Seitdem es das Internet, als paketvermittelndes Datennetz, auch erlaubt, Sprache zu übertragen, sind die Anwendungsmöglichkeiten der Sprachkommunikation in die Höhe geschossen. Das heutig gängige Standardprotokoll der Sprachübertragung ist das RTP (RFC 3550), das Realtime Transport Protocol. Es wurde bereits 1996, also schon knapp sechs Jahre nach der ISDN-Telefonie eingeführt, welche mit ihren Basis- und Primäranschlüssen die Kapazitäten der Leitungsvermittlung erhöhte, jedoch nur beschränkt Mehrwertdienste anbot. Mit Voice over IP (VoIP) ist heute nun die Sprache einer von mehreren multimedialen Diensten geworden, welche verknüpft mit anderen wie beispielsweise Videokonferenzen, Television, Steuerungseinheiten etc. auf ein und demselben Medium übertragen werden.
Wenn wir als «Sicherheit der Telefonie» den Grad der Abhörsicherheit eines Gespräches durch Dritte definieren, so gibt es drei potentielle Angriffsflächen. Jedoch unterscheidet sich bei VoIP im Vergleich zur «herkömmlichen» Telefonie nur eine davon massiv.
Zum einen gibt es den Menschen: Wie oft erwischt man sich, dass man rein durch sein Stimmorgan ein sensibles Telefongespräch mit ungeschlossener Bürotür führte und just in diesem Moment jemand mithören hätte können? Machen Sie sich Gesprächsnotizen auf Papier, das danach unumsichtig herumliegt?
Die zwei meistgebrauchten Signalisierungsprotokolle SIP und H.323 sind unverschlüsselt und werden als Plain-Text übermittelt. Diese Pakete enthalten sämtliche technischen Informationen über das Gespräch, wie beispielsweise die Rufnummern. Diese können im Kontext mit einer Personenüberwachung, bei der man das Telefonieverhalten genau analysieren will, interessant sein. Die Pakete vom zurzeit am meisten eingesetzten Protokoll für den Datenstream, also das Gespräch an sich, sind ebenfalls unverschlüsselt und können mit einfachsten Mitteln gesammelt und zum Beispiel als normale MP3-Datei abgespeichert und abgespielt werden.
Anhand eines Beispiels soll aufgezeigt werden, wie das konkrete Sammeln und Auswerten von SIP- und RTP-Paketen funktioniert. Gegeben ist, dass wir uns in einem Bürogebäude eines Unternehmens mit drei Stockwerken befinden, das ein Intranet besitzt und jedes Stockwerk mit einem gemanagten Switch verbunden ist. Von dort aus geht es zu den Endgeräten. Ebenfalls muss ein DHCP-Server vorhanden sein.
Als erstes schliessen wir uns mit einem Notebook an den Switch. Beim Sammeln der IP-Pakete, was mit Wireshark recht schnell geht, sehen wir nur einen sehr bescheidenen Fluss an Daten, nämlich nur den zwischen unserem Notebook und dem angesprochenen Zielsystem, jedoch nicht den Verkehr (die Frames) der anderen Endgeräte. Das muss auch so sein, aufgrund des Layer-2-Switch.
Neben der Abhörsicherheit sind bei VoIP-Anlagen mögliche Impacts auf das vorhandene IT-Datennetz eines Unternehmens weitere Aspekte, die es punkto Sicherheit zu beachten gilt. Oftmals ist das Risikopotential enorm. Der GAU ist sicherlich der Verlust sämtlicher Daten und Strukturen. Mit einer nicht korrekt implementierten VoIP-Lösung kann man sich nämlich über einen gesnifften SIP-Account Zugang zu einem Endgerät verschaffen, das sich im Intranet des Betriebes befindet.
Oftmals sind auch Web-Konfiguratoren erreichbar, und meistens reicht ein Blick in das Manual des Gerätes, um das Standardpassword erfolgreich anzuwenden und sich Zugriff zu verschaffen. Was SPIT (Spam über das Voice-Netz, Computer, die mit mechanischen Stimmen Werbung verkaufen) betrifft, so ist die Gefahr klein, sofern man sich als Carrier einen First-Line-Telefonieanbieter aussucht.
Für die meisten Schweizer KMUs wird punkto Telefonie die Abhörsicherheit weniger gewichtet als die Sicherheit, dass Verfügbarkeit und Gesprächsqualität auf einem mit der herkömmlichen Telefonie vergleichbaren Niveau sind. Diese Verfügbarkeit und Qualität hängen direkt mit der IP-Anbindung sowie den vorhandenen CPEs (Customer Premises Equipment oder Teilnehmer-Endgeräte) und mit der beim Provider des Telefoniedienstes im Einsatz stehenden Infrastruktur zusammen.
Aus Erfahrung sind hier lediglich Anbieter in der Lage, einen solch hochwertigen Dienst anzubieten, welche vom IP-Anschluss, über den Carrier-Switch bis hin zum CPE beim Kunden sämtliche Komponenten aufeinander abgestimmt und harmonisiert haben. Oft haben in jüngster Vergangenheit hochstehende Lösungen im Bereich IP-PBXen, die beim Kunden vor Ort stehen oder gehosted werden, oder anderer Voice-Anwendungen versagt. Nicht da sie etwa schlecht gewesen wären, sondern weil beispielsweise der Carrier nicht den Produktanforderungen entsprach oder der IP-Anschluss des Kunden zu geringe oder instabile Bandbreite anbot.
Mit VoIP ist ein enormes Potential im Schweizer KMU-Markt vorhanden. Standortvernetzungen, die Nummernkreis-übergreifend sind, Auslandeinbindungen, Kostenreduktionen und die Integration mittels CTI (Computer Telephony Integration) in ERP-Systeme sind Schlagworte, welche beim Kunden den Mehrwert der IP-Telefonie schmackhaft machen. VoIP steht als grundlegend differenzierte Technologie zur Leitungsvermittlung aber erst in den Anfängen ihrer Blüte. Damit ist auch der «Hacker-Markt» noch nicht am florieren. Unter dem Strich besteht aber sicherlich ein grösseres Gefahrenpotential mit VoIP, sofern man dies falsch einsetzt, da der Impact auf die gesamte IT-Infrastruktur übergreifen kann. Bei seriöser Integration ist jedoch ein geringes Restrisiko vorhanden, was etwa der selben Sicherheitsstufe der herkömmlichen Telefonie entspricht.
Soll primär mit Softclients auf Computern oder mit IP-Hardphones gearbeitet werden?
Die Erfahrung zeigt, dass der Komfort eines Hardphone aktuell gegenüber dem Softclient noch überwiegt. Der Softclient ist als gute und mobile Ergänzung dazu zu sehen. Punkto Sicherheit gibt‘s keine Unterschiede.
Soll für die Hardphone-Telefonie eine dedizierte Verkabelung verwendet werden?
Idealerweise ja, bedeutet jedoch einen Mehraufwand bei Switches, Verkabelung, Dosen etc. Wenn dieselbe Verkabelung wie für das Datennetz gebraucht wird, ist ein Hardphone mit integriertem, gemanagten Switch zu bevorzugen, der auch gleich eine minimale QoS-Funktion mit sich bringt.
Wo steht mein SIP-Server?
Einen externen SIP-Server, auf welchem sämtliche Telefone sind, sollte man mit lokaler, Internet-IP-Adresse hinter einer NAT connecten. Das bedeutet, dass die Firewall beispielsweise einen SIP-ALG (Application Layer Gateway) unterstützen sollte. Ist der Server intern und mittels eines SIP-Trunk zum Carrier verbunden, so empfiehlt es sich, den Server hinter eine Firewall zu stellen und eine öffentliche IP-Adresse zu vergeben.
Sind mehrere Standorte miteinander zu vernetzen?
VPN ist, sofern der VPN-Gateway schnell genug en- und decrypted und die Bandbreite auch noch den VPN-Overhead zulässt, zu empfehlen. Hier ist idealerweise ein VPN im Einsatz ohne Fehlerkontrolle und Paketransmission. Am einzelnen Standort empfiehlt es sich, die VoIP-Endgeräte mit der gleichen Sorgfalt wie Computer und andere Netzkomponenten zu integrieren.
Michael A. Birrer ist CEO und Gründer von megaBYTE Informatik und VoIP-Experte.
