Bundesamt für Sicherheit in der Informationstechnik

M 4.292 Protokollierung bei VoIP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei einer Kommunikation über VoIP können zahlreiche Informationen protokolliert werden. Meist müssen bestimmte Statusinformationen der VoIP-Middleware protokolliert werden, um für einen reibungslosen Betrieb zu sorgen. Erst die regelmäßige Auswertung dieser Protokolldaten ermöglicht es, die korrekte Funktion der Geräte zu beurteilen und Angriffsversuche zu erkennen. Mit Hilfe der Protokolldaten kann oft auch die Art eines Angriffsversuches nachvollzogen und die Konfiguration entsprechend angepasst werden.

Die sorgfältige Konfiguration der Protokollierungsfunktionen ist besonders wichtig, da nur eine sinnvollen Filterung aus der Vielzahl von Informationen die relevanten Daten extrahiert.

Je nach Art der protokollierten Ereignisse kann es erforderlich sein, schnellstmöglich einzugreifen. Daher müssen die Protokolldaten regelmäßig ausgewertet werden.

Einerseits können Protokollierungsfunktionen zur Nachvollziehbarkeit des VoIP-Betriebs beitragen. Andererseits besteht die Gefahr, dass Protokollierungsfunktionen für Verletzungen der Informationssicherheit oder des Datenschutzes missbraucht werden. Es muss deshalb verbindlich festgelegt und dokumentiert werden, welche Informationen protokolliert werden und wie die regelmäßige Auswertung der Protokolldaten erfolgt. Dabei ist in jedem Fall der Datenschutzbeauftragte und der Personal- beziehungsweise Betriebsrat zu beteiligen (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung ). Der Umfang der Protokollierung und die Kriterien für deren Auswertung sollten dokumentiert und innerhalb der Institution abgestimmt werden. Gegebenenfalls sollten frühzeitig die jeweiligen Mitbestimmungsgremien beteiligt werden.

Protokollierung der Signalisierung

Durch die Auswertung der Signalisierung können zahlreiche Informationen ermittelt werden. An einem Sip-Proxy, Gatekeeper oder Gateway sollten folgende Daten aufgezeichnet werden:

  • wer mit wem telefoniert hat,
  • wie lange telefoniert wurde,
  • ob der Empfänger das Gespräch entgegen genommen hat,
  • von welchem Netz und welcher IP-Adresse aus das Gespräch geführt wurde,
  • welche Medientransportprotokolle und welcher Codec ausgehandelt wurden.

Diese Informationen können beispielsweise für eine Kostenabrechnung oder für eine Optimierung der VoIP-Infrastruktur genutzt werden.

Protokollierung des Medientransports

Durch die Protokollierung an einer geeigneten Stelle im Netz können unter bestimmten Bedingungen die eigentlichen Gesprächsinhalte aufgezeichnet werden. Bei Gesprächen, die das Netz über eine definierte Stelle verlassen, wie beispielsweise über einen Proxy, könnte die Protokollierung direkt an dieser Stelle vorgenommen werden.

Bei internen Gesprächen ist häufig kein Proxy erforderlich. Auch in diesem Fall ist eine Aufzeichnung der Gesprächsinhalte in der Regel möglich, beispielsweise an den beteiligten Endgeräten oder Routern.

Werden die kryptographischen Schlüssel bei einem wirksam verschlüsselten Medientransport direkt von den beteiligten Gesprächsteilnehmern ausgehandelt, können weniger Informationen an zentraler Stelle erfasst werden.

Protokollierung der Systemstatusinformationen

Neben den oben genannten Punkten sollten folgende Informationen nach Möglichkeit an der VoIP-Middleware protokolliert werden:

  • Alle direkten Anmeldungen auf der Appliance beziehungsweise auf dem IT-System,
  • Veränderungen der Konfiguration,
  • Fehlerhafte Anmeldungen am VoIP-Dienst,
  • Systemfehler,
  • Auslastung,
  • Änderungen an der Benutzerverwaltung (Anlegen oder Löschen von Benutzern, Änderungen der Zuordnung zwischen Benutzer und Telefonnummer, etc.),
  • Hardware-Fehlfunktionen, die zu einem Ausfall eines IT-Systems führen können und
  • wichtige Systemereignisse des IT-Systems, auf dem die VoIP-Applikation betrieben wird. Weitere Informationen hierzu sind dem entsprechenden IT-Grundschutz-Baustein zum Betriebssystem entnehmen.

Zentrale Verwaltung der Protokolldaten

Es ist zu empfehlen, die Protokolldaten über das Netz auf einen eigenen syslog-Server zu übertragen. Dies dient der zentralen Sammlung, Archivierung und Auswertung der Protokolldaten, da auf den VoIP-Applicances oft keine ausreichenden Betriebsmittel dafür vorhanden sind. Außerdem bietet dies den Vorteil, dass bei einer Kompromittierung eines Gerätes die bereits übertragenen Protokolldaten vom Angreifer nicht direkt verändert oder gelöscht werden können.

Falls die Übertragung zum syslog-Server unverschlüsselt erfolgt, ist ein Mithören auf dem Übertragungsweg möglich. Daher sollten die Protokolldaten entweder nur am Server selber gespeichert werden, oder verschlüsselt oder über ein eigenes Netz (Administrationsnetz) übertragen werden.

Zeitsynchronisation

Alle Protokolldaten sollten möglichst mit einem korrekten Zeitstempel versehen sein. Nur so ist eine effektive Auswertung dieser Daten, insbesondere bei der Analyse von versuchten oder erfolgten Angriffen, möglich. Deshalb sollten im internen Netz entsprechende Server eingerichtet werden, die allen Systemen die korrekte Zeit bereitstellen. Dies kann beispielsweise auf Basis des NTP-Dienstes geschehen (siehe M 4.227 Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation ).

Prüffragen:

  • Existiert eine Regelung zur zeitnahen Auswertung von Protokollierungsdaten?

  • Existiert eine Regelung zur Verbesserung des Sicherheitsniveau auf Grundlage der Protokollauswertung?

  • Existiert eine Regelung zur Festlegung von Inhalten und Umfang der zu protokollierenden Ereignisse und Informationen?

  • Entsprechen die verwendeten Protokolle und Pfade zur Protokollierung und Administration dem Stand der Technik?

  • Existiert eine Regelung zur einheitlichen Konfiguration und Überwachung von Parametern?

Stand: 13. EL Stand 2013