Die Sicherheit von Voice-over-IP Marc Ruef | 19.06.2006 Voice-over-IP (VoiP) ist ein Schlagwort, das die letzten Jahre die Hitlisten der Verkäufer angeführt hat. Durch die revolutionäre Technologie soll die klassische Telefonie abgelöst, in (bestehende) Netzwerke integriert und um interessante Funktionalitäten erweitert werden. Doch wenn man mit Leuten über die Sicherheit von VoiP redet, blickt man oft in überfragte Gesichter. Was macht denn nun eigentlich die Sicherheit von Voice-over-IP Lösungen aus? Wie der Begriff Voice-over-IP schon sagt, wird die Sprache (engl. Voice) über das "Medium" IP geschickt. Zum Einsatz kommt also das Internet Protocol, das als Mitglieder der klassischen TCP/IP-Familie gilt. VoiP ist also eigentlich keine Hexerei, die auf komplett neue Strukturen zurückgreift. Stattdessen setzt man den Dienst durch herkömmliche TCP/IP-Netzwerke um. Gerade deshalb kommen die klassischen Netzwerk-Elemente und -Verhaltensweisen zum Tragen. Stichwörter wie Router, Firewall und Port sind hierbei genauso wichtig wie bei den herkömmlichen Diensten (z.B. HTTP oder FTP) auch. Ein Integrator bzw. Administrator muss sich also genauso um logische Routen, sichere Firewall-Elemente, eine verständliche Netzwerk-Topologie kümmern. Diese Dinge sind nicht zu vernachlässigen, machen sie doch 50 % der Funktionsweise und Sicherheit von Voice-over-IP aus. Innerhalb von VoiP-Kommunikationen kommen ebenfalls infrastrukturelle Systeme sowie Endgeräte zum Einsatz. Auch hier wird wie üblich Kommuniziert, zum Beispiel zwischen zwei Telefon-Endgeräten. Die Sicherheit einer Umgebung ist also ebenfalls von der Sicherheit der jeweiligen Elemente abhängig. Telefone, die freizügig SNMP-Informationen ausgeben oder die sich über einen kleinen Webserver umkonfigurieren lassen, sind unsicher und können damit das gesamte (VoiP-)Netzwerk kompromittieren. Gerne wird vergessen, dass bei Voice-over-IP die gleichen Technologien wie in den üblichen TCP/IP-Netzen zum Einsatz kommen. Wird eine solche Installation also in bestehende Umgebungen integriert, wird diese um zig weitere Endpunkte (Hosts) erweitert. Die Angriffsfläche steigt für beide Parteien: Das klassische Netzwerk (z.B. Workstations und Server) sowie die neue Lösung (z.B. Telefone). Ein interner Benutzer könnte nun darum bemüht sein, mittels traditioneller Angriffstechniken erweiterten Einfluss auf die Netzwerk-Telefonie auszuüben. Durch Überlastungen liessen sich Denial of Service-Attacken umsetzen und durch Sniffer könnte der Netzwerkverkehr abgehört werden. Pufferüberlauf, Format String, Directory Traversal, Command Injection und Race Condition sind ebenso auf hochkomplexen Telefonen mit eigenem TCP/IP-Stack denkbar. Und die Möglichkeiten von Wardialing und SPIT (Spam over Internet Telephony) sind ebenso gegeben. Man darf die Situation also nicht unterschätzen. Ein ehemaliger Arbeitskollege integrierte die letzten Jahre eine Vielzahl an Voice-over-IP Lösungen. Obschon er aus dem Security-Umfeld stammt musste er eingestehen, dass Sicherheit noch lange nicht Teil eines VoiP-Geschäfts ist. Der Preisdruck ist zu hoch und die Materie zu neu, als dass sich die Integratoren ebenfalls im Rahmen des Budgets um die Sicherheit der Installationen kümmern könnten. Dieser Teil wird sodann gut und gerne unter den Teppich gekehrt. Solange es läuft sind die meisten Kunden zufrieden. Ich denke, dass hier in Zukunft ein wichtiger Markt innerhalb der IT-Security Branche erschliessbar werden wird. Sobald die Käufer (und Verkäufer) realisieren, was für klassische und neuartige Gefahren durch die Netzwerk-Telefonie gegeben ist, werden konzeptionelle und technische Audits gefragt sein. Die ersten interessanten Advisories für Ciscos VoiP-Telefone (http://www.scip.ch/cgi-bin/smss/showadvf.pl?id=1907) sind seit einiger Zeit draussen (z.B. erweiterte SNMP-Abfragen). Spannende Sachen werden folgen, da bin ich sicher.