Bundesamt für Sicherheit in der Informationstechnik

B 4.7 VoIP

Logo VoIP

Beschreibung

Für die Übertragung der Signalisierungsinformationen, zum Beispiel bei einem Anruf, werden spezielle Signalisierungsprotokolle eingesetzt. Die eigentlichen Nutzdaten, wie Sprache oder Video, werden mit Hilfe eines Medientransportprotokolls übermittelt. Beide Protokolle werden jeweils für den Aufbau und die Aufrechterhaltung einer Multimediaverbindung benötigt. Bei einigen Technologien wird nur ein Protokoll sowohl für die Signalisierung als auch den Medientransport benötigt.

Dieser Baustein betrachtet die Sicherheitsaspekte der Endgeräte und Vermittlungseinheiten (Middleware). Die hier beschriebenen Komponenten gleichen hinsichtlich ihrer Funktionalität den im Baustein B 3.401 TK-Anlage beschriebenen Telekommunikationsanlagen.

Gefährdungslage

Auch beim Einsatz von VoIP sind eine Reihe von Gefährdungen zu berücksichtigen. Viele davon lassen sich auf die Datennetze zurückführen, die für VoIP genutzt werden. Hierzu gehören zahlreiche Angriffe auf die Vertraulichkeit, wie beispielsweise Sniffen, und auf die Verfügbarkeit.

Generell gilt, dass die Gefährdungslage der einzelnen Komponenten immer auch vom Einsatzszenario, beispielsweise der Nutzung als Endgerät oder Middleware, abhängt und diese Einzelgefährdungen auch in die Gefährdung des Gesamtsystems eingehen.

Für den IT-Grundschutz beim Einsatz von VoIP werden folgende Gefährdungen angenommen:

Organisatorische Mängel

G 2.112 Unzureichende Planung von VoIP
G 2.113 Unzureichende Planung der Netzkapazität beim Einsatz von VoIP

Menschliche Fehlhandlungen

G 3.7 Ausfall der TK-Anlage durch Fehlbedienung
G 3.82 Fehlerhafte Konfiguration der VoIP-Middleware
G 3.83 Fehlerhafte Konfiguration von VoIP-Komponenten

Technisches Versagen

G 4.56 Ausfall der VoIP-Architektur
G 4.57 Störungen beim Einsatz von VoIP über VPNs
G 4.58 Schwachstellen beim Einsatz von VoIP-Endgeräten
G 4.59 Nicht-Erreichbarkeit bei VoIP durch NAT

Vorsätzliche Handlungen

G 5.11 Vertraulichkeitsverlust von in TK-Anlagen gespeicherten Daten
G 5.12 Abhören von Telefongesprächen und Datenübertragungen
G 5.13 Abhören von Räumen über TK-Endgeräte
G 5.14 Gebührenbetrug
G 5.15 Missbrauch von Leistungsmerkmalen von TK-Anlagen
G 5.134 Fehlende Identifizierung zwischen Gesprächsteilnehmern
G 5.135 SPIT und Vishing
G 5.136 Missbrauch frei zugänglicher Telefonanschlüsse

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Da VoIP über Datennetze betrieben wird, muss der Baustein B 4.1 Lokale Netze für eine Sicherheitsbetrachtung hinzugezogen werden. Weiterhin sind die im Datennetz befindlichen aktiven Netzkomponenten zu berücksichtigen. Diese werden im Baustein B 3.302 Router und Switches betrachtet.

Statt auf Spezialgeräten, sogenannten Appliances, wird VoIP sehr oft auf gewöhnlichen IT-Systemen betrieben. Für den Betrieb einer Middleware-Komponente wird auf dem IT-System ein entsprechender Netzdienst benötigt. Daher ist in diesem Fall der Baustein B 3.101 Allgemeiner Server zu berücksichtigen.

Als Softphone wird eine client-seitige Software bezeichnet, die es erlaubt, einen Multimedia-PC mit Mikrofon als Telefonie-Endgerät zu nutzen. Wird ein Softphone verwendet, ist auf den beteiligten Client der Baustein B 3.201 Allgemeiner Client anzuwenden. Weiterhin muss sowohl bei der Middleware als auch beim Softphone der Baustein für das Betriebssystem, das auf dem jeweiligen IT-System genutzt wird, berücksichtigt werden, beispielsweise B 3.102 Server unter Unix beziehungsweise B 3.209 Client unter Windows XP .

