Sicherer Telefonieren mit Voice over IP

Bei herkömmlichen Telefonen sieht der Angerufene beim Telefonklingeln meistens auf seinem Display, von welcher Nummer der Anruf kommt. Mit ID-Spoofing lässt sich diese Funktion leicht aushebeln: Es ist ebenso einfach, mit einer falschen Nummer anzurufen, wie die Absenderadresse einer E-Mail zu fälschen. Noch gravierendere Folgen kann eine Denial-of-Service Attacke auf IP-Telefone, die IP-Telefonanlage oder das Gateway haben. Anders als die herkömmliche Telefonleitung, ist die VoIP-Infrastruktur Denial-of-Service (DoS)-Attacken ausgesetzt wie jeder vom Internet her zugängliche Server. Wer auf diesem Weg die IP-PBX oder den VoIP-Gateway lahm legt, kann den gesamten Telefonverkehr eines Unternehmens unterbrechen. Aktive Dienste wie HTTP, Telnet oder SNMP machen die Maschinen anfällig, Hacker-Tools und Vorgehensweise bei Angriffen sind identisch mit denen auf Server oder PCs.

Eine neue Art der DoS-Attacke richtet sich direkt gegen die IP-Telefone selbst. Da die Geräte IP-basiert sind, und bei direkter Verbindung mit einem SIP-Provider aus dem Internet erreichbar sind, können sie angegriffen werden. Das Prinzip ist das Gleiche wie beim Server: Der „Call Control Port“, der die Telefonverbindungen aufbaut und verwaltet, wird mit Verbindungsaufbaupaketen geflutet bis sich die Software aufhängt. Cisco ließ Ende 2004 verlauten, dass die IP-Telefone der Firma von einem externen Angreifer in eine endlose Neustart-Schleife versetzt werden können, wenn er es schafft, ihnen entsprechende IP-Pakete zu schicken. Die Sicherheitslücke ist längst geschlossen, aber sie zeigt, dass das, was aussieht wie ein Telefon, eben doch ein kleiner Computer ist – mit allen seinen Schwächen und möglichen Sicherheitslücken.

Generell stellt VoIP Administratoren vor die gleichen Probleme, wie jeder andere Dienst, der durch die Firewall getunnelt werden muss. Schwierig ist dabei, dass der Quasi-Standard SIP (Session Initiation Protocol) zwei Kanäle für die Kommunikation verwendet. Der Steuerkanal nutzt die Ports 5060 (UDP) und 5061 (TLS), die Ports für die eigentlichen Sprachdaten vergibt das Real Time Transport Protocol (RTP) dynamisch. Weil die Ports vorher nicht bekannt sind, kann der Admin das Loch in der Firewall nicht auf einen kleinen Bereich beschränken, sondern muss einen sehr weiten Portbereich öffnen – das kommt einer Einladung für Hacker gleich. Die Situation ähnelt der Zeit, als Firewall gleichbedeutend mit Paketfilter war. Protokolle wie FTP, die dynamisch weitere Ports öffneten, waren auf große, frei geschaltete Portbereiche angewiesen. Nicht zuletzt deswegen wurden Stateful Inspection Firewalls entwickelt, die eigenständig erkannten, welchen Port ein Protokoll gerade öffnen wollte und nur diesen Port dynamisch für die Dauer der Verbindung freigab. Das würde auch mit VoIP funktionieren, nur sind bislang kaum Firewalls um das SIP-Protokoll erweitert worden. Gerade mal die High-End-Systeme, zum Beispiel von Cisco oder Juniper, beherrschen diesen Trick. Und weil die Definition von SIP alles andere als abgeschlossen ist, ändern sich ständig Details, die die Firewallhersteller laufend zu Nachbesserungen zwingen.