Bundesamt für Sicherheit in der Informationstechnik

M 4.291 Sichere Konfiguration der VoIP-Middleware

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Funktion und die Sicherheit der VoIP-Middleware wird wesentlich durch die eingestellten Konfigurationsparameter bestimmt. Sehr oft werden mehrere unabhängige VoIP-Komponenten, wie Gatekeeper und Gateways, benötigt. Das nicht abgestimmte Ändern eines Konfigurationsparameters bei einer Komponente kann daher im Zusammenspiel mit den anderen Komponenten zu Fehlfunktionen führen.

Die für die VoIP-Komponenten zuständigen Administratoren müssen nach der Inbetriebnahme zahlreiche weitere Änderungen vornehmen können. Verlassen Mitarbeiter die Behörde oder das Unternehmen oder kommen neue hinzu, müssen Änderungen vorgenommen werden. Auch bei einem Wechsel in ein anderes Netzsegment, beispielsweise durch einen Umzug in ein anderes Gebäude, müssen Anpassungen durchgeführt werden können. Daher sollte eine Konfigurationsoberfläche gewählt werden, über die die Administratoren diese Anpassungen effizient vornehmen können.

In der Regel werden den Mitarbeitern jeweils ein Benutzername und ein Passwort für die VoIP-Nutzung zugewiesen. Bei der Nutzung von VoiceMails kann an dieser Stelle eine E-Mail-Adresse eingetragen werden. Es ist darauf zu achten, dass die Benutzer Passwörter auswählen, die nicht zu kurz oder leicht zu erraten sind. Einstellungen, die nur sichere Passwörter akzeptieren, sollten aktiviert werden. Benutzer, die nur stationäre Geräte mit einer gleichbleibenden IP-Adresse besitzen, sollten sich nur mit dem Gerät, dem diese IP-Adresse zugewiesen wurde, anmelden dürfen.

Bei der Zuordnung zwischen Benutzernamen und Telefonnummer müssen eventuell vorhandene interne Vorgaben beachtet werden. Die Vergabe von Telefonnummern, die keinem Benutzer zugeordnet werden, spielt eine weitere Rolle. Ein Beispiel hierfür sind für Besucher frei zugängliche Telefone in Konferenzräumen. Prinzipiell sollten diese Telefonanschlüsse so wenig Privilegien wie möglich erhalten. In der Regel ist die Beschränkung, dass nur interne Gesprächsteilnehmer angerufen werden können, akzeptabel und ausreichend.

Oft kann festgelegt werden, welcher Benutzer welche Signalisierungsprotokolle verwenden darf. Wenn es möglich ist, sollten alle Benutzer nur ein Protokoll verwenden dürfen, da dies den Administrationsaufwand verringert. Unterstützen die Endgeräte verschlüsselte Signalisierungsprotokolle, sollte darauf geachtet werden, dass eine unverschlüsselte Anmeldung nicht möglich ist.

Den Benutzern des TK-Systems können bestimmte Rechte (Privilegien) zugeordnet oder entzogen werden. Beispielsweise kann das recht eingeschränkt werden, ins Ausland oder kostenpflichtige Service-Rufnummern anzurufen. Bei der Konfiguration muss das Ziel verfolgt werden, dass jeder Benutzer nur die Privilegien erhält, die für ihn vorgesehen sind.

Kleine, selbstentwickelte und den Gegebenheiten angepasste Makros können den Administratoren die Konfiguration erleichtern. Diese Makros sind ausführlich zu dokumentieren. Bei dem Einsatz der Makros ist darauf zu achten, dass sie vor dem Einsatz einer ausführlichen Qualitätssicherung unterzogen und gründlich getestet wurden. Anderenfalls besteht beispielsweise die Gefahr, dass solche Makros schwer auffindbare Konfigurationsmängel erzeugen oder unerwünschte Seiteneffekte mit sich bringen.

Während der Konfiguration muss darauf geachtet werden, dass zusätzliche und nicht zwingend benötigte Dienste deaktiviert werden beziehungsweise bleiben. Anderenfalls besteht die Gefahr, dass diese Dienste für Angriffe ausgenutzt werden.

Zahlreiche Ereignisse können protokolliert werden. Über die Signalisierungsinformationen kann beispielsweise ausgewertet werden, welcher Benutzer wie lange mit wem telefoniert hat. Werden die Medieninformationen nicht direkt zwischen den Endgeräten, sondern über die Middleware ausgetauscht, ist eine zentrale Auswertung der Gesprächsinhalte grundsätzlich möglich. Einerseits können Protokollierungsfunktionen zur Nachvollziehbarkeit des VoIP-Betriebs beitragen. Andererseits muss verhindert werden, dass Protokollierungsfunktionen für Verletzungen der Informationssicherheit oder des Datenschutzes missbraucht werden.

Es muss deshalb systematisch und verbindlich festgelegt werden, welche Informationen protokolliert werden und wie die regelmäßige Auswertung der Protokolldaten erfolgt. Dabei ist in jedem Fall der Datenschutzbeauftragte und der Personal- beziehungsweise Betriebsrat zu beteiligen. Treten bei der Auswertung Unstimmigkeiten auf, müssen diese näher beleuchtet und die Ursachen gegebenenfalls beseitigt werden.

Alle Einstellungen sind durch eine regelmäßige Revision zu überprüfen.

Prüffragen:

  • Existiert eine geeignete Konfigurationsoberfläche mit der Administratoren effizient Anpassungen und Einstellungen vornehmen können?

  • Existiert eine Regelung zur Verwendung von Passwörtern mit einer anerkannten Güte?

  • Bei Einsatz von stationären Geräten mit definierter IP-Adresse: Existiert eine Regelung zur restriktiven Anmeldung von Geräten und Benutzern?

  • Existiert eine Regelung für den restriktiven Einsatz von Signalisierungsprotokollen?

  • Erhält jeder Benutzer nur die notwendigen Privilegien?

  • Existiert eine Regelung für den Einsatz von Sicherheitsmechanismen und Protokollen?

  • Werden nicht benötigte Dienste der VoIP-Middleware deaktiviert?

  • Existiert eine Regelung zur datenschutzkonformen Protokollierung und Auswertung von Informationen?

  • Auswertung von Protokollen: Existiert eine Regelung zur Überprüfung und Behebung von Auffälligkeiten?

Stand: 13. EL Stand 2013