IP-Kommunikationssysteme sichern:
Voice-over-IP-Systeme gegen Angriffe sichern

von Bernd Reder (bernd.reder@networkcomputing.de), Benjamin Stehr (BCC)

Share
29.07.2008

Die IP-basierte Kommunikation ist in Sachen Security sensibler als herkömmliche Telefonie. Der Beitrag zeigt, auf welche Angriffsformen Voice-over-IP und Unified-Communications besonders empfindliche reagieren und wie sich Abhilfe schaffen lässt.

(Fortsetzung des Artikels von Seite 1)

Das Prinzip von Unified-Communications (UC) scheint denkbar einfach: Ein konvergentes Netz führt alle Kommunikationskanäle zusammen und bündelt Daten-, Sprach- und Videoanwendungen.

Das Spektrum von UC reicht von E-Mail und Voice-Messaging über Telefonie, Fax und mobile Endgeräte bis hin zu Multimedia-Konferenzen. Die unternehmensübergreifende Zusammenarbeit wird damit – auch international – Realität.

Kostenersparnis, Zeitgewinn und die Produktivitätssteigerung der Mitarbeiter sind die positiven Effekte, die Unternehmen Wettbewerbsvorteile versprechen. Viele UC-Anwendungen sind allerdings erst dann wirklich nutzbar, wenn Geschäftsprozesse, Warenwirtschaft und zentrale Unternehmensdaten damit verknüpft sind. Daraus resultiert ein besonders hoher Anspruch an die IT-Sicherheit.

Sicherheit beim Umstieg auf Unified-Communications oft vernachlässigt

Doch die meisten Unternehmen unterschätzen bei der Migration zu Unified-Communications die notwendigen Sicherheitsvorkehrungen. Sie setzen sich damit vielfältigen Gefahren aus.

Im Gegensatz zum Telefonieren über das Festnetz bietet der ungeschützte Transport von Sprach- und Videodaten über Unternehmensnetze mehrere Angriffspunkte. Letztlich sind Voice-over-IP und Streaming-Anwendungen Netzwerkdienste, die den gleichen Risiken unterliegen, wie andere IP-basierte Applikationen, beispielsweise E-Mail-Dienste.

Die Folge: Datenpakete sind unter Umständen leicht zu manipulieren, abzuhören oder zu entwenden. Deshalb sind bei der Planung einer UC-Lösung sämtliche Sicherheitsaspekte zu berücksichtigen, die auch für die übrige ITK-Infrastruktur gelten.

Alte Gefahren auf neuen Gebieten

Die Liste möglicher Szenarien für den Missbrauch von Daten und Netzen ist lang: Angefangen bei der Rufnummernfälschung und lästigem »SPIT« (»Spam over Internet Telephony«) über die Manipulation von Videodaten und das Erschleichen von Telefonaten auf Kosten anderer bis hin zu Denial-of-Service-Attacken auf die gesamte Kommunikationsinfrastruktur eines Unternehmens.

Zwar benötigen potenzielle Angreifer dafür einen Zugriff auf das Unternehmensnetz, doch das ist in vielen Fällen schnell erledigt: Ein unzureichend geschütztes WLAN, ein Trojaner, den ein Mitarbeiter dann doch versehentlich öffnet, ein gehackter Unternehmensserver als Sprungbrett für weitere Angriffe, Social-Engineering – die Zahl der Möglichkeiten ist vielfältig.

In den meisten Fällen sind jedoch demotivierte oder allzu neugierige Mitarbeiter im Unternehmen selbst Ursache für den unerwünschten Netzzugriff und darauf folgende Attacken (siehe dazu die Berichterstattung auf Network Computing zum Netzwerkverwalter der Stadtverwaltung von San Francisco).

Angriffswerkzeuge aus dem Internet

Die Werkzeuge sind heute einfach zu beschaffen: Sniffing-Software und Security-Tools wie "Cain & Abel", "Ettercap", "dhpx" oder "Voipong" stehen jederzeit im Netz zum Download bereit. Sie und verhelfen auch Hackern mit relativ geringer Sachkenntnis dazu, ihre Angriffe unkompliziert durchzuführen.

Der Aufwand dafür ist im Vergleich – etwa zur Manipulation konventioneller Telefone – extrem niedrig. Allein für das Abhören von ISDN-Telefonen ist teure Hardware notwendig. Die Softwarevariante für IP-basierte Kommunikationsnetze ist dagegen kostenlos.

Welche Attacken mittels Sniffing-Software möglich sind und welche Maßnahmen Schutz bieten, zeigen folgende Beispiele.

