Bundesamt für Sicherheit in der Informationstechnik

M 4.289 Einschränkung der Erreichbarkeit über VoIP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In den wenigsten Fällen ist es ratsam, dass direkt aus dem Internet auf die VoIP-Komponenten einer Behörde beziehungsweise eines Unternehmens zugegriffen werden kann. Ein direkter Zugriff, beispielsweise durch den Verbindungsaufbau auf eine interne IP-Adresse, kann einem Angreifer zahlreiche Möglichkeiten eröffnen. Daher ist zu entscheiden, wie externen Gesprächspartnern die Kontaktaufnahme über die VoIP-Architektur ermöglicht werden soll.

Zunächst ist zu prüfen, ob überhaupt der direkte Aufbau einer VoIP-Verbindung von außerhalb unterstützt werden soll. Oft ist es ausreichend, dass die Kontaktaufnahme über ein leitungsvermittelndes Telefonnetz stattfindet. In diesem Fall dürfen keine internen VoIP-Komponenten aus dem öffentlichen Datennetz erreichbar sein. Auf das Gateway, das zwischen dem öffentlichen, leitungsvermittelnden Telefonnetz und dem lokalen VoIP-Netz betrieben wird, sollte vom öffentlichen Datennetz ebenfalls kein Zugriff möglich sein. Bei einem generellen Verzicht auf die Erreichbarkeit über VoIP von außen ergeben sich aber Nachteile für externe Gesprächspartner. Besitzen diese einen Anschluss an ein öffentliches Datennetz, müssen sie dennoch über das öffentliche, leitungsvermittelnde Telefonnetz eine Verbindung aufbauen. Die hierfür anfallenden Kosten sind in der Regel höher als die für ein direkter Verbindungsaufbau zu einer VoIP-Adresse, wie einer SIP-URL. Da diesem Nachteil jedoch viele Vorteile, besonders bei sicherheitskritischen Anwendungsfällen, gegenüberstehen, sollte die Erreichbarkeit über VoIP von außen kritisch betrachtet werden.

Werden Verbindungen von außen nur über das öffentliche, leitungsvermittelnde Telefonnetz zugelassen, so kann auch SPIT (Spam over IP-Telephone) vermieden werden. Da SPIT dann nicht kostengünstig über das Datennetz übermittelt werden kann, fallen die gleichen Kosten wie bei einem Anruf bei einem Benutzer an, der nicht VoIP einsetzt.

Soll dennoch ein Verbindungsaufbau von oder in das öffentliche Datennetz gewünscht werden, ist die Entscheidung inklusive der Restrisiken zu dokumentieren. Außerdem müssen entsprechende Sicherheitsmaßnahmen ergriffen werden. Beispielsweise kann der gesamte Datenverkehr über einen Konzentrator geleitet werden, der wie ein Proxy-Server Verbindungsanfragen annimmt und an das nächste System, wie beispielsweise einen weiteren Server oder direkt an ein Endgerät, weiterleitet. Bei dem Einsatz eines Konzentrators sollten folgende Punkte beachtet werden:

  • Sowohl die Signalisierungs- als auch die Sprachinformationen zwischen dem öffentlichen und privaten Datennetz müssen über den Konzentrator geleitet werden. Der Aufbau von individuellen Verbindungen sollte unterbunden werden. Die Paketfilter und Sicherheitsgateways müssen dementsprechend konfiguriert werden, so dass die VoIP-Kommunikation mit externen Kommunikationspartnern nur über einen Konzentrator stattfinden kann. Beispielsweise kann der Konzentrator innerhalb der demilitarisierten Zone ( DMZ ) des Sicherheitsgateways betrieben werden. Auf diese Weise könnte der direkte Verbindungsaufbau aus dem lokalen Netz ins öffentliche Netz beziehungsweise aus dem öffentlichen Netz ins lokale Netz vermieden werden.
  • Wegen eines fehlenden Signalisierungsstandards empfiehlt es sich, so viele Signalisierungsprotokolle wie möglich nach außen zu unterstützen. Daher sollte der Konzentrator als Gateway zwischen den im lokalen Datennetz verwendeten Protokoll und den Protokollen, die für externe Benutzer zur Verfügung stehenden, betrieben werden können.
  • Um einem Missbrauch entgegenzuwirken, sollte ein Gesprächsaufbau aus dem internen in das externe Datennetz nur nach einer Authentisierung am Konzentrator möglich sein.
  • Bei Verbindungen innerhalb des lokalen Datennetzes sollte der Konzentrator nicht beteiligt werden.
  • Es muss festgelegt werden, welche Funktionen neben der Sprachkommunikation externen Teilnehmern angeboten werden sollen.
  • Der Konzentrator sollte Signalisierungs- und Sprachpakete, die nicht protokollkonform (Beispiele sind zu große Datenpakete) sind, erkennen und abweisen.
  • Da direkt auf den Konzentrator aus dem öffentlichen Datennetz zugegriffen werden kann, sollte die sicherheitskritische Konfiguration im Vordergrund stehen.
  • Gesprächsteilnehmer aus dem öffentlichen Datennetz müssen die IP-Adresse des Konzentrators kennen, um eine Verbindung zu ihm aufbauen zu können. Daher bietet es sich an, die Adresse des Konzentrators durch einen entsprechenden Eintrag im DNS -Server der Behörde beziehungsweise des Unternehmens zu veröffentlichen.
  • Der Empfang, die Bearbeitung und die Weiterleitung der Sprach- und Signalisierungsinformationen können hohe Ressourcen beanspruchen. Daher sollte sowohl die Netzanbindung als auch die Systemressourcen ausreichend dimensioniert werden.
  • Werden hohe Anforderungen an die Verfügbarkeit der Erreichbarkeit gestellt, sollte der Konzentrator redundant ausgelegt werden können. Bei einer redundanten Auslegung zur Lastverteilung müssen die verbleibenden Systeme genügend Ressourcen bereitstellen, um einen möglichen Ausfall ausgleichen zu können.

Viele Hersteller bieten hierfür teilweise proprietäre Systeme an. Als Alternative im Open-Source-Umfeld erfüllt die Software-Telefonanlage Asterisk, die als Appliance betrieben kann, viele diese Anforderungen. Ein weiterer Vorteil beim Einsatz eines Konzentrators ist die Vermeidung der Probleme, die bei der Verwendung von NAT (Network Adress Translation) auftreten.

Prüffragen:

  • Existiert eine Regelung zur Kontaktaufnahme für externe Gesprächspartner?

  • Kontaktaufnahme durch ein leitungsvermittelndes Telefonnetz: Wird der Zugriff auf die VoIP -Architektur gemäß der Sicherheitsrichtlinie beschränkt?

  • Erlaubter Verbindungsaufbau aus dem oder in das öffentliche Datennetz: Sind Sicherheitsmaßnahmen entsprechend der Sicherheitsrichtlinie umgesetzt?

  • Erlaubter direkter Verbindungsaufbau zwischen Endgerät und Datennetz: Existiert eine Risikoanalyse für die VoIP -Schnittstelle?

  • Einsatz eines Konzentrators: Laufen alle Signalisierungsinformationen und Sprachinformationen zwischen dem öffentlichem und dem privatem Datennetz nur über den autorisierten Konzentrator?

Stand: 13. EL Stand 2013