white paper: Voice over IP Sichere Nutzung von VoIP Einleitung........................................................... 2 By Von Matthew Ron Liebfried Nickols Sicherheitsrisiken................................................... 2 Vertraulichkeit............................................................. 2 Verfügbarkeit.............................................................. 2 Betrug................................................................... 3 Sicherheitsempfehlungen............................................ 3 Netzsegmentierung......................................................... 3 Soft Phone Clients.......................................................... 4 Firewalls................................................................. 4 Intrusion Detection-Systeme (IDS).............................................. 4 Client-Authentifizierung...................................................... 4 Verschlüsselung........................................................... 4 Sicherheit der Verizon VoIP-Infrastruktur............................. 5 Physikalischer Zugang....................................................... 5 Netzwerksicherheit......................................................... 5 Vorteile der Verizon Business-Sicherheitsmaßnahmen................. 5 Schlussfolgerung.................................................... 6 Referenzen......................................................... 6 Seite von 6
Einleitung In den letzten Jahren ist die Nutzung von IP-Netzwerken zur Sprachübertragung (VoIP) eine Alternative zu den traditionellen Sprachdiensten des öffentlichen Fernsprechwählnetzes (PSTN) geworden. Während die meisten Fachleute der Branche mit den Sicherheitsaspekten im Hinblick auf traditionelle Sprach- und IP-Netzwerke vertraut sind, ist vielen nicht bewusst, welche Rolle die Sicherheit für VoIP spielt. Dieses White Paper behandelt die besonderen VoIP-Sicherheitsaspekte und die heute branchenweit angewandten Lösungen zur sicheren Nutzung von VoIP. Sicherheitsrisiken Die traditionellen Sprachsicherheitsprobleme sind allgemein bekannt. In der Welt des PSTN gehören zu den Sicherheitsproblemen die betrügerische Nutzung des Dienstes, Vertraulichkeitsbedenken und Serviceausfall. Diese Sicherheitsfragen basierten jahrzehntelang. auf den gleichen zugrunde liegenden technischen Eigenschaften und Lösungen. Dies gilt jedoch. nicht in gleichem Maß für VoIP, da IP-Netzwerke andere Eigenschaften haben. Die Verlagerung von Anrufen und deren entsprechender Signalisierung in eine IP-Infrastruktur ändert die Herangehensweise an diese grundlegenden Sicherheitsüberlegungen. Viele Gruppen technischer Probleme müssen während der Migration von den traditionellen Sprachdiensten zu einer IP-Telefonieumgebung identifiziert und behandelt werden. Vertraulichkeit Vertraulichkeit ist von größter Bedeutung, sowohl für die Signalsierung als auch für den Anruf selbst. Eine ungeschützte Signalisierung kann Lauschern Anrufmuster aufzeigen und Aufschluss darüber geben, wann Anrufe getätigt werden, welche Gesprächsteilnehmer beteiligt sind und wie lange die Gespräche dauern. Die Notwendigkeit zur Verschlüsselung der Signalisierung in der IP-Telefonieumgebung und die Vorteile dieser Verschlüsselung sind unbedingt zu berücksichtigen. Der Prozentsatz der Anwendung von Verschlüsselung für Premises-Based-Unternehmenslösungen ist schneller gestiegen als für providerbasierte oder Hosted-Lösungen. Verizon Business hat maßgeblich zur Entwicklung der Standards beigetragen, die für die Kommunikation des Unternehmens mit der Außenwelt angemessen sind. Die Vertraulichkeit des Anrufs ist ebenfalls gefährdet. Viele Nutzer führen sensible Gespräche nicht über ein Mobilfunknetz. Daher haben wir den VoIP-Transport auch als potentiell unsicher eingestuft. Obwohl nur wenige Angebote eine Verschlüsselung der VoIP-Anrufe bieten, ist dies notwendig für die Weitergabe sensibler Informationen. Unverschlüsselte Gespräche können mit frei erhältlichen Werkzeugen erfasst und zu Audiodateien zusammengesetzt werden. Verfügbarkeit Verfügbarkeit ist vielleicht die wichtigste Anforderung an Sprachdienste. Die IP-Telephonie stellt für die Sicherstellung der Verfügbarkeit viele Herausforderungen dar, die in einer traditionellen Sprachumgebung nicht existieren. Ursprünglich sind IP-Netzwerke nicht für einen gleichmässigen Datenstrom ausgelegt. Die IP-Hosts und die Netzwerkverbindungen, über die ihnen die Daten zugeführt werden, reagieren empfindlich auf sehr starken Datenverkehr oder sehr große Datenpakete. Dies führt entweder dazu, dass die Verbindungen voll sind oder die Hosts und Netzwerkelemente ihren Service einstellen. Die Abhängigkeit der IP-Telephonie vom IP-Netzwerk bedeutet, dass Angriffe an irgendeinem Punkt des Netzwerkes potentiell negative Auswirkungen auf die Verfügbarkeit der Sprachdienste haben können. Services wie z.b. Directory-Lookup und Voicemail sind Beispiele für traditionelle Funktionskomponenten, die sich nun in IP-fähigen Netzwerken befinden. Diese Elemente sind nicht nur Angriffen ausgesetzt, die sie betriebsunfähig machen könnten, sondern sie müssen außerdem in der Lage sein, erfolgreich mit anderen IP-Hosts zu kommunizieren, um auf wichtige unterstützende Dienste zugreifen zu können, z.b. die E-Mail-Funktion oder das Domänennamensystem (DNS). Zusätzlich zur Server- und Netzwerkverfügbarkeit muss die Integrität der gespeicherten und auf dem Server gelagerten Daten intakt sein, sonst kann eine Servicestörung eintreten. Seite.2.von 6
Werden IP-Telefone nicht geschützt, können Angreifer versuchen, den Service mit sehr grossen oder vielen gleichzeitigen Datenpaketen zu überlasten. Die grundlegende Funktionalität von VoIP ist von verschiedenen Netzwerkdiensten abhängig. DNS, Trivial File Transfer Protocol (TFTP) und oftmals das Dynamic Host Configuration Protocol (DHCP) sind Dienste, die vorhanden sein müssen. Sollte DNS oder DHCP ausfallen, so kann der Telefondienst nicht verfügbar sein. Rogue DHCP und TFTP Servers sind mächtige Werkzeuge, die Angreifer nutzen können, um den Datenfluss im Netzwerk zu beeinflussen. Im Allgemeinen werden dabei durch Unbefugte Daten erfasst. Das National Institute of Standards and Technology (NIST) empfiehlt, die Zuweisung statischer IP-Adressen in Betracht zu ziehen, so dass keine Abhängigkeit vom DHCP gegeben ist. Es empfiehlt außerdem die Nutzung sichererer Mechanismen für das Daten- und Konfigurations-management, wenn diese für die Nutzung durch IP-Telefoniegeräte verfügbar sind. Die Stromversorgung für IP-Telefoniegeräte muss höher sein als für traditionelle Telefongeräte,. da im Fall eines Stromausfalls eine größere Anzahl an Geräten mit Strom versorgt werden muss.. Eine ausreichend dimensionierte Notstromversorgung wird bei der Migration zur IP-Telefonie. häufig vernachlässigt. Die Netzwerkverfügbarkeit ist entscheidend, um alle Geräte mit Strom zu versorgen. Die IP-Telefonie muss in einer IT-Infrastruktur eingesetzt werden, die ausreichende Quality of Services (QoS) bietet. Zweck der QoS ist es, die Priorisierung für bestimmte Protokolle oder Knoten in einem Netzwerk zu gewährleisten. IP-Telefone sind in der Lage, Datenpakete mit Schicht-2- oder Schicht-3-Indikatoren zu kennzeichnen; diese Pakete werden dann innerhalb des Netzwerks priorisiert. Darüber hinaus ist sicherzustellen, dass Datenpakete mit gefälschten QoS-Indikatoren das Netzwerk nicht dazu bringen, unwichtige Daten priorisiert zu behandeln. Betrug Betrug ist ein Problem in jeder Sprachumgebung. Die unerlaubte Nutzung von Netzwerkkomponenenten muss verhindert werden, da dadurch Kapazitäten gebunden und Betriebskosten erhöht werden. Nutzernamen- und Kennwortinformationen auf den Endgeräten, Netzwerkelementen und im Transit müssen während des Login geschützt werden. Sicherheitsempfehlungen Netzsegmentierung Das National Institute of Standards and Technology (NIST) empfiehlt den Kunden, die einfachen Datensegmente von den IP-Telefoniesegmenten logisch zu trennen. Filter- und Sicherheitsregeln auf den IP-Telefonie-Hosts können einfacher durchgesetzt werden, wenn diese auf logisch getrennte Gruppen angewendet werden. Ebenso können Richtlinien für QoS, Sicherheit und Intrusion Detection-Systeme (IDS) schneller entwickelt und effektiver eingesetzt werden. Der zweite Vorteil der Netzwerksegmentierung liegt darin, dass die IP-Telefone auf diese Weise nicht mehr von benachbarten PCs angegriffen werden können. In einem logisch nicht getrennten Design könnten IP- Telefone von benachbarten PCs angegriffen werden, die entweder als Übermittler dienen oder sogar selbst infiziert wurden. In einem logisch nicht getrennten Netzwerk können PCs genutzt werden, um Sprachpakete zu erfassen. Die logische Trennung von Netzwerken erschwert es einem Angreifer, diese Aktivität unbemerkt durchzuführen. Cisco IP-Telefone können durch eine Buchse am Telefon einen Netzwerkzugang zu einem PC herstellen. Dies erlaubt es Netzbetreibern, jeden Benutzer einzeln anzuschließen. Glücklicherweise ist es möglich, den PC so zu konfigurieren, dass er sich in einem anderen virtuellen LAN (VLAN) befindet als das Telefon. Man kann außerdem verhindern, dass der PC, der mit dem Telefon verbunden ist, Datagramme mit gefälschten QoS-Anzeigern erstellt. Seite.3.von 6
Soft Phone Clients Durch die Installation von Soft Phones auf einem PC wird die Schutzschicht überbrückt, die ein segmentiertes Netzwerk ansonsten bieten würde. Die Verwendung von Soft Phones erfordert das Implementieren der IP-Sprache und des IP-Datenverkehrs im gleichen Segment, wodurch das Risiko für viele Arten von Sicherheitsverletzungen steigt. Auch gibt es keine Garantie dafür, dass das Soft Phone auf einem sauberen, nicht kompromittierten PC installiert ist. NIST rät davon ab, Soft Phone Clients zu verwenden. Der Einsatz von Soft Phones überwindet die natürliche Barriere, die ein logisch getrenntes Netzwerk zwischen IP-Telefonen und PCs aufbaut. Soft Phones senden VoIP-Daten und andere Daten im selben Segment. Getrennte IP-Telefone führen viel weniger Dienste als PCs aus und sind weniger anfällig für Angriffe. Verizon VoIP unterstützt offiziell nicht die Nutzung von Soft Phones. Firewalls Die Implementierung von Firewalls und Filtern zwischen den Sprach- und Datensegmenten im Netzwerk wird ebenfalls von der NIST empfohlen. Firewalls begrenzen den Übergang zu anderen Netzwerken auf einen Punkt. Es ist daher lediglich notwendig, Sicherheitsrichtlinien an dieser Stelle zu definieren. Diese Richtlinien beschreiben, welche Ressourcen Zugang zu anderen Ressourcen haben und stellen gleichzeitig ein Änderungsprotokoll zur Verfügung. Firewalls können Stand-alone Geräte sein oder in Router, VPN-Geräte oder ein Intrusion Detection-System (IDS) integriert werden. Für alle Verizon VoIP-Lösungen wird eine Firewall unbedingt empfohlen. Verizon VoIP installiert und unterstützt Session Initiation Protocol (SIP)-kompatible Firewalls, die dann noch für VoIP optimiert werden. Die Firewall filtert die VoIP-Signalisierung auf der Grundlage der Quelladresse und lässt nur SIP-Nachrichten zu den IP-Telefonen durch, die von Verizon Business-Proxys stammen. Wir haben verschiedene Router mit integrierter Firewall sowie eine Reihe von Firewalls zur Nutzung zertifiziert. Intrusion Detection-Systeme (IDS) Netzwerke sollten auf verdächtigte Aktivitäten hin überwacht werden. NIST empfiehlt die Nutzung von IDS in IP-Telefoniesegmenten, um Netzwerkadministratoren im Falle einer anormalen Aktivität. zu warnen. Client-Authentifizierung Um sicherzustellen, dass Anrufe im Verizon VoIP-Netzwerk von einem vertrauenswürdigen Nutzer stammen, unterstützen Verizon VoIP-Clients und Server zwei Arten der Authentifizierung in Abhängigkeit von den Endgeräten (CPE). IP-Telefone und Mediatrix nutzen die SIP Digest-Authentifizierung. Die Digest-Authentifizierung nutzt den MD5 Digest Hash. Firmengateways für PBX nutzen den IP Securtiy (IP Sec) Authentifikationsheader (AH). Verizon Business richtet das Kennwort für die IP-Telefone ein, bevor diese versandt werden. Der Telnet-Zugang wird für die Telefone aus Sicherheitsgründen deaktiviert, da er nicht verschlüsselt ist. Im Jahr 2005 haben wir bei Verizon Business in unserem Netzwerk einen CPE Manager für sichere Upgrades implementiert, der das SMARTS InCharge System darstellen wird. Auf Wunsch können wir bei der Einrichtung eines TFTP-Dienstes behilflich sein. Verschlüsselung Voice Payload wird gegenwärtig nicht verschlüsselt. Verizon Business verfolgt Internet Engineering Task Force (IETF)-Standardlösungen, um VoIP sicher zu machen. Dazu gehören SIPS (SIP over TLS) für die Sitzungssignalisierung und Secure Real-Time Transport Protocol (RTP) für die Mediendaten. Seite.4.von 6
Sicherheit der Verizon VoIP-Infrastruktur Physikalischer Zugang Sicherheit beginnt mit der physikalischen Zugangssicherheit. All unsere Datenzentren dürfen nur von autorisierten Mitarbeitern mit einer sicheren Zugangsmethode betreten werden. Wir beraten unsere Kunden auch in Fragen der physikalischen Sicherheit. Netzwerksicherheit Die Verizon VoIP Data Center nutzen Serverplattformen, die so ausgewählt werden, dass sie die hohen und umfangreichen Anforderungen unserer VoIP-Infrastruktur erfüllen. Zur Infrastruktur der Data Center gehören Best-of-Breed Router, Switche und Firewalleinrichtungen von Unternehmen wie Juniper Networks und Cisco. Die gesamte Netzwerkausstattung wird gepüft, und unnötige Dienste werden deaktiviert oder entfernt. Zugangskontrollrichtlinien werden eingesetzt, um verdächtigen Datenverkehr zu analysieren und gegebenenfalls am Zugang zu hindern. Der Zugang zu den Hauptservern von Verizon Business erfolgt über die Secure Shell. Die Administratoren müssen sich an einem Zentralserver anmelden, um Zugang zu irgendeinem anderen Server im Netzwerk zu erhalten. Ein Radius-Server stellt einen zentralen Kontrollpunkt für die Authentifizierung der Administratoren dar. Die Zentralisierung dieser Funktion erleichtert die Verwaltung und verbessert die Fähigkeit von Verizon Business, Richtlinien durchzusetzen. Die SIP-Proxy-Server werden von redundanten Firewalls geschützt, welche die Unternehmensinfrastruktur gegen zahlreiche Angriffsarten schützen. SIP-Server laufen auf Sun Solaris- Betriebssystemen, die für ihre Stabilität und Sicherheit bekannt sind. Vorteile der Verizon Business-Sicherheitsmaßnahmen Verizon Business bietet ein umfassendes SLA für Verizon VoIP im Hinblick auf viele Metriken, die für die IP-Telefonie entscheidend sind. Zu ihnen gehören Jitter, Mean Opinion Score (MOS), Wartezeit, Packet Delivery und Netzverfügbarkeit. Wir implementieren QoS in den Netzwerken, in denen Verizon VoIP eingesetzt wird. So ist es möglich, seine strengen Leistungsanforderungen einzuhalten, indem wir der Signalisierung und dem Datenverkehr der IP-Telefonie Priorität einräumen. Wenn Internet Dedicated Access (IDA) in Verbindung mit dem Service genutzt wird, kann das Denial of Service-SLA ebenfalls dem Kunden angeboten werden. Wir verfügen über eine langjährige Erfahrung mit Sicherheitslösungen. Wir betreiben im Kern unserer Netzwerke eines der am weitesten entwickelten IDS-Systeme, welches einen Distributed Denial of Service (DDOS)-Erkennungs- und Unterdrückungsmechanismus enthält. Das Verizon VoIP- Produktportfolio beinhaltet auch Hosted IP Centrex, das entwickelt wurde, um die Verizon Business IP-Infrastruktur mit dem PSTN wirksam zusammenzuschalten. Einer der wichtigsten Vorteile einer Host-Lösung liegt darin, dass die Infrastrukturkomponenten in unserem Netzwerk und in unseren Data Centers 24 Stunden pro Tag und sieben Tage die Woche von Systemen, die von Verizon Business entwickelt wurden, überwacht und geschützt werden. Wir bewerten unsere Sicherheitsmaßnahmen immer wieder neu und nehmen dann Anpassungen vor, um die wesentliche Infrastruktur zu sichern. Wir implementieren die Message Digest Authentication mit SIP, d.h. dass tatsächliche Kennwörter niemals unverschlüsselt gesendet werden, und betreiben einen enormen Aufwand, um SIP zum Schutz des Datenverkehrs weiter zu verbessern. Unsere SIP-kompatiblen Firewalls schützen die entscheidenden Komponenten, ohne die Funktionalität des Dienstes und seine Fähigkeit zu stören, mit anderen Komponenten zu interagieren. Seite.5.von 6
Bei kundeneigenen IP PBX-Lösungen ist es häufig möglich, Sicherungsmaßnahmen und Verschlüsselungen zwischen dem Telefonapparat und dem IP PBX zu implementieren. Das IP Trunking-Angebot kann bestehende IP PBX integrieren, die diese Sicherheitssmaßnahmen schon implementiert haben. Verizon VoIP unterstützt außerdem Hardwarekonfigurationen, die Schnittstellen zu älteren PBX- und KSU-Geräten haben. Das bedeutet, dass es keine Basisstationen für den IP-Telefonapparat gibt, und damit auch kein Risiko, das mit diesen Geräten verbunden ist. Dies Eigenschaft nutzt unser Produkt IP Integrated Access. Zur Unterstützung des gesamten Verizon VoIP-Produktportfolios begutachten wir die Software für IP-Telefone, Router, Schalter, Analog-Telefon-Adapter (ATAs) und Firewalls immer wieder neu und zertifizieren diese. Wir befolgen den Rat unabhängiger Gutachter und nehmen Änderungen vor, um neu erkannten Risiken entgegenzuwirken. Verizon VoIP-Kunden können unseren Aufwand und unsere Fachkenntnisse nutzen, die in die Entwicklung des Portfolios eingeflossen sind. Die Kunden, die eine eigene IP PBX-Lösung betreiben, können nach wie vor Nutzen aus der intensiven Überwachung unserer Infrastruktur und den Sicherheitstests der Kundengeräte ziehen. Centrex- und Hosted-Kunden müssen deutlich weniger eigene Sicherheits- und Überwachungsmaßnahmen ergreifen, da ein großer Prozentsatz der Lösungen aus gehosteten Komponenten besteht, die von Verizon Business geschützt werden. Wir setzen unsere VoIP-Dienste nur in QoS-fähigen Netzwerken ein. Damit stellen wir sicher, dass das Netzwerk die erforderliche Leistungsfähigkeit und die entsprechenden Service Levels hat. Spezifische SLAs für Verizon VoIP bieten den Kunden eine hochverfügbare Infrastruktur. Call Admission Control oder CAC ist eine zu unserem VoIP-Angebot gehörende Funktion, die verhindert, dass die Anzahl der Anrufe die Kapazität der Verbindungsleitungen übersteigt. Weitere Informationen über das Produktportfolio von Verizon Business finden Sie unter www.verizonbusiness.com/de Schlussfolgerung Der Schutz der IP-Telefonie erfordert eine branchenweite, enge Zusammenarbeit. Verizon Business als einer der führenden Anbieter war maßgeblich an der Entwicklung des IP-Telefoniestandards und darauf basierenden Lösungen, mit den entsprechenden Sicherheitsspezifikationen beteiligt. Wir gehörten zu den ersten Mitgliedern der VOIPSA (VoIP Security Alliance), und wir werden auch weiterhin die Entwicklung dieser Organisation vorantreiben. Aufgrund unseres Engagements in der Telekommunikationsbranche sind wir in der Lage, unser VoIP-Produktset mit ausgereiften Sicherheitslösungen strategisch zu ergänzen. Darüber hinaus haben wir es uns zum Ziel gemacht, ein besondere Sicherheitsbewusstsein im Hinblick auf die Nutzung von VoIP zu entwickeln. Verizon Business ist branchenführend mit langjähriger Erfahrung im Bereich VoIP. Dadurch ist es uns gelungen, eine führende Position im Carrier-Grade-Geschäft der VoIP-Lösungen zu übernehmen und zu einer wertvollen Quelle für VoIP-Sicherheitsmaßnahmen zu werden. Referenzen Kuhn, D. Richard, Walsh, Thomas J., Fries, Steffen. (2005). Security considerations for Voice over IP systems recommendations of the National Institute of Standards and Technology. Download unter http://csrc.nist.gov/publications/nistpubs/800-58/sp800-58-final.pdf. 2007 Verizon. Alle Rechte vorbehalten. WP_SecuringVoIP_DE_0507 Namen und Logos von Verizon und Verizon Business sowie alle anderen Namen, Logos und Slogans, die sich auf Produkte und Services von Verizon beziehen, sind Markenzeichen und Dienstleistungsmarken oder geschützte Marken und sonstige Kennzeichen bzw. registriertemarkenzeichen und Dienstleistungsmarken von Verizon Trademark Services LLC oder seiner verbundenen Unternehmen in den VereinigtenStaaten und/oder anderen Ländern. Alle anderen Markenzeichen und Dienstleistungsmarken gehören ihren jeweiligen Eigentümern. Seite.6.von 6