DoS – nichts geht mehr

Im Gegensatz zu getrennten Netzen für Sprach- und Datenkommunikation trifft ein Denial-of-Service das UC-Netz besonders stark, denn die Attacke legt unter Umständen die gesamte Unternehmenskommunikation lahm – beispielsweise durch das Überfluten des Netzes oder entsprechender Dienste.

Damit werden in kurzer Zeit so viele Verbindungen aufgebaut oder Anfragen gestellt, dass das betroffene System komplett ausgelastet ist und neue Anfragen nicht mehr aufnimmt.

Ein Beispiel für eine DoS-Attacke ist DHCP-Starvation. Das Dynamic-Host-Configuration-Protocol (DHCP) teilt Computersystemen automatisch eine Netzwerk-Konfiguration mit. Dazu gehört das Zuweisen einer IP-Adresse an das anfordernde System ebenso wie die Information über Adressen des Standard-Gateways und der DNS-Server.

Bei DHCP-Starvation versucht ein Angreifer, das komplette Adressgebiet eines DHCP-Servers zu reservieren, so dass kein anderes Endgerät mehr eine IP-Adresse beziehen kann. Das verhindert die korrekte Adresskonfiguration und setzt sozusagen durch »Aushungern« von IP-Adressen das gesamte Kommunikationsnetz außer Betrieb.

Gegenmaßnahme: Anfragen pro Port begrenzen

Mit den entsprechenden Gegenmaßnahmen lassen sich solche Angriffe schnell eindämmen: Mittels DHCP-Snooping kann auf dem Switch die maximale Anzahl von zulässigen DHCP-Anfragen pro Port konfiguriert werden. Ist diese Zahl überschritten, können automatisch Gegenmaßnahmen, wie das Herunterfahren des Ports, eingeleitet werden.

Zusätzlich sind auch die Ports, an denen sich zulässige DHCP-Server befinden, so zu konfigurieren, dass nur von dort DHCP-Offer-Pakete gesendet werden dürfen.

DHCP-Offer-Pakete enthalten die IP-Adresskonfiguration für Clients. Diese Methode beugt auch für den Fall vor, dass absichtlich oder versehentlich weitere DHCP-Server in das Unternehmensnetz integriert werden und ungültige Adressen im Netz verteilen.

Da auf vielen Geräten standardmäßig ein DHCP-Server konfiguriert ist, reicht oft schon das Anschließen an das Unternehmensnetz aus, um dieses Problem zu verursachen.


ARP-Poisoning

Das Abhören kompletter Telefonate in geswitchten Netzwerken ermöglicht ARP-Poisoning. Über das ARP-Protokoll teilen sich Kommunikationspartner gegenseitig die zu ihrer IP-Adresse (OSI-Modell, Schicht 3) passende MAC-Adresse (Schicht 2) mit.

Dazu sendet das anfordernde Gerät ein ARP-Request an alle Stationen in einem LAN-Segment. In dieser Anfrage ist die IP-Adresse des angefragten Endgeräts enthalten.

Das entsprechende Endgerät antwortet darauf mit einem ARP-Reply, in dem die MAC-Adresse zu der gefragten IP-Adresse enthalten ist. Der Datenaustausch kann daraufhin stattfinden.

Das ARP-Protokoll besitzt jedoch keinerlei Mechanismen zum Verifizieren dieser Informationen. Mit anderen Worten: Ein Angreifer kann mittels gefälschter ARP-Pakete behaupten, er besäße eine bestimmte IP-Adresse. So kann er die Kommunikation über seinen eigenen Rechner umleiten.

Dazu manipuliert der Angreifer die ARP-Tabelle der Kommunikationspartner durch das kontinuierliche Senden gefälschter ARP-Replies. Das veranlasst die Opfer dazu, ihre Nachrichten und Datenpakete an den Angreifer zu senden.

Gegenmaßnahmen: Gemanagte Switches und VLANs

Hier helfen verschiedene Gegenmaßnahmen: Der Einsatz managebarer Switches gestattet eine sichere Konfiguration und schützt vor dem Zugriff unberechtigter Nutzer. Ungenutzte Switch-Ports sollten umgehend abgeschaltet werden, um die Zahl der Angriffpunkte zu verringern.

Eine entsprechende Konfiguration (Port-Security) gewährleistet, dass verwendete Ports bei Änderung der MAC-Adresse sofort herunter fahren. Das sogenannte Sticky-ARP speichert die Zuordnung von IP- und MAC-Adressen für einen bestimmten Zeitraum, so dass diese nicht überschrieben werden können.

Virtual-LAN unterteilt das Unternehmensnetz in verschiedene Bereiche. Wird das UC-System auch nur virtuell von Teilen der IT-Infrastruktur getrennt, ist ARP-Poisoning aus anderen Netzbereichen nicht mehr möglich.


