IP-Telefonie (Voice over IP) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Hinweis: Der vorliegende ISi-L basiert vorrangig auf der 2005 erstellten Studie „Voice over IP, Sichere Umstellung der Sprachkommunikation auf IP-Technologie“ des BSI (http://www.bsi.bund.de/literat/studien/VoIP/index.htm). Eine eigene Studie ISi-S innerhalb der ISi-Reihe ist in Planung, wird aber nicht vor Ende 2009 vorliegen. Für vertiefende, technische Informationen betrachten Sie daher bitte derzeit die vorgenannte Studie oder den Baustein 4.7 „VoIP“ aus den IT-Grundschutzkatalogen. ISi-Reihe Sichere IP-Telefonie - ISi-L Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt sind die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der Isi-Reihe.Ein vollständiges Verzeichnis der erschienenen Bände finden Sie auf den Internet-Seiten des BSI. http://www.bsi.bund.de oder http://www.isi-reihe.de Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach 20 03 63 53133 Bonn Tel. +49 (0) 228-99 9582-0 E-Mail: [email protected] Internet: http://www.bsi.bund.de © Bundesamt für Sicherheit in der Informationstechnik 2008 2 Bundesamt für Sicherheit in der Informationstechnik ISi-Reihe Bundesamt für Sicherheit in der Informationstechnik Sichere IP-Telefonie - ISi-L 3 ISi-Reihe Sichere IP-Telefonie - ISi-L Inhaltsverzeichnis 1 Leitfaden „Sichere IP-Telefonie“......................................................................................................5 1.1 Management Summary..............................................................................................................5 1.2 Einführung und Überblick.........................................................................................................5 1.2.1 Wie funktioniert IP-Telefonie?..........................................................................................6 1.2.2 Anwendungsszenarien.......................................................................................................8 1.2.3 Unterschiede zur herkömmlichen Telefonie......................................................................8 1.3 Wesentliche Ergebnisse der Gefährdungsanalyse.....................................................................9 1.4 Wesentliche Empfehlungen.....................................................................................................11 1.5 Fazit.........................................................................................................................................15 2 Stichwort- und Abkürzungsverzeichnis..........................................................................................17 4 Bundesamt für Sicherheit in der Informationstechnik ISi-Reihe 1 Sichere IP-Telefonie - ISi-L Leitfaden „Sichere IP-Telefonie“ Neben dem Surfen im Web und dem Versenden von E-Mails stellt das Telefonieren über das Internet eine der nächsten großen Anwendung in den Datennetzen dar. Im Folgenden soll ein kurzer Überblick über die neue Technik und deren Sicherheitseigenschaften gegeben werden. 1.1 Management Summary Das Zusammenlegen von Telefon- und Datennetzen verspricht auf den ersten Blick große Einsparungen in Anschaffung und Betrieb. Als gemeinsame technische Infrastruktur werden hierfür die heutigen Netze auf IP-Basis (Internet Protocol) angesehen. Bei der sogenannten IP-Telefonie (Voice over IP) werden die Sprachdaten digitalisiert, in kleine IP-Pakete verpackt und einzeln vom Sprecher zum Hörer transportiert, wo sie wieder zusammengefügt und für den Lautsprecher in ein analoges Signal zurückgewandelt werden. In diesem Szenario gibt es neben den aus der herkömmlichen Telefonie bekannten Gefährdungen, zahlreiche neue Risiken. Schließlich sind bei der IP-Telefonie auch alle aus der IP-Welt bekannten Schwachstellen relevant. Das Abhören von Gesprächen, das Auslesen von Adressbuchdaten, das Stören oder Verhindern von Telefongesprächen, Gebührenbetrug oder das Einschleusen von Sprachdaten in bestehende Gespräche sind mögliche Angriffsszenarien. Hauptproblem ist, dass die für IP-Telefonie benötigten Komponenten (Softphones, IP-Telefone, VoIP-Server usw.) oft auf Standard-Rechner-Architekturen und Standard-Betriebssystemen aufbauen und so sämtliche Schwächen dieser Systeme mitbringen. Um den netztypischen Gefährdungen zu begegnen, ist es wichtig, umfassende Sicherheitsmaßnahmen umzusetzen. Hierzu