Bundesamt für Sicherheit in der Informationstechnik

M 4.287 Sichere Administration der VoIP-Middleware

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei VoIP-Middleware handelt es sich grundsätzlich um Server-Systeme, die mit den gleichen Sicherheitsmaßnahmen zu schützen sind, wie sie auch für andere Serversysteme eingesetzt werden. Darüber hinaus sind weitere Sicherheitsmaßnahmen anzuwenden, die den besonderen Bedrohungen bei VoIP-Systemen gerecht werden.

Vor der Inbetriebnahme müssen die VoIP-Komponenten sicher konfiguriert werden. Das Vorgehen bei der Erstinstallation ist zu dokumentieren. Im Folgenden werden einige Punkte vorgestellt, die für eine sichere Konfiguration und Administration berücksichtigt werden müssen.

Leistungsmerkmale

VoIP-Systeme bieten, wie auch traditionelle TK-Systeme, eine Vielzahl verschiedener Leistungsmerkmale. Es sollte vor Inbetriebnahme eines VoIP-Systems geklärt sein, welche Leistungsmerkmale und Funktionalitäten vorhanden sind und welche benötigt werden (siehe M 2.372 Planung des VoIP-Einsatzes ). Die nicht benötigten sowie die sicherheitskritischen Leistungsmerkmale müssen deaktiviert werden. Zu den sicherheitskritischen Leistungsmerkmalen gehören beispielsweise das Aufschalten auf ein bestehendes Gespräch, Raumüberwachungsfunktionen und Wechselsprechen.

Administration und Zugänge

Administration und Konfiguration der Middleware ist immer an der Konsole oder über gesicherte Verbindungen durchzuführen. Die Administration kann beispielsweise über eine Secure Shell (SSH) oder eine verschlüsselte VPN-Verbindung erfolgen.

Viele VoIP-Systeme ermöglichen eine Konfiguration über eine Web-Oberfläche. Der dabei installierte Web-Server kann ein zusätzliches Sicherheitsrisiko darstellen. Daher ist es empfehlenswert, den Web-Server für eine mögliche Web-basierte Konfigurationsoberfläche nicht auf der kritischen Middleware, wie Gateways und Gatekeeper zu betreiben. Eine Web-basierte Konfiguration sollte immer gesichert erfolgen, beispielsweise durch den Einsatz von SSL oder TLS.

Bei der Planung des Administrationskonzeptes sollte ein Rollenkonzept vorgesehen sein, das verschiedene Berechtigungsstufen umfasst. Jeder Rolle sollten im Sinne einer Vertretungsregelung mindestens zwei Personen zugeordnet werden.

Sehr oft bietet es sich an, die VoIP-Komponenten, wie Softphones oder Middleware-Applikationen, auf Standard-PCs mit allgemein verbreiteten Betriebssystemen zu installieren. Die Administration der Betriebssysteme ist, wenn möglich, von der Administration der VoIP-Applikationen personell zu trennen.

Konfigurationsänderungen sollten durch das System so protokolliert werden, dass Manipulationen zeitnah nachvollzogen werden können. Die Protokolldaten selber müssen so abgesichert werden, dass Manipulationen an ihnen ausgeschlossen sind. Hierauf sollten auch Administratoren möglichst keine Zugriffsmöglichkeiten haben. Zum Schutz der Protokolldaten können diese z. B. auf WORM-Medien gespeichert werden oder der Zugriff kann auf Revisoren beschränkt werden.

Backup

Ein umfassendes Datensicherungskonzept ist eine zentrale Anforderung zur Sicherstellung bzw. zur raschen Wiederherstellung der Verfügbarkeit, aber auch, um die Integrität jederzeit überprüfen zu können. Dabei ist darauf zu achten, dass bei der Sicherung personenbezogener Daten, wie beispielsweise privater Verbindungsdaten, diese so abgelegt werden, dass sie vor unbefugtem Zugriff geschützt sind, also beispielsweise verschlüsselt.

Sicherheit der Software

Es ist darauf zu achten, dass die eingesetzte Software immer auf einem aktuellen Stand ist und etwaige sicherheitsrelevante Patches unverzüglich aufgespielt werden. Dies gilt insbesondere auch für das eingesetzte Betriebssystem.

