Sicherer Telefonieren mit Voice over IP


Wer VoIP gewerblich einsetzen will, kommt um eine Firewall nicht herum. Gibt das Budget ein High-End-Produkt her, stehen die Chancen gut, dass Voice-over-IP-Protokolle bereits integriert sind. Auch einige der Produkte für den SoHo-Bereich können mit SIP-Unterstützung glänzen, allen voran AVM, die in ihrer Fritzbox Firewall, VoIP-Telefonanlage und Gateway kombinieren. Bis sich mehr Anbieter mit bezahlbaren Firewalls auf dem Markt bemerkbar machen, kann ein VoIP-Proxy , zum Beispiel von Borderware, aus der Patsche helfen. Zum einen steht der Proxy in der demilitarisierten Zone, das heißt in einem Bereich, der zwar von Außen erreicht werden, selbst aber keine Verbindung in das interne LAN aufbauen kann. Damit ist der Proxy natürlich nach wie vor potenziellen Attacken ausgesetzt, doch spezielle, gehärtete Betriebssysteme und das Weglassen aller unnötigen Dienste reduziert die Angriffsfläche auf ein Minimum. Zum anderen hilft der Proxy beim Management des VoIP-Dienstes, führt Log-Dateien und zeichnet Nutzungsparameter auf – wertvolle Informationen um den Dienst zu optimieren.

Geht es um die Abhörsicherheit, kann ein Virtual Private Network (VPN) auf Basis von IPSec nicht schaden. Allerdings addiert die Ver- und Entschlüsselung weitere Verzögerungen zur Verbindung, das kann sich, vor allem bei ohnehin langsameren, drahtlosen Netzen in schlechter Sprachqualität bemerkbar machen. Der Sprachstrom selbst kann auch über SRTP (Secure Real Time Protocol) verschlüsselt werden, sicherer ist aber IPSec.

 VoIP-Anbieter


 3Com
 Alcatel
 Avaya
 AVM
 Borderware
 Checkpoint
 Cisco
 Internet Security Systems
 Intertex
 Symantec
 Quovia
 Swyx
 Sipgate
 Wildpackets


Auf allen Servern, die für den VoIP-Dienst notwendig sind gilt: abschalten, was nicht gebraucht wird! VoIP-Equipment hat oft weitere Service-Funktionen wie Zugänge für die Fernwartung, die Eindringlingen Tür und Tor öffnen können. Wer nicht auf Funktionalität verzichten will, muss auf sichere Passwörter achten und wann immer möglich zuerst ein VPN aufbauen, bevor er auf die Geräte zugreift. Zum Sicherheitskonzept gehört auch, die Endgeräte in das Patch-Management einzubeziehen. Es hilft wenig, wenn alle PCs auf dem aktuellen Patchstand sind, daneben aber mindestens ebenso universell nutzbare IP-Telefone stehen, die nur so vor Sicherheitslücken starren. Unternehmen die das VoIP-System als Ersatz der bestehenden Telefonanlage heranziehen wollen, müssen sich auch um die Verfügbarkeit Gedanken machen. Bei den niedrigen Kosten pro Ethernet-Switchport, lohnt es sich, eine eigene, physikalisch getrennte, Infrastruktur für VoIP aufzubauen. Ist das nicht möglich, sollte man die VoIP-Anschlüsse am Switch zumindest in eigenen VLANs (Virtual LANs) zusammenfassen, so können keine Pakete mit Sprachinformationen in das IP-Datennetzwerk durchsickern. Dass alle VoIP-Komponenten eine hieb- und stichfeste Notstromverteilung benötigen, muss nicht extra erwähnt werden.

Lesen Sie auch:

Themenseiten: Security-Praxis, VoIP

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Sicherer Telefonieren mit Voice over IP

Kommentar hinzufügen
  • Am 7. November 2006 um 16:28 von Udo Güngerich

    Argumentation ist irreführend!
    Zu dem Thema "Sobald ein Switch ins Spiel kommt – und heute ist im Prinzip jeder Arbeitsplatz mit einem Switch verbunden – isoliert er den Datenverkehr in unabhängige Segmente." kann nur gesagt werden:

    Es ist irreführend, solche Aussagen zu verbreiten!

    1. Jeder (bessere) Switch hat einen Diagnose-Port, der ALLE Pakete empfängt. Die obige Aussage ist haltlos.

    2. Die Annahme, dass physikalischer Zugriff auf ein Netzwerk von Nöten ist, um VoIP abzuhören, ist falsch. Eine sehr große Anzahl (fast alle) Firmen haben Windows-Clients und arbeiten ohne Web Shield. Trojaner verbreiten sich gerne über HTTP. Ist ein Trojaner erst installiert, so kann er in den meisten Netzwerken so gut wie alles abhören (z.B. durch Verbreitung auf alle Clients), denn die meisten Netzwerke sind nicht gut gesichert in der Annahme, dass es genügt "hinter einer Firewall zu sitzen".

    3. Selbst ohne 1. und 2. kann man getrost annehmen, dass es genügend Fälle von erfolgreichen Angriffen auf das lokale Netz gegeben hat: D.h. es ist prinzipiell immer von der Möglichkeit auszugehen, dass Datenverkehr belauscht wird.

    Das Herunterspielen von Risiken hilft nicht, das Sicherheitsbewusstsein von Menschen zu stärken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *