Bundesamt für Sicherheit in der Informationstechnik

G 3.83 Fehlerhafte Konfiguration von VoIP-Komponenten

Unabhängig davon, ob es sich bei VoIP -Komponenten um dedizierte Hardware (Appliances) oder softwarebasierte Systeme handelt, spielt die Konfiguration eine entscheidende Rolle. Neben den Einstellungen zur Signalisierung, die im Verlauf der Planung festgelegt wurden, spielt das Übertragungsverfahren für die Medienströme eine wichtige Rolle. Durch ein Kompressionsverfahren kann die Größe der IP -Pakete mit den Sprachinformationen verkleinert werden.

Sehr oft führt der Einsatz eines ungeeigneten Verfahrens, das die Sprachinformationen zu stark komprimiert, zu einer Verschlechterung der Sprachqualität. Wird hingegen ein Verfahren gewählt, das eine zu geringe Kompression vornimmt, wird der Nachrichtenstrom nicht ausreichend vermindert und das IP-Netz kann überlastet werden.

Um die Vertraulichkeit der Telefongespräche zu schützen, kann bei einigen wenigen Protokollen zur Medienübertragung, wie SRTP , eine Verschlüsselung genutzt werden. Um der Protokollierung an eventuell benötigten Vermittlungssystemen entgegenzuwirken, kann bei vielen verschlüsselten Protokollen die Verschlüsselung direkt zwischen den Endgeräten erfolgen. Eine Fehlkonfiguration kann dabei zu einer unverschlüsselten Übertragung führen, möglicherweise sogar ohne dass dies von den Benutzern bemerkt wird. Werden zu schwache Verschlüsselungsverfahren oder zu kurze Schlüssellängen gewählt, kann ein Angreifer die Kommunikation unter Umständen trotz Verschlüsselung mithören.

Nicht nur das Abhören von Gesprächen kann für einen Angreifer interessant sein. Auch die Informationen, die bei der Signalisierung übertragen werden, können von einem Angreifer missbraucht werden. Wird durch eine fehlerhafte Einstellung im Endgerät das Passwort bei der Anmeldung im Klartext übertragen, könnte der Angreifer sich beispielsweise für einen anderen Benutzer ausgeben, obwohl alle beteiligten VoIP-Komponenten sicherere (Challenge-Response-) Verfahren unterstützen. Durch diesen Identitätsdiebstahl könnte der Angreifer auf Kosten des Opfers telefonieren oder weitere Dienste, wie das Abhören vom Anrufbeantworter, missbrauchen.

Sehr oft werden Applikationen, wie Softphones oder softwarebasierte Telefonanlagen, auf einem Standard- PC betrieben. Hierfür muss ein handelsübliches Betriebssystem installiert sein, auf dem die Programme ausgeführt werden. Fehler in der Administration und Konfiguration des Betriebssystems können große Auswirkungen auf den Betrieb und die Sicherheit der VoIP-Applikationen haben.

Unabhängig davon, ob auf dem IT -System ein Endgerät (Softphone) oder eine Vermittlungsanlage (Software- TK -Anlage) betrieben wird, können durch eine fehlerhafte Verteilung von Zugriffsrechten auf der einen Seite bestimmte Funktionalitäten nicht genutzt oder auf der anderen Seite fälschlich vergebene Zugriffsrechte missbraucht werden.

Stand: Stand 2006