gehört eine Absicherung der einzelnen Komponenten auf Internet- und Transportschicht, wie sie im ISi-Modul „Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)“ beschrieben ist, genauso wie ein VoIP-fähiges Sicherheits-Gateway. Um sich vor dem Abhören zu schützen, ist es zudem unbedingt empfehlenswert, Sprach- und Signalisierungsdaten konsequent zu verschlüsseln sowie in Administration und Betrieb mit Zertifikaten zur Authentisierung zu arbeiten. IP-Telefonie stellt eine ernst zu nehmende Alternative für den Bereich der Telefonie in internen Netzen (LAN) oder für die Verbindung von mehreren Standorten über, im Idealfall selbst betriebene, Weitverkehrsnetze (WAN) dar. Ob IP-Telefonie über das öffentliche Internet, die sogenannte Internet-Telefonie, aktuell eine immer befriedigender Sprachqualität und Verfügbarkeit bietet, um diese Anwendung von IP-Telefonie auch im geschäftlichen Bereich einzusetzen, muss im Vorfeld einer Einsatzentscheidung vor Ort entschieden werden. Wichtig ist in jedem Fall, dass alle notwendigen Sicherheitsmaßnahmen umgesetzt werden, wodurch die Einsparpotenziale erheblich reduziert werden. 1.2 Einführung und Überblick Aktuell gibt es zahlreiche Bestrebungen, die Telekommunikationsnetze (TK-Netze) und die Datennetze (IT-Netze) zu verschmelzen. Hintergrund ist die Erwartung, durch eine gemeinsame Infrastruktur und eine einheitliche Netztechnik Kosten zu sparen. Dabei zeichnet sich eine starke Tendenz zu einer universellen Nutzung des Internet-Protokolls (IP) ab. Die neuen Techniken zur Übertragung von Sprache über IP-Netze werden unter dem Begriff Voice over IP (VoIP) oder zu deutsch IP-Telefonie zusammengefasst. Bundesamt für Sicherheit in der Informationstechnik 5 ISi-Reihe 1.2.1 Sichere IP-Telefonie - ISi-L Wie funktioniert IP-Telefonie? Wie bei der herkömmlichen Telefonie besteht ein IP-Telefongespräch grundsätzlich aus drei unterschiedlichen Phasen, dem Verbindungsaufbau, der Sprachübermittlung und dem Verbindungsabbau. Verbindungsauf- und -abbau (Signalisierung) Bevor ein Gespräch im eigentlichen Sinn beginnen kann, muss die Verbindung zwischen den beiden Teilnehmern aufgebaut werden. Hierbei werden verschiedene Parameter (z. B. das zu verwendende Kodierungsverfahren) ausgetauscht, die für die aufzubauende Kommunikation wichtig sind. Verbreitete Signalisierungsprotokolle sind z. B. SIP (Session Initiation Protocol) und H.323 (ein ITU-T-Standard), wobei sich SIP aktuell durchzusetzen scheint. Im Falle von SIP besitzt jeder Teilnehmer eine IP-Telefonie-Adresse, die ähnlich einer E-MailAdresse aufgebaut ist. Endgeräte müssen sich, nachdem sie an das Internet angeschlossen werden, bei dem für sie zuständigen SIP-Server melden. Im Zuge der Signalisierung kann ein Anrufer dann von diesem Server erfahren, wie der gewünschte Gesprächspartner aktuell zu erreichen ist. Für die eigentliche Sprachübermittlung ist der Server dann nicht mehr erforderlich. Die Endgeräte kommunizieren direkt miteinander. Der Verbindungsabbau erfolgt bei SIP vergleichbar zum Aufbau; nach dem Auflegen erfolgt eine kurze Signalisierung des Gesprächsendes über den SIPServer. Bei H.323 hingegen ist der Server am Verbindungsabbau nicht mehr beteiligt. Sprachübermittlung Im Unterschied zur klassischen Telefonie wird die Sprache bei VoIP nicht über fest geschaltete Kanäle, sondern in kleinen Paketen transportiert. Für die Übertragung der Sprachdaten, die natürlich auch hier in Echtzeit erfolgen muss, wird üblicherweise das Protokoll RTP (Real-Time Transport Protocol) oder seine sichere Variante SRTP (Secure RTP) eingesetzt. Bevor gesprochene Sprache über IP-Netze verschickt werden kann, müssen die vom Mikrofon aufgezeichneten Signale digitalisiert werden. Eine Kompression verringert darüber hinaus in den meisten Fällen die zu übertragende Datenmenge. Diese Umsetzung erfolgt mithilfe eines Kodierungsverfahren, des sogenannten Codec1. Bei der Komprimierung gibt es einen Zielkonflikt zwischen erzielbarer Sprachqualität und Kompressionsrate. Für unterschiedliche Ansprüche gibt es daher auch verschiedene Komprimierungsverfahren (Codecs). Um die Daten nach dem Transport wieder korrekt in Sprache umwandeln zu können, muss der Empfänger natürlich das gleiche Verfahren benutzen wie der Sender. Der eigentliche Transport der Daten erfolgt anschließend über das Real-Time Transport Protocol (RTP) auf der Basis des User Datagram Protocols (UDP) mit dem zugehörigen Steuer-Protokoll Real-Time Control Protocol (RTCP). Folgende vier Faktoren sind für die Übertragungsqualität der Sprache bei IP-Telefonie relevant: 1. Laufzeit (Latenz): Als Laufzeit wird die Zeit vom gesprochenen Wort bis zur Wiedergabe beim Gesprächspartner bezeichnet. Diese Zeit sollte 150 Millisekunden nicht überschreiten, um auf die Gesprächspartner nicht störend zu wirken. Neben der reinen Signal-Laufzeit auf der Übertragungsstrecke müssen auch die Zeiten für Komprimierung und Dekomprimierung, für Paket-Erzeugung und -Zusammensetzung sowie die Durchlaufzeiten der anderen auf der Strecke 1 Verbreitete Codecs sind z. B. G.711 (unkomprimiert), G.723.1 und G.729/G.729A. 6 Bundesamt für Sicherheit in der Informationstechnik ISi-Reihe Sichere IP-Telefonie - ISi-L liegenden Komponenten (Router, Sicherheits-Gateways, ...) bei der Bestimmung der GesamtLaufzeit von IP-Telefonie-Paketen berücksichtigt werden. 2. Jitter: Nicht jedes Paket kommt nach der gleichen Laufzeit am Ziel an. Um dennoch möglichst viele Pakete wieder zum Ausgabestrom zusammensetzen zu können, führt man eine künstliche Ausgabe-Verzögerung von etwa 10 bis 30 Millisekunden ein, den sogenannten Jitter. Alle Pakete, die innerhalb dieser Zeitspanne ankommen, können korrekt am Hörer ausgegeben werden. Über die Größe des Jitters kann man einstellen, ob man eher eine höhere Ausgabeverzögerung (Laufzeit plus Jitter) oder einen höheren Paketverlust akzeptieren möchte. 3. Paketverlust: Pakete, die nicht oder nicht rechtzeitig vor der Sprachwiedergabe beim Empfänger ankommen, gehen in die sogenannte „packet loss rate“ ein. Diese sollte nach allgemeinen Empfehlungen 5% nicht deutlich überschreiten, um eine qualitativ hochwertige Wiedergabe zu ermöglichen. 4. Durchsatz: Für IP-Telefonie wird in beide Richtungen in der Regel eine Bandbreite von mindestens 80 bis 100 kBit/s benötigt. Die genaue Größe hängt von der gewählten Kodierung ab. Durch den hohen Anteil an Protokoll-Overhead lässt sich die Bandbreite aber nicht beliebig reduzieren. Der Einsatz des Protokolls UDP auf der Transportschicht bedeutet, dass der Empfang der Sprachpakete gegenüber dem Absender nicht bestätigt wird, also keine Übertragungsgarantie besteht. Dies ist jedoch unkritisch, da eine korrekte Wiedergabe auch bei einer gewissen Zahl von Übertragungsfehlern noch gewährleistet ist. Für ein flüssiges Gespräch ist eine geringere Verzögerung hingegen deutlich wichtiger, wie sie durch den Einsatz von UDP im Vergleich zu TCP entsteht. Benötigte Geräte Um IP-Telefonie verwenden zu können, benötigt man ein geeignetes Endgerät. Hier gibt es grundsätzlich drei Möglichkeiten: – Sehr häufig eingesetzt werden die sogenannten Softphones, eine Software, die auf dem normalen PC läuft, kombiniert mit Kopfhörer und Mikrofon, z. B. in Form eines Headsets. – Alternativ können auch spezielle IP-Telefone verwendet werden, also Hardware-Komponenten, die wie ein PC an das LAN oder WLAN angeschlossen werden. In diesem Fall wird kein PC zum Telefonieren benötigt. – Eine dritte Möglichkeit besteht in der Verwendung herkömmlicher Telefone, die über einen Adapter an das LAN angeschlossen werden. Viele preiswerte LAN-Router bieten inzwischen die Möglichkeit, normale Telefone für IP-Telefonie direkt anzuschließen. Um Verbindungen zu herkömmlichen Telefonen oder Telefonnetzen herstellen zu können, werden neben den zuvor beschriebenen Endgeräten sogenannte Gateways benötigt. Diese sind einerseits mit dem IP-Telefon bzw. dem IP-Telefonie-Netz im LAN verbunden und andererseits mit dem herkömmlichen lokalen Telefonnetz oder dem öffentlichen Telefonanschluss. Die Gateways können also zwischen den beiden Welten vermitteln. In komplexen Aufbauten werden zudem diverse Server (z. B. VoIP-, Konfigurations-, Abrechnungs-Server) benötigt. Integriert werden diese Komponenten in die Grundarchitektur, die im ISi-Modul „Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)“ vorgestellt wurde, mit den dort enthaltenen Routern, Switches und Sicherheits-Gateway-Komponenten. Bundesamt für Sicherheit in der Informationstechnik 7 ISi-Reihe 1.2.2 Sichere IP-Telefonie - ISi-L Anwendungsszenarien Welche Anwendungsszenarien sind im Rahmen der ISi-Reihe von Interesse? – Anschluss von Endgeräten im internen Netz (Intranet-Telefonie) VoIP