Manipulierte Multimediaströme

Selbst das Videoconferencing ist vor Angriffen nicht sicher: Mit dem Tool »rtpmixsound« lassen sich ungesicherte Multimedia-Datenströme manipulieren, indem zu den originalen Sprachdaten fremde Audiodateien hinzugemischt werden.

Die unliebsame Folge ist mindestens ein Imageverlust des Unternehmens. Dazu benötigt das Tool als Eingabe eine speziell formatierte Wave-Datei oder eine vorgefertigte Sequenz an Ethernet-Paketen, die einen RTP-Strom enthalten.

Das RTP-Protokoll überträgt audiovisuelle Daten in IP-Netzen. Beim Start einer neuen RTP-Session mischt der Angreifer, der sich vorher beispielsweise mit ARP-Poisoning in den Datenverkehr der Kommunikationspartner eingehängt hat, einfach unliebsame Geräusche hinzu.

Gegenmaßnahme: Verschlüsselte Variante von RTP einsetzen

Als Gegenmaßnahme bietet sich hier der Einsatz von SRTP, der verschlüsselten Variante des RTP-Protokolls, an. Eine effektive Methode, den Zugang zum eigenen Netz abzusichern, ist 802.1x. Das Protokoll verhindert, dass Geräte Zugriff zum Netz erhalten, die nicht explizit dafür freigegeben sind.

Die Freigabe regeln in vielen Fällen Zertifikate, die auf den Geräten installiert sind. Mit diesem Zertifikat meldet sich das Gerät am Switch-Port an und erhält nur Zugriff, wenn der Switch diese als gültig akzeptiert. Für ältere Geräte, die kein 802.1x »sprechen«, lassen sich Ausnahmen konfigurieren. Eine Alternative wäre hier die Authentifizierung anhand der MAC-Adresse.

Sicherheitsaufgaben outsourcen

DoS, ARP-Poisoning und die RTP-Manipulation sind nur einige der Angriffe, die sich auf VoIP-Netzen durchführen lassen. Der Schlüssel zum sicheren Betrieb von UC ist ein unternehmensweit ausgelegtes IT-Security-Konzept, das organisatorische, personelle und baulich-infrastrukturelle Fragen ebenso berücksichtigt wie technische Komponenten.

Social-Engineering beispielsweise – einer der Ausgangspunkte für Angreifer überhaupt – lässt sich nur durch eine geeignete Security-Policy, die auch im täglichen Handeln der Mitarbeiter verankert ist, entgegenwirken. Und selbst professionelle Lösungen beispielsweise mit dem Cisco [1]-Unified-Communications-Manager oder Lösungen von Avaya [2]sind ohne ein fachgerechtes Netzdesign für einige der möglichen Attacken wie DHCP-Starvation anfällig.

Letztlich benötigt sichere Unified-Communications die Erfahrung und das Wissen von Experten. Denn mit UC – und gerade bei der IP-Telefonie – wird die Sorge um die Sicherheit der Telekommunikation vom Festnetzbetreiber auf die IT-Abteilungen der Unternehmen verlagert. Das bedeutet für CIOs, die dies in Eigenregie einführen wollen, in vielen Fällen kostspielige Investitionen in Hardware und zusätzliches Personal.

Die Alternative ist das Auslagern der Kommunikationsnetze und deren Sicherheit an einen externen Managed-Services-Provider wie BCC [3], der seine Lösungen durch das Nutzen von Skaleneffekten günstiger anbieten kann.

Auf jeden Fall sollten IT-Verantwortliche gerade die Security-Parameter prüfen sowie Kosten und Nutzen abwägen, bevor sie sich für den Einsatz von UC entscheiden.

Benjamin Stehr ist IT-Security-Experte und Beauftragter für Informationssicherheit bei BCC.

Hinweis auf Network-Computing-Veranstaltung zu Security

Wie sich Außenstellen in eine Unified-Communications-Infrastruktur einbinden lassen, ohne dass Sicherheitslücken entstehen, ist übrigens auch Thema eines Vortrages von Prof. Dr. Berhard Stütz auf dem Network Computing IT Solutions College Security [4] am 24. September 2008 in Frankfurt am Main. Bernhard Stütz ist Leiter der Real World Labs von Network Computing in Stralsund.

Weitere Themen des IT Solutions College sind unter anderem die rechtlichen Risiken, die auf IT-Leiter und Geschäftsführer dank neuer Compliance-Vorschriften zukommen, die Absicherung von Endgeräten, die ins Netz eingebunden werden sollen sowie das Für und Wider von Unified-Threat-Management-Systemen.

[1] http://www.cisco.de
[2] http://www.avaya.de
[3] http://www.bcc.de
[4] it-solutions-college/

Verwandte Artikel