VLANs als Schutz vor DoS-Angriffen:
Tipp: Wie man VoIP-Telefonie vor Angriffen schützt
Voice-over-IP ist wie jede Applikation im Netz auch den gleichen Gefahren ausgesetzt. Hinzu kommen noch spezifische Gefahren. Aber es gibt Möglichkeiten wie VLANs oder Verschlüsselung, um das Risiko gering zu halten.
Voice-over-IP ist dabei, die traditionellen PBX-Anlagen Schritt für Schritt abzulösen. Die größere Flexibilität oder die Integration in andere Applikationen sind zwei Beispiele für den Nutzen, Sprache über Datenleitungen zu verschicken. Gleichzeitig erbt die IP-Telefonie alle Gefahren, die das IP-Netz ganz allgemein hat. Aber es kommen spezifische Attacken wie der Missbrauch von Diensten oder das Abhören von Telefonaten hinzu. Die Telefonie ist für viele Unternehmen eine ihrer zentralen Lebensadern und sollte entsprechend geschützt werden.
Über VLANs lassen sich Voice- und Daten-Verkehr von einander trennen, was die
Sicherheit fördert. Viele Telefone verfügen bereits über einen integrierten Mini-Switch
mit 802.1p/Q. Der Data-Center-Switch leitet die Sprache dann zur PBX und die Daten
zu den Servern.
Es gibt ein paar Vorgehensweisen, mit denen sich schon viel für den Schutz der IP-Anlagen erreichen lässt. Für die Telefonie sollten die gleichen Grundsätze vom Schutz des Netzwerks gelten, wie bei anderen IP-Systemen auch. Dabei geht es einmal darum, eine umfangreiche Strategie zu entwickeln, um möglichst viele Komponenten der IP-PBX zu schützen. Neben dem Netzwerk sollten Unternehmen auch die IP-Telefone nicht vergessen. Es geht darum, zu klären, wie und wo die Apparate installiert sind und wie das Netzwerk aussieht.
Eine beliebte Methode ist, um das Netzwerk zu schützen, bestimmte Komponenten in einem VLAN zu isolieren. Viele VoIP-Telefone besitzen bereits integrierte Mini-Switches, die 802.1p/Q-Trunks von den Telefonen zum Etagen-Switch (Edge) aufbauen. Damit lässt sich der Sprach- vom Daten-Verkehr trennen, vom Telefon bis zur IP-Anlage.
VLANs erhöhen die Sicherheit, aber sie richten nicht alles. So kann ein Angreifer in das Voice-VLAN kommen, in dem er sich an eine LAN-Buchse hängt und das VLAN per Software emuliert. Es lassen sich aber die UDP- und TCP-Port begrenzen, die auf die PBX vom LAN her zugreifen dürfen. Hierzu gibt es Access-Control-Lists auf Switches oder Routers. Auch eine Firewall kann dazu dienen, die TCP- und UDP-Ports zu begrenzen. Auch die Ethernet-Adressen einzuschränken, die auf das zugreifen dürfen, ist eine Möglichkeit.
Ein Extra-VLAN für die Telefone erleichtert es auch, die Bandbreite zu kontrollieren, um QoS sicherzustellen. Dies schützt auch die IP-PBX bei Denial-of-Service-Attacken (DoS), die von Würmern innerhalb des LANs kommen. VoIP verbraucht nicht so viel Bandbreite. Aber es reagiert empfindliche bei Paket-Verlust und Verzögerungen.
Administratoren sollten auch vorsichtig mit Protokollen für Autokonfiguration wie LLDP-MED (Logical-Link-Discovery-Protocol-Media-Endpoint-Device) oder dem proprietären CDP (Cisco-Discovery-Protocol). Sie erleichtern zwar die Netzwerkverwaltung, lassen sich aber auch leicht fälschen.
Mit dem Einsatz von Verschlüsselung sind VoIP-Gespräche besser geschützt als bei den herkömmlichen Telefonen. Allerdings gilt dies nur innerhalb des Unternehmensnetzwerks. Für Telefonate in das öffentliche Netz funktioniert dies nicht mehr.
So wie SRTP (Secure-RTP) das eigentliche Gespräch schützt, übernimmt dies SIPS (SIP-Secure) für die Signalisierung. Dies ist einmal wichtig, weil über SIP die Schlüssel für die anschließenden SRTP-Einsatz übertragen werden. Zum anderen verhindert SIPS, dass der Angreifer Informationen über die Telefonie wie Telefonnummern bekommen.
Regeln in der Firewall sollten verhindern, dass jeglicher Internet-Verkehr zu den IP-Telefonie-Servern, den Gateways oder den IP-Apparaten gelangt. Außerdem geht es darum, den Übergang zwischen Telefonie-VLAN und IP-PBX zu begrenzen. Session-Border-Controller sind eine Überlegung wert. Sie analysieren die Verkehrsmuster, um etwa das Netz vor SIP-DoS-Attacken zu schützen.
VPNs sind ein gutes Mittel, um den Zugang zum Unternehmensnetz für mobile Mitarbeiter bereitzustellen. Beim Einsatz von Softphones kann es aber passieren, dass ein Eindringen in das VPN auch das Telefonie-System betrifft. Ein VPN führt auch zu einer deutlich höheren Verzögerung bei einem Gespräch. Weshalb der Einsatz von VoIP hier dann auch scheitern kann.
Peter Morrissey,
Manager für Netzwerkdesign und Entwicklung,
außerordentlicher Professor an der Syracuse School of Informationen Studies
- 1. Seite: Tipp: Wie man VoIP-Telefonie vor Angriffen schützt
- 2. Seite: Tipp: Wie man VoIP-Telefonie vor Angriffen schützt (Fortsetzung)
- 3. Seite: Tipp: Wie man VoIP-Telefonie vor Angriffen schützt (Fortsetzung)
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Das sind die Top-Notebooks
Auf der Suche nach neuen Notebooks sieht man oft den Wald vor lauter Bäumen nicht. Unsere Kollegen von der PC Go haben daher die besten Geräte für Sie getestet.
NEC prämiert die schönste Installation
Einen Fotowettbewerb der etwas anderen Art startet NEC Display Solutions für seine Partner. Unter dem Motto »Application Picture Competition« können NEC-Partner Bilder einsenden, die NEC-Produkte im Einsatz zeigen. Für die kreativsten Fotografen winkt als Preis ein iPhone.
SAP will den Cloud-Anbieter Ariba übernehmen
Der Softwareanbieter SAP steht vor einem weiteren großen Zukauf im SaaS-Segment: Für 4,3 Milliarden Dollar wollen sich die Walldorfer den kalifornischen Beschaffungsspezialisten Ariba einverleiben und das Cloud-Geschäft auf diese Weise ausbauen.
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.