wird heute vermehrt für die Sprachkommunikation innerhalb von lokalen Netzen (LAN) eines Unternehmens oder einer Behörde genutzt. Der Transport der Signalisierungs- und Sprachdaten erfolgt dabei in der Regel über das bestehende Datennetz. Klares Ziel ist die vollständige Kombination von Daten- und Telefonienetz im LAN um einerseits Einsparungen bei Leitungen, Netzkomponenten, Management, Administration und Wartung zu erzielen und andererseits die Telefonie enger mit den vorhandenen Daten (Kundendaten, Telefonverzeichnisse usw.) zu verknüpfen. – Anlagen-Kopplung über ein WAN (Trunking) Zunehmend werden auch an verschiedenen Standorten aufgebaute, lokale TK-Anlagen über IPbasierte Verbindungen mit Kapazitätsreserven gekoppelt. Hier spricht man von Trunking. Das Zusammenführen von Telefonie- und Datennetz in der Standortvernetzung über ein WAN bietet dabei erhebliche Flexibilität, eine effizientere Bandbreitennutzung und damit auch gewisse Einsparpotenziale. – Übertragung von Sprache über öffentliche Netze (Internet-Telefonie) Eine dritte Möglichkeit ist die Sprachübertragung über öffentliche IP-Netze, also über das Internet. Dies erfreut sich im privaten Bereich immer größerer Beliebtheit. Dabei werden vornehmlich Softphone-Clients oder kompakte preiswerte VoIP-Gateways eingesetzt, die es erlauben mit herkömmlichen Telefonen Voice over IP zu nutzen. Eine Sprachübertragung über das Internet wird in der Praxis im professionellen Einsatz aufgrund nicht immer ausreichend zuverlässiger Verfügbarkeit (Sprachqualität, ...) derzeit nur selten realisiert. Darüber hinaus wird IP-Telefonie zunehmend auch von Providern im Backbone-Bereich der Festnetz-Telefonie eingesetzt, also zwischen den Vermittlungsstellen, ohne dass die Kunden hiervon etwas merken würden. Dieses Einsatzszenario wird im Rahmen des vorliegenden Textes jedoch nicht betrachtet, da es sich aus Kundensicht weiter um Festnetz-Telefonie handelt. 1.2.3 Unterschiede zur herkömmlichen Telefonie VoIP unterscheidet sich von der heute noch vorherrschenden Sprachtelefonie in vielerlei Hinsicht. Wesentliche Aspekte sind z. B.: 1. Teilnehmerzuordnung: Im herkömmlichen Telefonnetz ist die Teilnehmerzuordnung portgebunden, d. h. jeder Teilnehmeranschluss ist physisch mit einem Anschluss in der Vermittlungsstelle verbunden. Eine zusätzliche Authentifizierung findet nicht statt. In IP-Netzen hingegen erfolgt die Teilnehmerzuordnung ausschließlich über beliebig fälschbare IP- bzw. MAC-Adressen; die authentische Zuordnung muss über zusätzliche Mechanismen vorgenommen werden, wie z. B. über zertifikatsbasierte Methoden. 2. Signalisierung und Vermittlung der Sprachdaten: Bei ISDN erfolgt die Signalisierung außerhalb des normalen Sprachkanals (out-band) über den sogenannten D-Kanal. Das Telefonienetz stellt den Endgeräten daraufhin einen festen Kanal zur Sprachübertragung zwischen den TeilnehmerPorts zur Verfügung. 8 Bundesamt für Sicherheit in der Informationstechnik ISi-Reihe Sichere IP-Telefonie - ISi-L Bei VoIP hingegen erfolgt im Rahmen der Signalisierung lediglich ein Austausch der IPAdressen der Gesprächsteilnehmer, und zwar im selben Netz wie die spätere Übermittlung der Sprachdaten (also in-band). Anschließend können die Telefone über das IP-Netz auf beliebigen Wegen kommunizieren. Jedes einzelne Sprachpaket wird dabei anhand der enthaltenen Adressangaben separat vermittelt. Die Vermittlung der Sprachdaten erfolgt in der bisherigen Telefonie also verbindungsorientiert, bei IP-Telefonie paketorientiert. 3. Protokoll-Overhead: Bei VoIP werden die Sprachdaten in der Regel in Form von RTP-Paketen verschickt. RTP baut als Protokoll auf UDP und IP auf. Der Protokoll-Overhead ist durch die mehreren Protokollschichten bei VoIP sehr hoch, typischerweise beträgt er etwa 60 Byte bei einer Nutzdatengröße von etwa 20 bis 40 Byte (abhängig von der verwendeten Sprachkodierung). 4. Endgeräte: Herkömmliche Telefone sind technisch häufig stark eingeschränkt auf die eigentliche Telefonie-Funktion. Dies gilt insbesondere für analoge Geräte. Heutige VoIP-Endgeräte (insbesondere Softphones) und sonstige VoIP-Komponenten (z. B. VoIP-Server) basieren hingegen auf herkömmlichen Rechnerplattformen, meist mit Standard-Betriebssystemen und Standard-Management-Mechanismen. Dies führt zu einem höheren Gefährdungspotenzial, z. B. durch die Ausnutzung von bekannten Fehlern im Programmcode oder durch Ausnutzung von Fehlkonfigurationen. 