Für den Einsatz von VoIP sollten im Hinblick auf die Informationssicherheit folgende Schritte bezüglich der Endgeräte und der Middleware durchlaufen werden:

Planung des Einsatzes von VoIP

Der Einsatz von VoIP muss sorgfältig geplant werden (siehe M 2.372 Planung des VoIP-Einsatzes ). In der Maßnahme M 3.57 Szenarien für den Einsatz von VoIP werden mögliche Einsatzbereiche von VoIP vorgestellt. Die Auswahl eines Signalisierungsprotokolls spielt eine wichtige Rolle, weil die verschiedenen Hersteller von VoIP-Geräten oft nur ein Protokoll unterstützen. Da die Signalisierungsprotokolle untereinander nicht kompatibel sind, beeinflusst die Entscheidung für ein Signalisierungsprotokoll die Auswahl der VoIP-Komponenten. In der Maßnahme M 5.133 Auswahl eines VoIP-Signalisierungsprotokolls werden die verbreitetsten Protokolle skizziert.

Beim Telefonieren über VoIP können die gleichen Probleme wie bei jeder anderen Kommunikation über IP auftreten. Viele der von IP-Datennetzen bekannten Angriffe auf die Vertraulichkeit und Integrität können direkt für VoIP übernommen werden. Schutz hiergegen bietet unter anderem eine Verschlüsselung der Signalisierungs- oder Medientransportinformationen. Welche Inhalte in welchen Netzen geschützt werden sollten, verdeutlicht die Maßnahme M 2.374 Umfang der Verschlüsselung von VoIP . Die Maßnahmen M 5.134 Sichere Signalisierung bei VoIP und M 5.135 Sicherer Medientransport mit SRTP vertiefen die Funktionsweise der Verschlüsselung für Signalisierungs- und Medientransportinformationen.

Parallel dazu ist die allgemeine Sicherheitsrichtlinie um eine detaillierte Richtlinie für den Einsatz von VoIP zu ergänzen (siehe M 2.373 Erstellung einer Sicherheitsrichtlinie für VoIP ).

Beschaffung

Im nächsten Schritt sollte die Beschaffung der Endgeräte und der VoIP-Middleware erfolgen. Dabei können Softwarelösungen oder Appliances eingesetzt werden. Aufbauend auf die Einsatzszenarien sind die Anforderungen an die zu beschaffenden Produkte zu formulieren und basierend darauf die Auswahl der geeigneten Produkte zu treffen. In der Maßnahme M 2.375 Geeignete Auswahl von VoIP-Systemen sind Empfehlungen für die Auswahl zu finden.

Umsetzung

Um auf die Einführung oder den Umstieg auf VoIP vorbereitet zu sein, sollten die Administratoren ausreichend geschult werden (siehe M 3.56 Schulung der Administratoren für die Nutzung von VoIP ).

Neben VoIP-spezifischen Änderungen muss oft das bestehende IP-Datennetz angepasst werden. In einigen Fällen bietet es sich an, zwei Datennetze parallel zu betreiben. Die nicht immer unproblematische Trennung des VoIP-Sprachnetzes vom restlichen Datennetz, die in M 2.376 Trennung des Daten- und VoIP-Netzes beschrieben wird, kann durch logische oder physikalische Segmentierung erfolgen. Daneben sollte auch der Zugriff auf die VoIP-Komponenten abgesichert werden (siehe Maßnahme M 4.289 Einschränkung der Erreichbarkeit über VoIP ). Falls keine physische Trennung erfolgt, sollten Regelungen für die priorisierte Weiterleitung von VoIP-Paketen getroffen werden, um einer Netzüberlastung vorzubeugen. Diese werden unter anderem in der Maßnahme M 5.136 Dienstgüte und Netzmanagement bei VoIP vorgestellt.

Besonders für die Erreichbarkeit aus einem öffentlichen Netz müssen Vorkehrungen getroffen werden. Diese betrifft unter anderem die Anpassung des Übergangs zwischen dem öffentlichen und privaten Netz. Beispielsweise kann die Übersetzung von privaten IP-Adressen in öffentliche IP-Adressen über Network Adress Translation (NAT) sehr aufwendig sein (siehe Maßnahme M 5.137 Einsatz von NAT für VoIP ). Aber auch für den Sicherheitsgateway gelten besondere Voraussetzungen, die in Maßnahme M 4.290 Anforderungen an ein Sicherheitsgateway für den Einsatz von VoIP beschrieben sind.

Betrieb

Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen, siehe M 4.287 Sichere Administration der VoIP-Middleware und M 4.288 Sichere Administration von VoIP-Endgeräten . Um auf Probleme reagieren zu können, müssen wichtige Ereignisse protokolliert und ausgewertet werden. Empfehlungen hierfür sind in Maßnahme M 4.292 Protokollierung bei VoIP zu finden.

Eine Benutzer-Schulung über die Benutzung eines Telefons ist oft nicht wirtschaftlich und sinnvoll, auch wenn typische Büro-Endgeräte heutzutage hochkomplex sind. Dennoch sollten die Anwender über grundlegende Gefährdungen informiert werden, siehe hierzu die Maßnahmen M 3.12 Information aller Mitarbeiter über mögliche TK-Warnanzeigen, -symbole und -töne und M 3.13 Sensibilisierung der Mitarbeiter für mögliche TK-Gefährdungen .

Aussonderung

Sehr oft sind im Speicher der VoIP-Komponenten schutzbedürftige Informationen abgelegt. Bei der Entsorgung der Komponenten sollte die Maßnahme M 2.377 Sichere Außerbetriebnahme von VoIP-Komponenten berücksichtigt werden.

Notfallvorsorge

Nur eine regelmäßige und umfassende Datensicherung gewährleistet zuverlässig, dass alle gespeicherten Daten auch im Falle von Störungen, Ausfällen der Hardware oder (absichtlichen oder unabsichtlichen) Löschungen wieder verfügbar gemacht werden können. Die notwendigen Maßnahmen sind im Baustein B 1.4 Datensicherungskonzept beschrieben. Darüber hinaus sollte das Datensicherungskonzept um die Datensicherung der VoIP-Komponeten, wie sie in Maßnahme M 6.101 Datensicherung bei VoIP beschrieben ist, erweitert werden.

Einige Hinweise zu besonderen Aspekten, die bei der Notfallvorsorge für einen VoIP-Server beachtet werden sollten, sind in Maßnahme M 6.100 Erstellung eines Notfallplans für den Ausfall von VoIP beschrieben.

Für den Einsatz von VoIP sind folgende Maßnahmen umzusetzen:

Planung und Konzeption

M 2.28 (Z) Bereitstellung externer TK-Beratungskapazität
M 2.372 (A) Planung des VoIP-Einsatzes
M 2.373 (A) Erstellung einer Sicherheitsrichtlinie für VoIP
M 2.374 (C) Umfang der Verschlüsselung von VoIP
M 3.57 (W) Szenarien für den Einsatz von VoIP
M 5.133 (A) Auswahl eines VoIP-Signalisierungsprotokolls
M 5.134 (C) Sichere Signalisierung bei VoIP
M 5.135 (C) Sicherer Medientransport mit SRTP

Beschaffung

M 2.375 (C) Geeignete Auswahl von VoIP-Systemen

Umsetzung

M 1.30 (A) Absicherung der Datenträger mit TK-Gebührendaten
M 2.29 (B) Bedienungsanleitung der TK-Anlage für die Benutzer
M 2.376 (C) Trennung des Daten- und VoIP-Netzes
M 3.56 (A) Schulung der Administratoren für die Nutzung von VoIP
M 4.7 (A) Änderung voreingestellter Passwörter
M 4.10 (C) Schutz der TK-Endgeräte
M 4.287 (A) Sichere Administration der VoIP-Middleware
M 4.288 (A) Sichere Administration von VoIP-Endgeräten
M 4.289 (A) Einschränkung der Erreichbarkeit über VoIP
M 4.290 (C) Anforderungen an ein Sicherheitsgateway für den Einsatz von VoIP
M 5.136 (B) Dienstgüte und Netzmanagement bei VoIP
M 5.137 (C) Einsatz von NAT für VoIP

Betrieb

M 3.12 (B) Information aller Mitarbeiter über mögliche TK-Warnanzeigen, -symbole und -töne
M 3.13 (B) Sensibilisierung der Mitarbeiter für mögliche TK-Gefährdungen
M 4.5 (B) Protokollierung bei TK-Anlagen
M 4.6 (C) Revision der TK-Anlagenkonfiguration
M 4.291 (A) Sichere Konfiguration der VoIP-Middleware
M 4.292 (A) Protokollierung bei VoIP

Aussonderung

M 2.377 (B) Sichere Außerbetriebnahme von VoIP-Komponenten

Notfallvorsorge

M 6.29 (Z) TK-Basisanschluss für Notrufe
M 6.100 (A) Erstellung eines Notfallplans für den Ausfall von VoIP
M 6.101 (A) Datensicherung bei VoIP

Stand: 10. EL Stand 2008

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK