Sprache in Datenpaketen soll abhörsicher sein
Von Uli Ries
Wenn man sich nicht gerade vor der Neugier fremder Regierungen schützen wollte, konnte man als Unternehmen die klassischen Telefonanlagen weitgehend ungeschützt betreiben. Denn Lauschangriffe aus der Firma selbst waren bei der guten alten Zweidrahttechnik nur mit großem technischen Aufwand zu bewerkstelligen. Und sollten die Gespräche zwischen Telefonanlage und Provider abgehört worden sein, dann waren entweder Profis oder Strafverfolger am Werk – und vor diesen Berufsgruppen gibt es ohnehin kaum Schutz.
Diese Zeiten sind aber genauso passé wie klackernde Wählscheiben. Inzwischen sind so gut wie alle modernen Telefonanlagen VoIP-fähig und nutzen diese Funktion zumindest innerhalb des Unternehmens. Für die Anbindung nach außen sorgen zumeist noch herkömmliche Primärmultiplexanschlüsse. VoIP-Telefone haben den großen Vorteil, dass sie über die Netzwerkverkabelung, wie es sie in jedem halbwegs modernen Bürogebäude gibt, Kontakt mit der Anlage aufnehmen. Die Notwendigkeit einer teuren Doppelverkabelung entfällt.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Gleichzeitig handeln sich aber Mitarbeiter zusätzliche Arbeit ein, die zuvor nichts mit Telefonie zu tun hatten: die IT-(Sicherheits-)Verantwortlichen. Denn VoIP-fähige Anlagen sind in Teilen IT-Komponenten und müssen – Achtung: Binsenweisheit! – genau wie diese auch geschützt werden. Die Telefonie ist also nicht länger die schwer bis gar nicht angreifbare Technikinsel.
Herumgesprochen hat sich das offenbar noch nicht hinlänglich, wie z.B. der Infrastructure Security Report von Arbor Networks aufzeigte. Wie der Bericht erläutert, schützen lediglich 21 % aller Internet-Provider ihre Kunden durch eigene Sicherheitsvorkehrungen gegen VoIP-Attacken. Am Georgia Institute of Technology erwarten die Spezialisten hingegen, dass VoIP-Infrastrukturen in Zukunft ähnlich vielfältige und massive Angriffe aushalten müssen, wie es E-Mail-Systeme schon seit Jahren tun.
VoIP nur mit Sprengstoffkommando
Der Grund, warum VoIP im Vergleich zu herkömmlicher Telefonie so gefährdet ist, liegt in der verwendeten Technik: Beinahe alle VoIP-Anlagen arbeiten auf Basis der standardisierten Protokolle SIP (Session Initiation Protocol) und RTP (Real Time Protocol).
Beide Protokolle übertragen die in Datenpakete umgewandelten Gespräche unverschlüsselt. Im Prinzip genügen für einen perfekten Lauschangriff daher zwei Softwaretools, die man gratis im Internet finden kann, und ein PC, der im gleichen Netzwerksegment arbeitet wie die VoIP-Komponenten. Damit kann jeder Mitarbeiter, der Zugang zum internen Netzwerk hat, beliebige Telefonate im kompletten Unternehmen belauschen und mitschneiden. Aufwendiges Equipment à la Industriespionage oder der Wissensschatz eines studierten Nachrichtentechnikers sind gar nicht nötig.
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.
Genau so leicht wie der unberechtigte Lauscher an die Datenpakete kommt, kann ihn der IT-Verantwortliche aber auch aussperren. Dazu bedarf es noch nicht einmal komplexer Technik, sondern nur einer gründlichen Planung der Infrastruktur. Im Endeffekt genügt es, VoIP-Anlage und -Endgeräte über ein physikalisch von den Clients (Notebooks, PCs) getrenntes IP-Netzwerksegment zu verbinden. Dann scheitert die geschilderte Attacke, da sie nur funktioniert, wenn der mit der Netzwerk-Sniffing-Software ausgestattete PC im gleichen Netzwerksegment arbeitet wie die VoIP-Technik.
Wer mangels ausreichender Kabelstränge alle Komponenten im physikalisch gleichen Netzwerk betreiben muss, hat zwei Alternativen. Zum einen hilft ein zwischen Clients und VoIP-Infrastruktur geschalteter IP-Router, da die Attacke nur im gleichen IP-Subnetz funktioniert. Zum anderen beheben durch den Ethernet-Switch erzeugte Virtual Local Area Networks (VLANs) das Problem. Arbeiten Clients und VoIP-Technik in verschiedenen VLANs, ist ebenfalls kein Datenaustausch mehr möglich – und damit auch kein Lauschangriff.
Schlüsselfertige Endgeräte
Überaus hilfreich ist auch die Verschlüsselung der VoIP-Daten zwischen Endgerät und Anlage. Am zuverlässigsten klappt dies, wenn Endgeräte und Anlage vom gleichen Hersteller stammen. Das widerspricht zwar der ursprünglichen Idee von VoIP – dank Standards arbeiten Komponenten verschiedenster Hersteller Hand in Hand, ähnlich wie bei WLAN –, ist in der Praxis aber momentan nicht zu vermeiden. Obwohl es standardisierte Verschlüsselungstechniken wie das Secure Real-Time Transport Protocol (SRTP) gibt, kommt es im Praxiseinsatz aufgrund der unterschiedlichen Implementierungen der Standards durch die verschiedenen Hersteller aber immer wieder zu Kompatibilitätsproblemen.
Wichtig ist auch zu wissen, dass vor allem die Endgeräte die Verschlüsselungstechnik beherrschen müssen. Denn während des Telefonats sind die Geräte direkt per RTP miteinander in Kontakt (Peer to Peer). Anders als herkömmliche Telefonanlagen schalten sich VoIP-Anlagen nur zum Gesprächsauf und -abbau dazwischen. Es ist also egal, wie vielseitig und allgewaltig die Verschlüsselungsfunktionen der Anlage sind. Solange die Telefone keine gesicherten Verbindungen zueinander aufbauen können, gehen die Gespräche unverschlüsselt durchs Intranet.
Firewall aufgepasst!
Nicht genug, dass viele VoIP-Installationen von Haus aus erst einmal unverschlüsselt kommunizieren – sie stellen obendrein ganz eigene Anforderungen an Firewalls, wenn die Gespräche vom Intra- ins Internet vermittelt werden sollen. Wer zwar intern auf VoIP setzt, nach außen hin aber über ein Media Gateway weiterhin das klassische Telefonnetz nutzt, hat damit kein Problem.
Sollen aber direkte VoIP-Verbindungen zwischen innen und außen aufgebaut werden, muss man Folgendes beachten: Das zur Sprach- und auch Videoübertragung zumeist verwendete RTP setzt im Gegensatz zu anderen Protokollen wie HTTP, FTP oder SMTP nicht auf einen fixen TCP/IP-Port, sondern wählt diesen bei jeder neuen Verbindung dynamisch aus. Damit RTP zwischen Intra- und Internet einwandfrei funktioniert, muss die Firewall das Protokoll anhand des Paketinhalts erkennen und den angeforderten Port jeweils dynamisch öffnen und wieder schließen.
Arbeiten die VoIP-Komponenten mit dem ebenfalls verbreiteten Protokoll H.323, wird das Absichern noch komplizierter, da H.323 die Daten im Gegensatz zum Klartextprotokoll RTP von vornherein verschlüsselt. Herkömmliche Firewalls, die keine speziellen Filter mitbringen, können das Protokoll demnach nicht erkennen und somit auch die Ports nicht dynamisch öffnen und schließen.
Ein weiterer Stolperstein für Infrastrukturkomponenten wie Firewalls, Router und Switches ist die notwendige Übertragungsgeschwindigkeit. Denn VoIP-Datenströme verzeihen Verzögerungen nur in sehr geringem Umfang. Schon ab einer Paketlaufzeit von 150 ms fühlen sich empfindliche Zeitgenossen beim Telefonat gestört. Übersteigt die Latenz 400 ms, ähnelt das Gespräch einer Unterhaltung per Walkie-Talkie: Die Gesprächsteilnehmer müssen Pausen zwischen ihren Gesprächsanteilen einlegen, da es sonst zu Kommunikationswirrwarr kommt.
Normalerweise ist der Einfluss von Sicherheitskomponenten wie Firewalls oder Verschlüsselungsprodukte auf die Performance nicht so wichtig, wie es bei Sprach- oder Videoübertragungen der Fall ist. Verzögerungen bei E-Mail-, Web- oder Instant-Messaging-Traffic werden längst nicht so schnell wahrgenommen.
Fazit: Neue Technik, bekannte Probleme
Meldungen über Betrügereien im Zusammenhang mit Telefongebühren erscheinen im Jahr 2009 ein wenig wie Meldungen aus einer längst vergangenen Epoche. Dabei wird diese Art des Betrugs im VoIP-Zeitalter wieder aktuell.
Insbesondere mittelgroße und große VoIP-Installationen bestehen oft aus verschiedenen, teilweise auch physikalisch getrennten Komponenten wie der eigentlichen VoIP-Telefonanlage und dem zur Verbindung mit dem Festnetz notwendigen Media Gateway. Falls dieses aber nicht nach allen Regeln der Kunst konfiguriert und abgesichert ist, akzeptiert es Verbindungsanfragen nicht nur von der benachbarten Telefonanlage, sondern auch von VoIP-Clients und stellt für diese bereitwillig Gesprächsverbindungen zu beliebigen Festnetz- oder Mobilfunkanschlüssen her. Es wurden Fälle bekannt, in denen sich Media Gateways auch offen gegenüber Clients zeigten, die per Internet – also nicht aus dem internen Firmennetzwerk – mit ihnen in Kontakt traten.
In Wirklichkeit waren diese Gateways also für jedermann ohne weitere Sicherungsmechanismen zugänglich. Ein simples Softphone und eine VoIP-Scanning-Software genügten, um die Gateways ausfindig zu machen und zu nutzen. In zwei verschiedenen, dokumentierten Fällen entstanden so binnen kürzester Zeit Schäden in Höhe von 60.000 bzw. sogar 250.000 US$.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing
