Die Anforderungen der modernen Gesellschaft an die Möglichkeiten der Kommunikation steigen stetig. Es war deshalb nur eine Frage der Zeit, bis die Funktionalität moderner Netzwerke auf den Bereich der Telefonie übertragen werden wollte. So ist bei vielen Unternehmen der Umbruch von der klassischen Telefonie zum modernen Voice-over-IP festzustellen. Die Gefahren der damit verschmelzenden Bereiche werden dabei in aller Euphorie vernachlässigt. Doch bei genauer Betrachtung zeigt sich, dass man es hier sowohl mit alten als auch mit neuen Gefahren zu tun hat.

Einführung

Voice-over-IP Netzwerke sind von ihrer grundlegenden Beschaffenheit wie herkömmliche TCP/IP-Netze zu verstehen. Dies bedeutet, dass hier grundsätzlich die gleichen Überlegungen zu Topologie und Routing anzustellen sind. Sodann muss auch hier eine möglichst strikte Segmentierung mittels Firewall-Systemen stattfinden, um unerwünschte Zugriffe in und aus dem Voice-over-IP Netz zu verhindern.

Und dies ist sodann auch die erste wichtige Entscheidung bezüglich einer Implementierung in ein bestehendes Netzwerk. Das für den Voice-over-IP Betrieb vorgesehene Netzwerk sollte eigenständig betrieben werden. Ein Einflechten in bestehende Strukturen, in denen sich klassische Clients und Server befinden, ist aus verschiedenen Gründen nicht anzuraten. Ein solches Meshup führt nämlich zwangsweise zu einer erhöhten Angriffsfläche.

Einerseits ist jeder erfolgreiche Angriff auf ein traditionelles Element als Hopping-Zugriff auf die Voice-over-IP Elemente zu verstehen. Ein einmal kompromittierter Webserver könnte von nun an also theoretisch für direkte Angriffe auf die jeweilige Telefonkommunikation eingesetzt werden.

Andererseits erschliesst sich zusätzlich mit dem Einbringen von Computersystemen im Voice-over-IP Netzwerk eine grössere Angreifergruppe. Jeder, der mehr oder weniger sein System für Scan- und Angriffsversuche einsetzen kann, ist damit ein potentieller Angreifer, und dies ebenso auf den Voice-over-IP Bereich.

Es ist also sehr wichtig, dass das Voice-over-IP Netzwerk in eigenständiger Weise und mit dedizierter Broadcast-Domäne betrieben wird. Muss zum Beispiel aus Kostengründen dennoch auf bestehende Netze gesetzt werden, gilt es wenigstens auf virtueller Ebene mittels VLAN nach IEEE 802.1Q eine Trennung vorzunehmen. Bestmöglich auf den jeweiligen physikalischen Ports gilt es zu verhindern, dass ein System aus dem TCP/IP-Netz auf ein System des Voice-over-IP Netzes zugreifen kann.

Kommunikationen zwischen verschiedenen Netzen sollten nur bei Bedarf zugelassen werden. Ein solcher Whitelist-Ansatz ist zwar aufwendiger zu betreuen, minimiert jedoch die Risiken von fehlbaren Limitierungen. Ist eine Kommunikationsbeziehung erforderlich, muss sie über definierte und dafür vorgesehene Kanäle stattfinden. Namentlich sind dies Gateway-Komponenten, die mit einer möglichst umfassenden Firewalling-Funktionalität daherkommen. Das Analysieren, Einschränken und Protokollieren der Verbindungen ist dringend erforderlich, um ein grundlegendes Mass an Sicherheit im Netzwerk gewährleisten zu können.

Mithören durch Sniffing

Gerade eine schlecht durchgesetzte Netzwerktopologie führt damit zu einer Reihe von ungünstigen Schwachstellen in der jeweiligen Umgebung. Sieht sich ein Angreifer bisweilen in der Lage, die bestehenden Datenströme mitzulesen, kann er durch die klassische Technik des Sniffings die jeweiligen Kommunikationen mithören.

Dabei können in erster Linie klassische Protocol Analyzer, wie zum Beispiel tcpdump zum Einsatz kommen. Diese Applikationen sehen sich in der Lage, den Netzwerkverkehr zu protokollieren, darzustellen und auszuwerten. Indem sich zum Beispiel ganze Kommunikationsbeziehungen durch den Schalter –w in eine Datei umleiten lassen, kann eine umfassende Analyse zu einem späteren Zeitpunkt stattfinden. Und mit den Dissectors von umfassenden Lösungen wie Wireshark wird die Interpretation der Rohdaten sehr einfach gemacht.

Doch gerade im Bereich von Voice-over-IP werden spezielle Sniffing-Lösungen angeboten, dank denen sich die wertvollen Sprachdaten als solche extrahieren lassen. Ein bekanntes Produkt ist VoIPong von Murat Balaban, das sowohl als eigenständiges Kompilat für Unix-Systeme als auch als Live CD betrieben werden kann. Die zeilenbasierte Software erlaubt es, die Anrufe durch das Call Detection-Modul zu erkennen und Datenübertragungen (auch Sprache) durch das Sniffing-Modul als WAV-Datei zu extrahieren. Unkompliziert ist es damit jedem im Netzwerk möglich, die Kommunikationen anderer Stationen und Benutzer mitzuhören.

Neben der Einschränkung solcher Zugriffe durch eine solide Topologie können ebenfalls durch kryptographische Methoden ein annehmbares Mass an Sicherheit erlangt werden. In erster Linie bietet sich hier IPsec an, welches durch das Hauptdokument RFC 2401 spezifiziert wird. Die Offenheit dessen gewährleistet in ihren Grundzügen eine umfassende Interoperabilität, so dass sich eine derartige Lösung in praktisch jedem Umfeld betreiben lässt. Der Aufwand ist jedoch verhältnismässig hoch, muss man sich denn neu um zusätzliche Mechanismen (z.B. Schlüsselverteilung) bemühen. Gerade in sehr grossen und dynamischen Netzen ist diese Arbeit nicht zu unterschätzen.

Im Rahmen von H.323 und H.245 wird mit H.235 ein Mechanismus für die Absicherung eingebracht. Dieser konzentriert sich jedoch in erster Linie auf eine Authentisierung, die durch klassische Algorithmen wie Diffie-Hellman angestrebt werden. Dabei beruft man sich auf Annex D des Standards. Der als Baseline Security Profile bekannte Leitfaden definiert damit das Mindestmass der Anforderungen an eine konforme Implemementierung mit der Unterstützung für Authentifizierung und Integrität. Ein damit kompatibler Gatekeeper soll damit in erster Linie sicherstellen, dass nur vertrauenswürdige Endpunkte Zugang zu den Diensten des Gatekeepers gewährt bekommen.

Zwar ist nun zusätzlich eine Verschlüsselung des Datenteils von RTP vorgesehen. Die Unterstützung für RTCP-Pakete wird jedoch nicht angestrebt. Doch mit RFC 3711 wurde das Secure Real-time Transport Protocol vorgestellt. Dieses sieht in Absatz 4.1 (Encryption, Seiten 19-25) die symmetrische Chiffrierung der Nutzdaten unter Zuhilfenahme von AES in verschiedenen Modi vor.

Spam und SPIT

Unter Spam wird im Informationszeitalter der Versand von unerwünschten Werbemitteilungen verstanden. Dieses Phänomen erlebte gerade Ende der 90er Jahre mit der Popularisierung des Internets eine ungeahnte Hochkonjunktur. Dabei wurde in automatisierter Weise eine Vielzahl an Emails verschickt, wodurch sich unkompliziert und kostengünstig die mehr oder weniger nützlichen Produkte anpreisen liess.

Indem nun die Telefonie in die Netzwerkinfrastruktur eingegliedert wird, wird natürlich auch das elektronische Spamming auf dieser Ebene interessant. Beim sogenannten SPIT (Spam over Internet Telephony) werden die Werbesendungen in bekannter Weise generiert. Gerade Klartextprotokolle und offene Standards machen es relativ einfach, hierfür eigene Applikationen zu entwickeln oder kleine Skripte zu schreiben. Es ist anzunehmen, dass derartige Spam-Wellen mit der zunehmenden Verbreitung der Internet-Telefonie noch anwachsen werden.

Dabei unterscheidet man zwischen zwei effektiven Arten von SPIT. Beim Call-Spam wird eine Zielperson angerufen und diese mit Gesrpächen oder Bandansagen belästigt. Beim IM-Spam wird hingegen auf automatisierte Textmitteilungen gesetzt, die damit den gleichen Effekt wie klassisches Mail-Spamming aufweisen.

Gerade Call-Spam ist für Unternehmen ausserhalb der Arbeitszeiten weniger kritisch. Zwar werden da die Leitungen durch die unliebsamen Anrufe besetzt. Da sie jedoch nicht oder nur bedingt anderweitig gebraucht werden würden, muss nicht mit direkter Betriebsbehinderung oder Unkosten zu rechnen.

Doch auch hier können automatisierte Anrufe die Operatibilität eines Unternehmens behindern. Wird zum Beispiel eine SPIT-Welle während der Arbeitszeiten initiiert, kann dies zu einer negativen Beeinträchtigung der Arbeitsleistung der angegangenen Mitarbeiter führen. Diese könnten von ihrer Tätigkeit abgelenkt werden oder aufgrund der besetzten Leitungen keine wichtigen Kommunikationen mehr führen.

Flooding und Denial of Service

Die Möglichkeit des automatisierten Versands von Mitteilungen und Anrufanfragen erschliesst natürlich zeitgleich das Gebiat von Denial of Service-Attacken (DoS). Wird nämlich die Anzahl der Kommunikationen drastisch erhöht, kann durch diesen destruktiven Angriff die Funktionalität der Umgebung negativ beeinträchtigt werden. Im schlimmsten Fall kommt diese in absoluter Weise zum Erliegen.

Neben der Möglichkeit von für Voice-over-IP typischen Denial of Service-Attacken kann jedoch theoretisch auch jede klassische Denial of Service-Attacke in Netzwerken ihre Anwendung finden. Da die Kommunikationen in traditioneller Weise über die Protokolle der TCP/IP-Familie stattfinden, können die herkömmlichen Flooding-Techniken herhalten.

Durch das Generieren eines erhöhten Datenaufkommens wird es möglich, die beschränkten Ressourcen der Umgebung auszuschöpfen. Dadurch können legitime Verbindungen nicht mehr gerecht abgearbeitet werden. Das Aufbrauchen der Netzwerkbandbreite oder das Überfüllen von Queues ist mit einfachen Mitteln, seit vielen Jahren steht eine Fülle von Angriffswerkzeugen zur Verfügung, umgesetzt.

Eine wirksame Massnahme vor der Überlastung des Netzwerks und seiner Komponenten stellt Quality of Service (QoS) zur Verfügung. In der Telefonie wird hierzu der Standard X.902 eingesetzt. Mit solchen Mechanismen wird den legitimen Kommunikationen ein proportionales Mehr an Ressourcen zur Verfügung gestellt, wodurch sich gerade im Voice-over-IP Bereich die schnell anfallenden Jitter- und Delay-Effekte minimieren lassen. Als Empfehlung wird für die Internet-Telefonie eine Latenzzeit von maximal 100 ms zwischen den jeweiligen Endpunkten ausgesprochen. Lassen sich diese auch bei grösster Belastung gewährleisten, sind die Gefahren eines ressourcenaufbrauchenden Denial of Service-Attacke eingedämmt.

Zusätzlich können durch eine Lastenverteilung (z.B. Cluster) sowie Failover-Lösungen ein Mehr an Performance bereitgestellt werden. Der Ausfall eines zentralen Elements sollte nicht zum Erliegen des gesamten Netzes führen. Indem alternative Mechanismen einspringen können, soll auch bei einem partiellen Betriebsausfall die Funktionalität gewährleistet werden können.

Schwachstellen von Endgeräten

Die Engeräte der klassischen Telefonie sind bisweilen sehr primitiv. Ein analoges Telefon besteht aus einigen wenigen Mechanismen und elektronischen Teilen, dank denen sich Nummern wählen und Gespräche führen lassen. Die bei Voice-over-IP eingesetzten Endgeräte kommen hingegen mit einer erweiterten Funktionalität daher, die sich entsprechend auf das Netzwerk übertragen können lassen muss. Die Unterstützung für diverse Protokolle und Mechanismen verschiedener Protokollfamilien wird sodann erforderlich.

Dies führt dazu, dass selbst die Voice-over-IP Geräte der ersten Generation als eigenständige Netzwerkelemente betrachtet werden müssen. Und diese lassen sich entsprechend auch wie solche attackieren. Die traditionellen Themen wie Mapping, Portscanning und Fingerprinting werden also auch hier zur Diskussion stehen.

Viele Hersteller bemühen sich zudem darum, ohre Telefone mit zusätzlichen Funktionen ausstatten zu können. Dass dabei eingebettete Webserver oder SNMP-Dienste zum Einsatz kommen, ist keine Seltenheit mehr. Mit der Zunahme der Komplexität entsprechender Produkte steigt jedoch auch die Fehleranfälligkeit während der Entwicklung, Wartung oder Nutzung. Kritische Schwachstellen in dieser Hinsicht, zum Beispiel schwache Standardpasswörter, werden immerwieder bekannt (CVE-2005-3803).

Die beiden Pfeiler von Voice-over-IP, namentlich SIP und H.323, kränkeln an unterschiedlichen Unschönheiten. Einerseits gestalten sich Angriffe auf SIP sehr einfach, ist das Protokoll doch klar strukturiert und einfach zu adaptieren. Andererseits versprechen Attacken auf H.323 grosse Erfolge, ist dieses doch sehr komplex und das Parsing entsprechender Datagramme besonders fehleranfällig.

Zur aktuellen Stunde stehen in erster Linie Applikationen zur Verfügung, dank denen sich automatisierte Scans und Attacken (Fuzzing und Exploiting) auf SIP-Umgebungen durchführen lassen. Die Umsetzung derartiger Frameworks ist sehr einfach und lädt daher zum Ausprobieren ein.

Spätestens wenn dieser Bereich umfassend angegangen wurde, muss mit der Erschliessung von H.323 gerechnet werden. Frameworks der gleichen Ausrichtung, und vielleicht noch mit der viel besseren Qualität, müssen erwartet werden. Das Analysieren und Angreifen von derartigen Netzen wird sodann für jedermann in verhältnismässig einfacher Weise möglich. Der sicherheitstechnische Vorteil dieses Ansatzes schwindet also mit der Zeit.

Konfiguration von Telefonanlagen

Telefonanlagen stellen den zentralisierten Mechanismus zum Zusammenhalt und zur Koordinierung der Kommunikationsbeziehungen bereit. Bei Voice-over-IP wird dabei mitunter ein Gatekeeper eingesetzt, der die verbindende Gateway-Funktionalität zwischen dem IP-Netz und dem Telefonnetz bereitstellt. Er emuliert damit eine klassische Vermittlungszentrale in einem PSTN-Netz.

Der zentralisierte Ansatz bringt auf den ersten Blick Vorteile mit sich. So lassen sich bei entsprechenden Umgebungen Konfigurationseinstellungen und Richtlinien sehr einfach verwalten. Es wird nicht erforderlich, die verteilten Endgeräte unter erhöhtem Aufwand zu betreuen. Zeitgleich mit der Zentralisierung werden jedoch auch Nachteile, diese sind mit denen einer Citrix-Umgebung zu vergleichen, eingeführt. Erfolgreiche Angriffe auf das zentrale Element lassen eine Kompromittierung der gesamten Umgebung zu.

Bei den Telefonanlagen handelt es sich in der Regel um vollwertige Computersysteme, die sich auch in bekannter Weise angreifen lassen. Zusätzlich müssen auf diese exponierte Dienste und Mechanismen dargeboten werden, um die Funktionalität der Voice-over-IP Umgebung gewährleisten zu können. Mitunter kommt dabei über Port udp/2427 das in RFC 3435 definierte Media Gateway Control Protocol zum Tragen. Dieses ist aufgrund seiner Offenherzigkeit (siehe Absatz 5, Seiten 147-148) und Simplizität wiederum gegen eine Reihe von Angriffen verwundbar.

Es wird also von elementarer Wichtigkeit, dass sich fortwährend um die Sicherheit der Telefonanlagen bemüht wird. Durch ein konsequentes Hardening und Patching muss versucht werden, ein Höchstmass an Schutz zu erreichen.

Zusammenfassung

Die Zukunft der Kommunikationstechnologien gehört ganz klar paketorientierten Netzen. Dass dabei auf die umfassenden und etablierten Errungenschaften im Bereich von TCP/IP gesetzt wird, erscheint aus eben genannten Gründen naheliegend. Es war deshalb nur eine Frage der Zeit, bis die klassische Telefonie durch moderne Voice-over-IP Netze abgelöst werden würden.

Hierbei findet grundsätzlich eine Verschmelzung verschiedener Methoden und Technologien statt. In aller Euphorie wird dabei gerne übersehen, dass damit ein Mehr an Aufwand betrieben werden muss. Denn schliesslich müssen nun den Anforderungen beider Ursprungsmedien gerecht werden können.

Die wohl wichtigste Grundlage für eine sichere Voice-over-IP Umgebung ist das Erreichen einer soliden Topologie. Wie auch bei TCP/IP-Netzen sollten in geschickter Weise Segmente erstellt und diese durch Firewall-Komponenten geschützt werden. Denn auch in Voice-over-IP Netzen können die klassischen TCP/IP-Angriffe zum Tragen kommen.

Es wird dabei gerne übersehen, dass sich die Telefonanlagen und Endsysteme im TCP/IP-Netz wie herkömmliche Hosts verhalten. Es werden also auch hier Ports benutzt und Pakete verschickt. Durch Mapping, Scanning und Fingerprinting können also typische Auswertungen angestrebt und damit zielgerichtet Schwachstellen in Produkten ausgenutzt werden. Hardening und Patching wird in Zukunft also auch für die Telefonsysteme zu einem wichtigen Teil des Verwaltungsprozesses.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)