Clever Blog

VoIP-Sicherheitslücken: Wie schütze ich mich?

VoIP-Sicherheitslücken: Wie schütze ich mich?

Wie wir alle (hoffentlich) wissen gibt es in Netzwerken immer potentielle Einfallstore für Angreifer, gegen die man sich aber mit den richtigen Vorkehrungen recht einfach schützen kann. Angriffe müssen dabei nicht zwangsläufig von außen kommen. Die meisten Attacken über Netzwerke erfolgen von innen, also aus der eigenen Daten-Infrastruktur heraus. Gerade in Firmen sollte beim Einsatz von VoIP für die interne Kommunikation auf eine Verschlüsselung geachtet werden. Insgesamt kommen Angriffe auf Sprachtelefonie sehr selten vor, trotzdem sollte man sich der technischen „Möglichkeiten“ bewusst sein. Zwei dieser Möglichkeiten ein Netzwerk gerade auch von innen anzugreifen sind Man-in-the-middle Attacken oder das MAC-Flooding.

Welcher Chef möchte wohl, dass Mitarbeiter seine Telefongespräche mitschneiden? 

Um die eigene Kommunikation abzusichern ist es wichtig, dass alle VoIP-Endgeräte Daten verschlüsselt austauschen. Telefoniert z. B. der Personalleiter mit dem Geschäftsführer und nur eines der beiden Telefone verfügt über eine Verschlüsselung, kann der Angreifer das komplette Gespräch mitschneiden. Er muss sich eben nur das richtige „Opfer“ am unverschlüsselten Ende aussuchen. Auch die Verschlüsselung bei Internettelefonie, also der Übertragungsweg zwischen VoIP-Provider und der Telefonanlage ist sinnvoll. So ist sichergestellt, dass die Verbindung zwischen Telefonanlage und Router geschützt ist. Beobachtet werden muss, dass der Provider nur für den Weg zwischen Telefonanlage (DSL-Anschluss) und seinem SIP-Proxy bzw. Session Border Controller eine Verschlüsselung garantieren kann. 

Man-in-the-middle Attacke – der Janusangriff

Bei einer Man-in-the-middle Attacke befindet sich der Angreifer zwischen den Kommunikations­partnern, die „abgehört“ werden sollen. Moderne Kommunikations-Infrastrukturen machen es möglich, dass der „Man in the middle“ sich logisch zwischenschalten kann. Er übernimmt dabei die komplette Kontrolle des Datenverkehrs zwischen zwei oder mehreren Netzwerkgeräten und kann die übertragenen Informationen, z. B. die Sprachdaten, aufzeichnen und ggf. sogar manipulieren. Der Angreifer täuscht dafür den Teilnehmern das jeweilige Gegenüber vor. Daher nennt man eine Man in the middle attack auch Janusangriff (Doppelköpfigkeit des Janus aus der römischen Mythologie). Das beschriebene Angriffsszenario zeigt, wie wichtig eine Verschlüsselung bei VoIP ist.
Bei der Verschlüsselung selbst ist es wichtig, zwischen verschlüsselter Signalisierung (SIPS) und der verschlüsselten Übertragung der Sprache (SRTP) zu unterscheiden. Mit dem Secure Realtime Transport Protocol werden Gesprächsdaten kodiert, in Datenpakete aufgeteilt und im Netzwerk oder über das Internet versendet. Die unverschlüsselte Form des SRTP ist das Realtime Transport Protocol (RTP).
SIPS steht für Session Initiation Protocol over SSL (SSL = Secure Socket Layer). In der heutigen Praxis wird SSL hauptsächlich bei Internetportalen wie Banken und Shopsystemen verwendet (HTTPS). Da SSL aber transparent ist, kann es auch für andere Anwendungen, z. B. SIP, eingesetzt werden. Um sich auch mit SSL vor einer Man-in-the-middle Attacke zu schützen, darf das Rootzertifikat für die Authentifizierung nicht ohne Schutzmechanismen auf einem noch ungesicherten Weg übertragen werden. Ist der Man-in-the-middle bereits vor dem Austausch aktiv, kommt er in den Besitz des Rootzertifikats, ersetzt es gegen sein eigenes und kann so vorgeben, die Telefonanlage zu sein.
Die IP-Telefone von Auerswald beugen diesen Risiken vor. Unsere Systemtelefone erhalten vom DHCP-Server ausschließlich die IP-Adresskonfiguration des lokalen Netzwerkes. Die VoIP-Einstellungen werden entweder automatisch durch die TK-Anlage übertragen oder manuell durch den Errichter. Somit ist ein Angriff durch das Einspielen schadhafter Konfigurationsfiles nicht möglich. Zusammen mit der Verschlüsselung (SIPS/SRTP) ist auch das „Umleiten“ der RTP-Sprachdatenpakete nahezu unmöglich. 

MAC-Flooding

Eine weitere Angriffsmöglichkeit in Netzwerken ist das sogenannte MAC-Flooding. Rein Funktional ist  ist das Speichern der MAC-Adressen von Geräten eine wichtige Aufgabe von Ethernet-Switches, die an einen Port angeschlossen sind. Mit der Speicherung wird erreicht, dass der Datenverkehr zwischen Geräten zielgerichtet ist und nicht im ganzen Netzwerk verteilt wird, wie dies bei Ethernet-Hubs der Fall ist. Der Speicherplatz für die MAC-Adress-Zuordnung ist Switches jedoch nicht unendlich groß. Diesen Umstand macht man sich beim sogenannten MAC-Flooding zu Nutze. Der Switch wird mit gefälschten MAC-Adressen „geflutet“, bis der Speicher voll ist. Switches schalten dann in einen so genannten Failopen-Modus, der den Switch in den Hub-Modus umschaltet. Alle Datenpakete sind dann an allen Ports des Switches sichtbar und der Angreifer kann problemlos die Datenströme mit Wireshark aufzeichnen bzw. sniffen. Die Switch-Hersteller haben hier reagiert und diverse Schutzmechanismen eingebaut. Meist werden pro Port zugelassene Absender-MAC-Adressen hinterlegt. Daten von nicht autorisierten Absendern werden einfach nicht weitergeleitet. Diese Funktionen sind in vielen managed Switches der oberen Preisklasse zu finden – hier gilt es also nicht am falschen Ende zu sparen.

Ein Blick in die Praxis – bei wem von Euch gab es schon Angriffe auf die Sprachkommunikation innerhalb von Netzwerken? Wie schützt Ihr von euch betreute Kommunikations- und Netzwerk-Infrastrukturen?

Title pic by MrDoS | Jolly Roger | Flickr | keine Änderungen vorgenommen | CC-BY-2.0

 

 

← Routerzwang & Flatrate-Ende: Bedrohung für VoIP und Internetkultur? WebRTC - was ist das und was kann es? →

2 Kommentare

  1. Sebastian Lemke
    25. April 2013 um 10:06

    Hallo,

    interessanter und guter Artikel. Meines Wissens nach kann die 5020 aber keine Verschlüsselung bei internen (!) VoIP Teilnehmern. Das wäre vielleicht noch einmal vor dem Hintergrund aussen liegender Nebenstellen (ohne VPN) ein Verbesserungsvorschlag.

    lg
    Sebastian


    • Auerswald
      25. April 2013 um 10:48

      Hallo Sebastian,

      danke für dein Feedback. Bei der 5020 wird intern tatsächlich nicht verschlüsselt, das Feature ist momentan der COMmander-Klasse vorbehalten – hier setzt uns die Technik Grenzen. Künftige Entwicklungen werden auch im unteren Bereich SIPS/SRTP berücksichtigen.
      Einen guten Schutz bietet im unteren Segment die von dir erwähnte Anbindung via VPN-Tunnel – wir empfehlen hier, spezielle Router einzusetzten, bei denen VPN schon von Werk aus an Board ist.

      Gruß,
      Christian


Ihr Kommentar

Bitte alle Felder mit einem * ausfüllen