Es muss gewährleistet werden, dass nur Original-Updates und -Patches eingespielt werden. Dies gilt sowohl für die Beschaffung, beispielsweise von den Internetseiten eines Herstellers, als auch für die Übertragung auf die VoIP-Komponenten. Durch folgende Maßnahmen können die Manipulationen bei der Übertragung erschwert beziehungsweise entdeckt werden:

  • Vergleich von Prüfsummen
  • Nutzung von sicheren Kommunikationswegen
  • Verwendung von Zertifikaten

Für die Verlässlichkeit des Gesamtsystems ist eine korrekt implementierte Software von großer Bedeutung. Insbesondere die vitalen Funktionen des Telefoniesystems, wie die einfache Vermittlung von Gesprächen und die Gateway-Funktion in das digitale Fernsprechnetz, sollten daher einem besonderen Evaluierungsprozess unterzogen werden.

Wünschenswert ist es deshalb, dass die Software für die Basisfunktionen des Telefoniesystems, wie die einfache Vermittlung von Gesprächen und die Gateway-Funktion in das digitale Fernsprechnetz, nach einem bewährten Modell entwickelt und möglichst auch von einer unabhängigen Instanz überprüft wurde.

Betriebssystemsicherheit

Die VoIP-Komponenten sollten so konzipiert werden, dass verschiedene Dienste auf verschiedenen Servern betrieben werden (siehe auch M 4.97 Ein Dienst pro Server ). Allerdings ist insbesondere bei kompakten Stand-alone-Systemen, die meist nur aus einer Hardware-Komponente bestehen, die vollständige Trennung von Diensten nicht immer möglich.

Das eingesetzte Betriebssystem sollte als minimales Betriebssystem (siehe M 4.95 Minimales Betriebssystem ) ausgelegt sein und die Anzahl der auf der Middleware ausgeführten Applikationen so klein wie möglich gehalten werden. Jede zusätzliche Applikation kann Schwachstellen enthalten, die für Angriffe ausgenutzt werden können. Daher ist genau zu prüfen, welche Applikationen benötigt werden. Nicht benötigte Anwendungen sind zu deinstallieren. Software, die nur zur Installation benötigt wird, sollte im Anschluss gelöscht werden (beispielsweise Compiler). Nicht benötigte Netzdienste sind ebenfalls zu deaktivieren und der Zugriff auf die verbleibenden Netzdienste ist durch lokale Paketfilter zu beschränken.

Prüffragen:

  • Wird die Default-Konfiguration der VoIP -Komponenten vor der produktiven Inbetriebnahme abgeändert?

  • Sind sicherheitskritische und nicht benötigte Leistungsmerkmale wie Aufschalten auf ein bestehendes Gespräch "Raumüberwachung" und "Wechselsprechen" deaktiviert?

  • Wird die Middleware nur an der Konsole oder über gesicherte Verbindungen administriert und konfiguriert?

  • Einsatz von VoIP -Middleware: Gibt es ein Administrationskonzept das ein Rollenkonzept mit verschiedenen Berechtigungsstufen enthält?

  • Entspricht die Administration der Betriebssystemebene und der VoIP-Applikationsebene dem Rollenkonzept und der Berechtigungsstruktur?

  • Einsatz von VoIP -Middleware: Sind Sicherheitsvorfälle aus den Protokolldaten ersichtlich?

  • Sind die Protokolldaten durch geeignete Sicherheitsmaßnahmen geschützt?

  • Einsatz von VoIP -Middleware: Sind Backups, die personenbezogene Daten beinhalten, vor unbefugtem Zugriff geschützt?

  • Einsatz von VoIP -Middleware: Werden die eingesetzten Software-Komponenten durch regelmäßige Updates aus vertrauenswürdigen Quellen auf dem Stand der Technik gehalten?

  • Einsatz von VoIP -Middleware: Existiert eine Regelung zur Dienste- und Servertrennung?

  • Wird das System, durch den Einsatz eines minimalen Betriebssystems und der Verwendung von ausschließlich "notwendigen Applikationen", ausreichend gehärtet?

  • Wird untersucht welche Applikationen benötigt werden und werden nicht benötigte Applikationen und Netzdienste deinstalliert, deaktiviert oder der Zugriff beschränkt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK