Verschlüsselung von VoIP Telefonie
Agenda» VoIP-Grundlagen» Gefahren bei VoIP» Sicherheitskonzepte 2
VoIP-Grundlagen Im Unterschied zur klassischen Telefonie werden bei VoIP keine dedizierten Leitungen durchgeschalten, sondern die Sprache wird digitalisiert und in kleinen Daten-Paketen transportiert. Die VoIP-Pakete werden über ein Shared Medium übertragen, also über ein Netz, das sich mehrere Teilnehmer und unterschiedliche Dienste teilen. 3
VoIP-Grundlagen 4
Sicherheits-Herausforderungen» Durch die Integration der Sprachdatenübertragung in das IP-Netz ergeben sich neue Herausforderungen an die IT-Sicherheit.» Durch die geringen Kosten, die für die Gespräche anfallen, wächst die Gefahr von VoIP-Spam, auch SPIT ( Spam over Internet Telephony ) genannt.» Neue Applikationen und Dienste bringen neue Sicherheitsherausforderungen. 5
Agenda» VoIP-Grundlagen» Gefahren bei VoIP» Sicherheitskonzepte 6
Gefahrenpotentiale VoIP-Security in 4 Kategorien: 1. Infrastrukturelle Bedrohungen 2. Übergreifende Bedrohungen 3. Bedrohung zentraler Systeme 4. VoIP -spezifische Bedrohungen 7
Gefahrenpotentiale» Netzwerkverfügbarkeit Redundante Wege Alternativ Routing» Zugriffskontrollen Physikalische Systeme» Absicherung der Voice Netze Firewalls ACLs» USV für Server und Switches(!)» Klimaanlage 8
Gefahrenpotentiale» Fehlbenutzung» Fehlkonzeption z.b. Backup z.b. Virenschutz Datenschutz» Fehlende Know-how in der Administration» Fehlende Wiederanlaufpläne 9
Gefahrenpotentiale» Konfigurationsfehler» Softwarefehler» Fehlender Virenschutz» Zugänge zum Telefonie-System Passwörter Zugriffswege» Verfügbarkeit / Monitoring 10
Gefahrenpotentiale» Gebührenbetrug» Zugangskontrolle / Berechtigungen» Privatsphäre» Abhören von Gesprächen» Sicherheit des Sprachmailsystems» Authentifizierung von Benutzern und Telefonen 11
Agenda» VoIP-Grundlagen» Gefahren bei VoIP» Sicherheitskonzepte 12
Sicherheitskonzepte Maßnahmen:» Übergreifende Aspekte: Betriebsvereinbarungen definieren Saubere Planung Organisierter Betrieb (Backup/Update/Recovery Konzepte)» Infrastruktur: Zugriffkontrollen definieren und kontrollieren Sicherstellung der Infrastruktur Trennung der Netze (Voice-VLAN) Einsatz von Firewalls bzw. Access Control Lists 13
Sicherheitskonzepte Maßnahmen:» Systeme: Saubere, fundierte Konfiguration Einsatz starker Passwörter Dokumentation Einsatz verschlüsselter Zugriffsmethoden Überwachung / Monitoring der Systeme...» Telefonie: Einstellungen am Endgerät administrativ sperren Einsatz von Berechtigungen / Anmeldung am Telefon Einschränkung von Rufumleitungszielen Einsatz von Verschlüsselung (SRTP, SIPS etc.) 14
Fazit» Voice over IP Security ist zu 95% IT-Security» Voice over IP Systeme sind keine TK Anlagen sondern IT (Server) Systeme und bedürfen entsprechender Absicherung» Probleme resultieren oft aus mangelndem IT-Wissen von klassischen TK-Installateuren» Verschlüsselung allein garantiert kein sicheres Telefonie System 15
Sicherheitskonzepte Cisco Technische Möglichkeiten am Beispiel von Cisco Systems Unified Communications Manager :» Weitreichendes Berechtigungssystem für Anrufe und Anrufweiterleitungen möglich.» Vollständig verschlüsseltes Telefonie System möglich.» Zertifikatsbasierte Authentifizierung von IP Telefonen möglich (X.509v3)» Zugriffsprotokolle für die System Administration verschlüsselt» Gehärtete (Linux) Appliance Lösung mit integrierter Firewall» Cisco Security Agent vorinstalliert» Signierte Software Images zum Schutz vor eingeschleustem Schadcode 16
Sicherheitskonzepte - Siemens Technische Möglichkeiten am Beispiel von Siemens HiPath Systemen (2000,4000,8000)» Weitreichendes Berechtigungssystem für Anrufe und Anrufweiterleitungen möglich.» Siemens setzt auf offene Verschlüsselungsprotokolle (CornetIP, SIPS, SRTP, IPSEC)» Zugriffsprotokolle für die System Administration verschlüsselt» Derzeit keine Authentifizierung von Endgeräten möglich» Gehärtete (Linux) Appliance Systeme 17
Sicherheitskonzepte - Asterisk Technische Möglichkeiten am Beispiel der Open Source PBX Asterisk» Weitreichendes Berechtigungssystem für Anrufe und Anrufweiterleitungen möglich.» Verschlüsselung derzeit nur zwischen Anlagen möglich (IAX2). SRTP/SIPS geplant ab V1.6.1» Übliche Linux Sicherungsmaßnahmen anwendbar» Komplexe Einrichtung erhöht das Risiko von Fehlkonfiguration» Derzeit keine Authentifizierung von Endgeräten möglich» Einsatz von VPN Telefonen (z.b. SNOM 370) möglich 18
badenit Telekommunikationslösungen der badenit» Kombination verschiedener Techniken und Hersteller, um Ihnen die für Ihre Anforderungen beste Lösung zu bieten.» Wir vertreiben Lösungen verschiedener Hersteller Cisco Systems Siemens Asterisk / OpenSER Inalp Patton Aastra Detewe snom Kirk Telecom Wireless Lösungen 19
für Ihre Aufmerksamkeit. 20
Noch Fragen? 21
Kontakt 22