach Quell-IP, da man sich von überall aus einloggen können möchte. Zusammen mit der Tatsache, dass die TK-Anlage nicht zwischen „internen Teilnehmern“ und „außen liegenden Teilnehmern“ unterscheidet, ergibt sich die gefährliche Situation.
Ein interner VoIP-Teilnehmer mit unsicherem Passwort reicht also, um einen weak point und damit einen Ansatzpunkt für Angreifer zu schaffen. Gibt es diese eine Schwachstelle, ist das gesamte System deutlich unsicherer.

Warum VPN?

Der Einsatz eines VPN (Virtual Private Networks) ist neben einem sicheren Passwort ein weiterer Weg, um die Sicherheit der eigenen Kommunikationsinfrastruktur zu gewährleisten. Es ist sogar ratsam, unbedingt auf ein virtuelles Netzwerk zu setzen. Virtuelle Netzwerke können je nach verwendetem Protokoll um Komponenten ergänzt werden, die eine abhör- und manipulationssichere Kommunikation zwischen den VPN-Partnern ermöglichen. Via VPN werden weit entfernte Netzwerke wie ein Teil des eigenen Netzwerkes behandelt, so als ob eine direkte Kabelverbindung bestehen würde. Notwendig sind hierfür spezielle VPN-Gateways bzw. -Router bei den jeweiligen VPN-Partnern, die diese direkte Verbindung ermöglichen. Neben dem Sicherheitsaspekt bietet sich außerdem der Vorteil, dass (sofern entsprechende Berechtigungen vorhanden sind) auch der Zugriff auf alle Netzwerklaufwerke der Firmenzentrale möglich ist, da die außen liegende Nebenstelle wie ein physischer Teil des Netzwerkes in der Zentrale betrachtet werden kann.

Schützt Eure VoIP-Infrastruktur

Fazit: Auch für die internen VoIP-Teilnehmer muss ein sicheres Passwort genutzt werden, um die eigene Telefonanlage vor dem Zugriff von Fremden zu schützen. Wer bei Passworten wenig kreativ ist, vertraut am besten auf einen Generator: Dieser hier ermöglicht es, die Bedingungen an ein Passwort selbst zu definieren und sich dann eine Zeichenkette ausgeben zu lassen. Übrigens: Wer sich auf der Liste der unsichersten Passwörter des Jahres 2012 wiederfindet, sollte schleunigst neue Passwörter definieren. Um anschließend die neuen, sichereren Passwörter doch wieder einfach zu verwalten, sind die Tools aus diesem Artikel eine Möglichkeit.

Einen zusätzlichen Schutz stellt die IP-Sperrliste in unseren Telefonanlagen zur Verfügung. Sollte also trotz allem ein schwaches Passwort gewählt worden sein, landet der Angreifer bzw. seine IP-Adresse nach wenigen Versuchen auf einer Sperrliste. Auch hier gibt es natürlich Wege, über eine neue IP-Adresse neue Angriffe auszuführen. Insofern sind also sichere Passwörter der beste Schutz.

Wie sichert Ihr Eure privaten Netzwerke oder die Eurer Kunden? Könnt Ihr etwas ergänzen, das die Sicherheit von Kommunikationsinfrastrukturen zu verbessern hilft?

Der Artikel ist auf einen Hinweis unseres Sicherheitsteams hin entstanden und in Zusammenarbeit mit diesem verwirklicht worden.

Update [27.11.2012]: Um unseren Kunden die Einrichtung zu erleichtern, haben wir in unsere Telefonanlagen einen Zufallsgenerator eingebaut. Dieser erzeugt automatisch ein sicheres Passwort, wenn ein neuer Teilnehmer angelegt wird. Wie das aussieht, ist hier am Beispiel der Konfigurationsoberfläsche einer COMpact 5020 VoIP Telefonanlage zu sehen:

Passwörter COMpact 5020 VoIP Telefonanlage

Automatische Passwortgenerierung bei einer COMpact 5020 VoIP Telefonanlage

UPDATE [03.12.2012]: Ein User hat uns folgende Empfehlung zukommen lassen: Der Passwort-Generetor von Gaijin. Großer Vorteil hier: Durch die getrennte Verwendung von Vokalen und Konsonanten, sowie von einzelnen Wortsilben werden die Passwörter gut lesbar und sind einfach zu merken.

Pic by Henrik Bennetsen | and more servers | flickr | keine Änderungen vorgenommen | CC BY-SA 2.0
← Back to the Future: Technologische ITK-Trends im Jahr 2013 LIFX: Clevere Idee für unkomplizierte Hausautomation →

Ihr Kommentar

Bitte alle Felder mit einem * ausfüllen