1.3 Wesentliche Ergebnisse der Gefährdungsanalyse Bei der IP-Telefonie bestehen die Gefährdungen der klassischen Telefonie weitgehend fort. Hinzu kommen jedoch alle Schwachstellen auf den unteren Schichten (IP, TCP/UDP) eines Datennetzes. Schließlich werden Signalisierungs- und Sprachdaten über IP-Netze übertragen und auf ihrem Weg von zahlreichen IP-Komponenten (Router, Gateways, PC-basierte Server) verarbeitet, die häufig nicht sicher implementiert oder konfiguriert sind. Im Vergleich zur klassischen Telefonie ist die IP-Telefonie folglich mit zusätzlichen Gefährdungen verbunden. Hierauf soll im Folgenden eingegangen werden. Kernbedrohung: Eindringen in eine VoIP-Komponente Stellten in der klassischen Telefonie die separat verlegten Leitungen, die proprietären Protokolle und die komplexen Anlagen in den zentralen Vermittlungsstellen eine ausreichende Hürde dar, um normale Hacker von einem Eindringen abzuhalten, so liegt diese Hürde in IP-Netzen deutlich niedriger. Die wichtigste Bedrohung für die IP-Telefonie ist daher das Eindringen in eine der am Datenverkehr beteiligten Komponenten, sei es ein Server, ein Gateway, ein PC, auf dem ein Softphone betrieben wird, oder womöglich das VoIP-fähige Sicherheits-Gateway. Hat ein Angreifer eine dieser Komponenten übernommen, so kann er diese vollständig umkonfigurieren und so beliebige Schäden anrichten: vom Abrechnungsbetrug über das Mithören von Gesprächen, vom Denial-of-Service bis hin zum Auslesen aller auf der Komponente gespeicherten Daten wie Telefonbücher, Anruflisten oder Verbindungsdaten. Da der Fokus bei neuen Techniken wie VoIP fast immer auf den funktionalen Eigenschaften liegt, lässt die Sicherheit von Hardware und Software oft zu wünschen übrig. Dadurch hat es ein Angreifer im VoIP-Umfeld derzeit noch besonders leicht: Viele Komponenten basieren auf nicht Bundesamt für Sicherheit in der Informationstechnik 9 ISi-Reihe Sichere IP-Telefonie - ISi-L gehärteten, d. h. nicht speziell abgesicherten, Standard-Betriebssystemen. Diese Systeme sind zudem nicht immer aktuell gepatcht, sodass verbreitete Schadprogramme (Viren, Würmer, Trojanische Pferde) recht einfach in die Systeme eindringen können. Trojanische Pferde können z. B. Anrufe ohne Wissen des Anwenders tätigen, lokale Informationen (Telefonbuch, ...) ausspähen und an den Angreifer weiterleiten oder Gespräche belauschen. Auch das Umfunktionieren eines IP-Telefons in eine Wanze, das sogenannte Raumabhören, ist ein denkbares Angriffsszenario. Generell lässt sich sagen, dass Softphones besonders anfällig sind für Angriffe von Programmen mit Schadfunktion; Softphones dürfen in Sicherheitszonen mit hohem Schutzbedarf auf keinen Fall verwendet werden. Besser geeignet sind IP-Telefone; diese haben eine eigene Netzschnittstelle und basieren fast immer auf proprietären Betriebssystemen, deren Einstellungen auf die geforderte Funktionalität zugeschnitten sind. Ein Sicherheitsproblem entsteht bei den IP-Telefonen jedoch, wenn die integrierten Mini-Switches genutzt werden, um einen Computer über den selben Port an das LAN anzuschließen wie das IP-Telefon. Wird in diesem Fall das IP-Telefon übernommen, so kann auch der gesamte Datenverkehr zum PC abgehört werden. Die auf proprietären, gehärteten Betriebssystemen basierenden VoIP-Middleware-Komponenten haben, statistisch gesehen, eine bessere Resistenz gegen Schadprogramme. Aber auch hier ist eine Übernahme durch Angreifer möglich, wenn Sicherheits-Patches nicht umgehend eingespielt werden. Bedrohungen der Sicherheitsgrundwerte Nachfolgend sind einige Beispiele für konkrete Bedrohungen bei der IP-Telefonie aufgeführt, gegliedert nach den drei elementaren Sicherheitsgrundwerte Verfügbarkeit, Vertraulichkeit und Integrität: – Bedroht ist die Verfügbarkeit des Telefoniedienstes an sich sowie die Verfügbarkeit von Abrechnungs-Informationen. – Bedroht ist die Vertraulichkeit der Sprachdaten und der Verbindungsdaten, aber auch aller im Telefon gespeicherter weiterer Daten wie z. B. Telefonbücher, Anruflisten usw. – Bedroht ist auch die Integrität und Authentizität der Sprachdaten sowie der zugehörigen Metadaten wie Sendezeitpunkt der Sprachdaten, Identität des Anrufers und des gerufenen Benutzers, Status von Endgeräten bzw. eines Rufes u. v. m. Was kann konkret passieren? VoIP-Systeme sind IP-basierte Anwendungen und erben als solche alle Schwachstellen und Bedrohungen des zugrunde liegenden IP-Netzes (bis hoch zur Transportschicht), also insbesondere die Schwachstellen und Bedrohungen der Protokolle IP, TCP, UDP, ICMP. Eine umfassende Gefährdungsanalyse für ein LAN findet sich in ISi-LANA. Alle dort aufgelisteten Gefährdungen gelten auch für die IP-Telefonie. Alle dort gegebenen Empfehlungen müssen demnach auch hier umgesetzt werden. Darüber hinaus gibt es bei VoIP, wie bei anderen Diensten und Anwendungen auch, weitere Schwachstellen auf der Anwendungsschicht, die Angreifer gezielt ausnutzen können. So ist der Datenverkehr in den Standard-Implementierungen stets unverschlüsselt. Wurde die Sprache bei der klassischen Telefonie i. d. R. über separate Netze übertragen, die nicht so ohne Weiteres anzuzapfen waren, so sendet VoIP seine Sprachdaten-Pakete über die normalen 10 Bundesamt für Sicherheit in der Informationstechnik ISi-Reihe Sichere IP-Telefonie - ISi-L Datennetze und die darin enthaltenen Rechner. Wie einfach VoIP-Gespräche abgehört werden können, wenn physischer Zugang zu einer Komponente im Datenverkehr besteht, zeigen weit verbreitete Werkzeuge wie Vomit. Auch für das häufig genutzte Sniffing-Programm Ethereal gibt es inzwischen Plugins zum Auswerten der Signalisierung und somit zum Abhören des gesamten Gesprächs – die Vertraulichkeit der Daten ist somit nicht gewahrt. Hier könnte eine korrekt implementierte Verschlüsselung Abhilfe schaffen. Aber Vorsicht: nicht jede Implementierung tut, was sie soll: zwischen manchen Endgeräten wird der Schlüssel im Klartext ausgetauscht, unmittelbar vor der Verschlüsselung der Sprachdaten. Hier hat ein Angreifer leichtes Spiel. Angriffe auf die Verfügbarkeit setzen häufig auf den unteren Protokollschichten an, wie sie in ISiLANA beschrieben sind. Diese Angriffe können einen Totalausfall der IP-Telefonie herbeiführen oder auch „nur“ eine sehr schlechte Gesprächsqualität verursachen. Dabei müssen oft nicht einmal Sicherheitshürden überwunden werden. Ein Beispiel: Eine Überflutung mit UDP-Datenpaketen (UDP Packet Storm) kann dazu führen, dass die Sprachqualität deutlich absinkt. Eine anwendungsspezifische Gefährdung der Verfügbarkeit stellt SPIT (Spam over Internet Telephony) dar, die IP-Telefonie-Variante von Spam. Aufgrund der geringen Kosten für IP-basierte Telefonate ist zu befürchten, dass SPIT zu einer ähnlichen Belästigung wird wie Spam, sobald Internet-Telefonie eine ausreichend große Verbreitung erreicht hat. Eine Schwachstelle stellen auch die häufig von Providern betriebenen zentralen Server dar, die durch gezielte Angriffe außer Betrieb gesetzt werden oder schlichtweg durch technische Defekte ausfallen können. Sind diese VoIP-Server nicht mehr verfügbar, so wird das Telefonieren über IP für die angeschlossenen Teilnehmer komplett unmöglich. Ein weiterer Schwachpunkt ist, dass die Integrität und die Authentizität der ausgetauschten Daten häufig nicht geschützt ist. So ist es z. B. möglich, fremde Gespräche abzubrechen oder Sprachinformationen in ein Gespräch einzuschleusen. Deutlich einfacher als bei der klassischen Telefonie ist es auch, mitgeschnittene Sprachnachrichten ein zweites Mal zu senden (sogenannter Replay-Angriff). Die fehlende Authentifizierung von Signalisierungsnachrichten ermöglicht zudem das SichAusgeben als VoIP-Server bzw. das Vortäuschen einer falschen Identität als Anrufer (URISpoofing). Werden auf diese Weise Gateways zu anderen VoIP-Inseln oder zum ISDN-Netz getäuscht, kann Gebührenbetrug begangen werden. Die genaue Gefährdungssituation hängt jedoch vom eingesetzten Protokoll ab. Ein weiteres, konkretes Angriffsszenario wäre das sogenannte Vishing als Pendant zum Phishing. Hierbei leiten Angreifer ahnungslose Kunden auf gefälschte Hotlines weiter, um sich auf diese Weise deren Zugangsdaten zu Bankkonten o. Ä. zu erschleichen. Der Fantasie der Angreifer sind keine Grenzen gesetzt. 1.4 Wesentliche Empfehlungen Zahlreiche Empfehlungen und Maßnahmen müssen umgesetzt werden, um IP-Telefonie sicher betreiben zu können. Bevor im Folgenden auf die VoIP-spezifischen Empfehlungen eingegangen wird, ein allgemeiner Hinweis: Bundesamt für Sicherheit in der Informationstechnik 11 ISi-Reihe Sichere IP-Telefonie - ISi-L Standard-Sicherheitsmaßnahmen auf unteren Schichten Die allgemein auf IP- und Ethernet-Netze zutreffenden Empfehlungen sowie die StandardEmpfehlungen für Server und Clients (z. B. minimales, gehärtetes System, aktueller Patch-Stand) gelten auch für VoIP-Umgebungen und müssen auch hier auf allen eingesetzten Komponenten im vollen Umfang umgesetzt werden. Siehe hierzu das ISi-Modul „Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)“. Wichtig ist dabei auch der Schutz vor physikalischem Zugriff auf die Netzkomponenten und eine Absicherung gegen Strom- und Geräteausfall. Konkret sollten die wichtigen Komponenten durch unterbrechungsfreie Stromversorgung (USV) abgesichert werden. Außerdem sollten die Endgeräte über Power-over-Ethernet (PoE) versorgt werden, da individuelle Steckernetzteile von IPTelefonen häufige Quellen für Ausfälle und unnötige Brandgefahren darstellen. Entscheidend ist aber auch die redundante Auslegung, insbesondere der Middleware-Komponenten. Hierbei sollten die Zweitgeräte ebenfalls jederzeit im Einsatz sein (hot standby oder im Rahmen einer Lastverteilung parallel genutzt), um die üblicherweise sehr hohen Ansprüche an die Verfügbarkeit erfüllen zu können, wie man sie aus der klassischen Telefonie kennt. Maßnahmen gegen das Eindringen in VoIP-Komponenten Um Hackern ein Eindringen in die VoIP-Komponenten weiter zu erschweren, sollte bei Endgeräten eine starke Authentifizierung umgesetzt werden, idealerweise auf der Basis von Zertifikaten. Zudem sollte die Switch-Funktionalität der VoIP-Endgeräte deaktiviert werden, da die integrierten Mini-Switches i. d. R. nicht ausreichend konfiguriert werden können und so zum Sicherheitsrisiko werden. Nachteil ist allerdings, dass dann pro Arbeitsplatz zwei Ports und zwei getrennte Kabel benötigt werden. Dieser Nachteil sollte aus Sicherheitssicht jedoch in Kauf genommen werden. Leider gibt es eine Vielzahl von VoIP-Komponenten auf dem Markt, die keinen verschlüsselten Remote-Zugang für die Administration bieten. Es ist daher besonders wichtig, schon bei der Produktauswahl darauf zu achten, dass nur VoIP-Komponenten beschafft werden, die über verschlüsselte Protokolle administriert werden können, idealerweise unter Nutzung von Zertifikaten zur Authentisierung. Häufig wird auch eine strikte Trennung von Sprach- und Datennetz empfohlen. Dies ist jedoch zweischneidig. Eigentlich wäre eine physikalische Trennung der beiden Funktionalitäten sinnvoll – und diese sollte man in Bereichen mit hohem Schutzbedarf auch fordern – andererseits basieren viele der funktionalen Vorteile von IP-Telefonie gerade auf der Integration von Daten- und Telekommunikations-Netzen, so z. B. das direkte Anwählen im E-Mail-Adressbuch gespeicherter Kontakte oder der Zugriff von Telefonie-Komponenten auf LDAP-Server. Insofern müssen die Vor- und Nachteile hier sorgfältig abgewogen werden. Ist der Einsatz von Softphones gewünscht, ist eine Netztrennung schon prinzipiell nicht möglich. Zur Trennung von Daten- und Sprachnetz können Paketfilter als Sicherheits-Gateway eingesetzt werden; möglichst sollten hierfür dann zustandsbasierte Paketfilter verwendet werden (stateful packet inspection). Sicherheits-Gateway und IP-Telefonie Soll IP-Telefonie über die Netzgrenze zum Internet hinweg genutzt werden, so muss das in der ISiLANA-Grundarchitektur empfohlene, aus Paketfilter, Application-Level Gateway (ALG) und Paketfilter (PAP) bestehende Sicherheits-Gateway in der Lage sein, die verwendeten Signalisierungsprotokolle mit dem gesamten Verbindungsaufbau zu analysieren und die jeweiligen Zustände zu speichern. 12 Bundesamt für Sicherheit in der Informationstechnik ISi-Reihe Sichere IP-Telefonie - ISi-L Der Vorteil eines solchen VoIP-fähigen Sicherheits-Gateways macht sich gerade bei der Übertragung von RTP-Paketen bemerkbar. Die für die RTP-Übertragung zu verwendenden UDPPorts werden im Rahmen der Signalisierung zwischen den Endpunkten vereinbart. Da das VoIPfähige ALG den Austausch der Protokollnachrichten verfolgt, in denen die IP-Adressen und die UDP-Ports vereinbart werden, kann es dynamisch Filter setzen, die den betreffenden RTP-Strom passieren lassen. Beim Einsatz eines reinen Paketfilters müssten hingegen große UDP-Port-Bereiche (z. B. von 16384-32767) dauerhaft geöffnet werden, um eingehenden RTP-Datenverkehr zu ermöglichen2. Solche Konfigurationen würden ein erhebliches Sicherheitsrisiko darstellen, da sie eine große Angriffsfläche für DoS-Angriffe (UDP Flooding) u. a. böten. ALGs mit Proxy-Funktionalität (SIPbewusstes ALG, SIP-Proxy-Server) für VoIP-Protokolle wie SIP und RTP hingegen öffnen nur die im Rahmen der SIP-Signalisierung mitgeteilten und somit tatsächlich benötigten UDP-Ports für die Dauer der Kommunikation und bieten daher weniger Angriffsmöglichkeiten. Am Sicherheits-Gateway wird häufig eine Adress-Umsetzung mithilfe von NAT (Network Address Translation) vorgenommen. Dies kann bei IP-Telefonie zum Problem werden. Bei den Signalisierungsprotokollen werden die IP-Adressen und Portnummern der Kommunikationspartner nicht nur auf Transportschicht, sondern auch innerhalb des Nachrichtenteils der Pakete zwischen den Endsystemen ausgetauscht, also auf Anwendungsschicht. Bei der Adress-Umsetzung mit NAT werden die IP-Adressen und Ports aber nur im UDP- bzw. TCP-Header modifiziert. Die entsprechenden Angaben im Nachrichtenteil bleiben hingegen unverändert. Ohne weitere Maßnahmen können daher keine Sprachdaten zwischen den VoIP-Telefonen ausgetauscht werden. Für dieses Problem gibt es inzwischen einige Lösungsmöglichkeiten namens MIDCOM, STUN, TURN oder ICE. Diese Verfahren ermitteln z. B. die öffentliche Adresse, unter der ein SIP-Telefon gerade über eine NAT-Grenze hinweg telefonieren möchte, und teilen diese dem SIP-Telefon mit, sodass die Adresse auch auf Anwendungsschicht verwendet werden kann. Es ist wichtig, dass einer dieser Ansätze angewendet wird, wenn IP-Telefonie über ein Sicherheits-Gateway mit NAT erfolgen soll. Abschließend noch zwei wichtige Punkte für Auswahl und Einsatz des Sicherheits-Gateways: Die CPU der Komponenten des Sicherheits-Gateways wird aufgrund der vielen kleinen Datenpakete sehr stark belastet. Sie muss daher ausreichend leistungsstark ausgelegt werden. Das SicherheitsGateway muss zudem so eingerichtet werden, dass eingebaute IDS-Mechanismen diese vielen Pakete nicht fälschlicherweise als DoS-Angriff (UDP Flooding) werten. Sicherstellung der Verfügbarkeit: Dienstgüte und Netzmanagement Wesentliche Empfehlungen zur Sicherstellung einer hohen Verfügbarkeit wurden schon weiter oben gegeben. Häufig muss darüber hinaus nichts unternommen werden, da die verfügbaren Bandbreiten weit über der Auslastung des Netzes liegen, sodass Sprach-Datenpakete in aller Regel ausreichend schnell ihr Ziel erreichen. Diese Strategie wird Overprovisioning genannt. Wichtig ist es jedoch, die Auslastung des Netzes sowie der CPUs der aktiven Komponenten permanent zu überwachen und die zuständigen Administratoren bei auftretenden Problemen umgehend automatisiert zu alarmieren. Und selbst dann kann die Strategie des Overprovisioning durch gezielte Angriffe überlistet werden. Ein anderer Ansatz besteht darin, die Dienstgüte jedes einzelnen Pakets individuell vorzugeben, also z. B. Sprach-Pakete höher zu priorisieren als normale Daten-Pakete. Man spricht hier von Differentiated Services (DiffServ) oder Class of Services (CoS). Sollen Differentiated Services 2 Bei Verwendung des in diesem Text nicht weiter betrachteten Protokolls IAX wird immer nur ein Port benötigt, was aus Sicherheitssicht besser ist. Bundesamt für Sicherheit in der Informationstechnik 13 ISi-Reihe Sichere IP-Telefonie - ISi-L eingesetzt werden, so muss dies jedoch lückenlos implementiert werden. Leider missachten viele Router im Internet eine entsprechende Angabe, sodass sich der Ansatz bisher nur für den Einsatz im Intranet eignet. Eine einfacher umzusetzende Maßnahme besteht im Traffic Shaping, also der gezielten Vorgabe von Maximal-Bandbreiten für bestimmte Arten von Daten. Auch diese Maßnahme kann jedoch gezielt umgangen werden, indem z. B. andere Port-Adressen verwendet werden. Trotz hochredundanter Ausführung wird eine VoIP-Installation immer anfällig sein für DoSAngriffe; das Restrisiko kann nicht auf Null reduziert werden. Ziel muss es daher sein, dass die Systeme eventuelle Angriffe unbeschadet überstehen und nach Abschluss des Angriffs sehr schnell wieder einsatzfähig sind. Neben den beschriebenen Maßnahmen im lokalen Netz sollte bei Nutzung eines VoIP-Providers dieser im Hinblick auf die benötigte Verfügbarkeit sorgfältig ausgewählt werden. Nur so kann sichergestellt werden, dass ein Ausfall eines einzelnen Servers nicht die gesamte, Internet-Telefonie einer Institution lahmlegt. