VoIP-Security ist eine Herausforderung
Artikel erschienen in Swiss IT Magazine 2006/05
VoIP (Voice over IP) entwickelt sich zur Killerapplikation. Über 90 Prozent der in Firmen neu installierten Telefonanlagen werden im Jahr 2008 IP-fähig sein, rechnet etwa Gartner vor. IDC zufolge wird in den nächsten vier Jahren allein in den USA die Zahl der VoIP-Anwender auf über 27 Millionen steigen. Und die Zeichen mehren sich, dass die Hersteller ihre traditionellen Telefonanlagen langsam aussterben lassen und komplett auf IP-Telefonie umsteigen. An VoIP kommt über kurz oder lang keiner mehr vorbei.
Den bekannten Vorteilen – niedrige Telefonkosten insbesondere im Fernverkehr, zentrale Verwaltung, Feature-Reichtum – stehen allerdings gewaltige Probleme im Sicherheitsbereich gegenüber. So hat etwa das deutsche Bundesamt für Informationstechnik (BSI) in einer Studie vom letzten Herbst eine ganze Anzahl potentieller Gefahrenherde identifiziert, von gar nicht oder schlecht implementierten Sicherheitsmassnahmen bis hin zu klassischen Netzwerkangriffen. Gleichzeitig weist die Behörde darauf hin, dass es sich bei VoIP um eine äusserst komplexe Technologie aus zahlreichen Komponenten handle, die nicht nur einzeln, sondern auch in Kombination eine Gefahr sein könnten.
Eine zunehmend wichtige Rolle bei der Identifikation von Gefahrenquellen und bei der Entwicklung von Lösungen für deren Behebung spielt auch die Voipsa (Voice over IP Security Alliance), die vor rund einem Jahr gegründet wurde und bereits über 100 Mitglieder zählt, darunter Provider, Hard- und Softwarehersteller sowie Sicherheitsexperten. Die Voipsa hat ebenfalls im Herbst eine «Threat Taxonomy» veröffentlicht, in der rund 60 Gefahrenpotentiale für VoIP-Netze, -Endgeräte und
-Anwender umfassend beschrieben werden. Die Voipsa unterscheidet dabei zwischen verschiedenen Angriffsklassen:
soziale Angriffe (Identitätsdiebstahl/-fälschung, Telefonterror, Spim)
Lauschangriffe
Gesprächskontrolle und -modifikation (Rufumleitung, aktive Gesprächsmanipulation, Voicemail-Bomben, Veränderung von Nachrichten-Inhalten)
beabsichtigte Service-Störungen (DoS-Attacken, Flooding, Spoofing, Hijacking, Buffer Overflows)
unbeabsichtigte Service-Störungen (Stromausfälle, Überlastung der physischen Ressourcen).
Die Voipsa weist ausserdem darauf hin, dass nicht nur eine Vielzahl von Angriffsmöglichkeiten offensteht, sondern sich in VoIP-Installationen auch die Anzahl potentieller Ziele für DoS-Angriffe multipliziert: So sind neben Routern, Switches und Firewalls auch die IP-Telefone selber, Breitband-Modems, diverse Gateways und SIP-Proxies in die Kommunikation involviert und damit angreifbar.
Eines der Grundübel für die Angreifbarkeit von VoIP-Installationen orten viele Experten im offenen Standard des Session Initiation Protocol (SIP), das sich immer mehr durchsetzt. Dieses Protokoll ist eng mit den Web- und Mail-Protokollen verwandt und entsprechend anfällig, es hat die Bedrohungen auf der IP-Ebene quasi geerbt.
SIP dient in der Anwendungsschicht dem Aufbau, der Ablaufsteuerung und dem Beenden von Sessions mit zwei oder mehr Teilnehmern – der eigentliche Datenaustausch, das Telefonat, findet allerdings über andere Protokolle wie das Real-time Transport Protocol (RTP) statt.
Beim Aufbau einer SIP-Verbindung sendet der Anrufer eine «Invite»-Nachricht an einen SIP-Proxy, der diese an die im Location-Server hinterlegte IP-Adresse des Angerufenen weiterleitet. Unmittelbar danach kann die Kommunikation beginnen, und zwar über per SIP zufällig ausgehandelte Ports.
Für gesicherte Netzwerkgrenzen ist bereits dieser Datenaustausch auf «zufälliger» Basis ein Problem: Für SIP- und RTP-Verbindungen gibt es keine festen IP-/Port-Kombinationen, weshalb die Firewall dynamisch auf die Kommunikationsanforderungen mit ständig unterschiedlichen Ports reagieren können muss, um nicht zu weit geöffnet werden zu müssen. Auch die Problematik mit allfälligen Network Address Translations (NAT) an der Perimetergrenze muss gelöst werden.
Im SIP-Standard sind bereits verschiedene Sicherheitsmechanismen vorgesehen respektive integriert. So gibt es etwa eine grundlegende Authentifizierung und Autorisierung für Anwender und Proxies per Digest Authentification. Auch Signatur- und Verschlüsselungsmöglichkeiten für die Nachrichten sowie ein Tunneling-Modus für die SIP-Header ist per S/MIME vorgesehen. Dafür wird allerdings eine Public-Key-Infrastructure (PKI) vorausgesetzt.
Auch für die eigentliche Kommunikation zwischen den Teilnehmern liegt mit dem Secure Real-time Transport Protocol (SRTP) eine sichere Lösung vor. Allerdings werden all diese Mechanismen bisher nur von wenigen Herstellern in ihren Produkten implementiert, weil sie auch mit verschiedenen Nachteilen behaftet sind.
Statt dessen setzt die Industrie auf die Absicherung der Transportschicht, und zwar per Virtual Private Networks (VPN) über IPSec. In der Tat ist die Kommunikation durch einen solchen VPN-Tunnel gegen eine Vielzahl potentieller Angriffe geschützt und damit recht sicher. Andererseits wird dadurch der Kreis möglicher VoIP-Kommunikationspartner stark eingeschränkt – in Frage kommen nur noch Teilnehmer, die ebenfalls ans VPN angeschlossen sind.
Die Sprachkommunikation über VPN ist damit höchstens für in sich geschlossene Gruppen sinnvoll, als Ersatz für die herkömmliche Telefonie kommt sie nicht in Frage. Kommt dazu, dass innerhalb eines VPN keine Transportschicht-Sicherheit mehr möglich ist und die Kommunikation deshalb für Angriffe anderer VPN-Teilnehmer offen ist.
Letztlich helfen also nur neue Ansätze, die Kommunikation per VoIP und insbesondere über den SIP-Standard sicherer zu machen. Spezielle SIP-Firewalls, die auf die besonderen Anforderungen einer dynamischen Echtzeitkommunikation zugeschnitten wurden und beispielsweise für die ad hoc vereinbarten Sessions die passenden Ports öffnen (und danach wieder schliessen) können, sind dabei allerdings bloss ein erster Schritt.
Einen ähnlichen Ansatz verfolgen auch Firmen wie Acme Packet oder Newport Networks mit ihren Session-Border-Controllern, die vor die Firewall in den öffentlichen Raum gesetzt werden. Ein Anruf geht hier durch die Firewall zunächst an den Controller, der ihn an den Empfänger weiterleitet. Der Anrufer kommuniziert eigentlich nur mit dem Controller, die Arbeit der Firewall wird nicht tangiert.
Von hoher Priorität ist schliesslich auch die Verschlüsselung der Sprachkommunikation. Hier gibt es derzeit verschiedene Ansätze: So bieten etwa Hersteller wie Zultys ein Hardwaretelefon mit AES-Verschlüsselung, während Nero in seine SIPPS-Telefonsoftware eine Verschlüsselungsmöglichkeit für den Audio-Stream integriert hat. Kryptografie-Experte Phil Zimmermann bastelt derweil unter dem Namen zFone an einer ähnlichen Lösung – beides sind allerdings Lösungen, die nur funktionieren, wenn beide Teilnehmer dieselbe Software einsetzen.