Bundesamt für Sicherheit in der Informationstechnik

M 4.288 Sichere Administration von VoIP-Endgeräten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Wie die VoIP-Middleware müssen auch die VoIP-Endgeräte zahlreiche Sicherheitsvorgaben erfüllen. Ein Unterschied zwischen den Sicherheitsmaßnahmen der Middleware besteht darin, wie diese sicher konfiguriert werden.

Vertrauenswürdige Firmware-Updates

Viele VoIP-Endgeräte bieten die Möglichkeit zum automatischen Update ihrer Firmware. Es muss sichergestellt werden, dass neue Firmware nur nach erfolgreicher Überprüfung der Authentizität und Integrität des Codes auf die Endgeräte aufgespielt wird. Falls der Hersteller für die Updates Prüfsummen zur Verfügung stellt oder die Update-Pakete digital signiert, müssen die Prüfsummen oder Signaturen vor der Installation überprüft werden. Stellt der Hersteller keine Prüfsummen bereit, muss sichergestellt sein, dass Updates nur über vertrauenswürdige Quellen bezogen werden.

Vertrauenswürdiges Konfigurieren und Digitale Zertifikate

Die meisten VoIP-Endgeräte bieten verschiedene Möglichkeiten zur Konfiguration. Beispiele hierfür sind die lokale Konfiguration am Endgerät, die Web-basierte Konfiguration durch Zugriff auf einen im Endgerät integrierten Webserver sowie die automatische Konfiguration durch "Ziehen" (Pull) der Konfiguration von einem http(s)- oder TFTP -Server.

Die lokale Konfiguration wird in der Praxis selten eingesetzt. Sie sollte mit einem Passwort geschützt sein. Falls sie nicht genutzt werden soll, sollte sie deaktiviert werden. Der Zugang zur Web-basierten Konfiguration sollte ebenfalls nur mit einem Passwort möglich sein und über eine gesicherte Verbindung, beispielsweise über SSL oder TLS, erfolgen. Ein zusätzlicher Schutz wird durch die Verwendung eines Client-Zertifikats zur Authentisierung der Clients erreicht.

Die automatische Konfiguration über einen TFTP-Server sollte nicht gewählt und stattdessen deaktiviert werden, da sie nicht ausreichend sicher ist. Insbesondere die automatische Auswahl eines TFTP-Servers während des DHCP -Bootvorganges bietet zahlreiche Angriffsmöglichkeiten.

Eine automatische Konfiguration sollte grundsätzlich über einen https-Server erfolgen. Der https-Server sollte sich mit einem Zertifikat authentisieren, das vom Endgerät vor dem Laden der Konfiguration überprüft werden kann. Üblicherweise wird das Server-Zertifikat bei der Erstinbetriebnahme manuell auf die Endgeräte installiert.

Sicherheitsfunktionalität

Viele VoIP-Telefone bieten die Möglichkeit zur passwortbasierten ein- oder mehrstufigen Zugangskontrolle (z. B. personenbezogenes Login oder Passwort für Amtsberechtigung). Es ist zu entscheiden, ob die Benutzer nur mit einer vorherigen Anmeldung das Telefon benutzen dürfen. Bei aktiviertem Passwortschutz sollten dann nur Notrufdienste zur Verfügung stehen. Um eine Nutzung durch unautorisierte Personen zu verhindern, müssen die Benutzer dann auch bei kurzfristiger Abwesenheit das Telefon sperren.

Sicherheitsfunktionalitäten, wie beispielsweise Anmeldepasswörter oder Passwörter für Amtsberechtigungen, müssen vor dem Produktiveinsatz ausführlich getestet werden, ob sie auch korrekt implementiert sind. Diese Authentisierungsmechanismen sollten von den Benutzern verwendet werden. Allerdings müssen sie über die Schwächen informiert werden. Anderenfalls besteht die Gefahr, dass nur eine Scheinsicherheit besteht.

Softphones werden in der Regel auf einem Standard-PC, der weitere Aufgaben erfüllt, betrieben. Dieser muss ebenfalls so administriert werden, dass er ein angemessenes Sicherheitsniveau erreicht. Hierzu gehören beispielsweise auch Maßnahmen, dass das Mikrofon nicht durch Dritte aktiviert werden kann. Wird diese Anforderung nicht umgesetzt, könnte das Mikrofon durch einen Angreifer zum Abhören missbraucht werden.

Durch die umfangreiche Angriffsfläche, die komplexe Arbeitsplatzsysteme bieten können, dürfen bei einem hohen oder sehr hohen Schutzbedarf keine Softphones eingesetzt werden.

In der Dokumentation der Komponenten sind oft Informationen zu finden, welche weiteren Sicherheitsfunktionen unterstützt werden. Es ist zu dokumentieren, welche Sicherheitsfunktionen aktiviert wurden.

Prüffragen:

  • Werden die Authentizität und die Integrität von Firmware, Updates und Patches vor dem Einspielen auf die Endgeräte überprüft?

  • Werden nicht benötigte Funktionen der Endgeräte per Konfigurationseinstellungen deaktiviert?

  • Bei Einsatz der lokalen Konfiguration: Ist der Zugriff auf die lokale Konfiguration durch anerkannte Zugangsmerkmale geschützt?

  • Bei Einsatz der webbasierten Konfiguration: Ist der Zugriff auf die webbasierten Konfiguration über sichere Pfade und Zugangsmerkmale abgesichert?

  • Bei Einsatz der automatischen Konfiguration: Erfolgt vor der Konfiguration eine beidseitige Authentisierung der Kommunikationspartner?

  • Bei Nutzung der Anmeldefunktion: Sperren die Nutzer ihr Endgerät bei Abwesendheit und sind Notrufdienste auch ohne Anmeldung verfügbar?

  • Werden die Sicherheitsfunktionalitäten der Endgeräte vor dem produktiven Einsatz getestet?

  • Einsatz von Softphones: Entspricht das Sicherheitsniveau des IT -Systems, auf dem das Softphone betrieben wird, den Sicherheitsanforderungen der Organisation?

  • Bei hohem oder sehr hohem Schutzbedarf: Wird auf den Einsatz von Softphones verzichtet?

  • Werden die eingesetzten Sicherheitsmechanismen und die verwendeten Parameter dokumentiert?

Stand: 13. EL Stand 2013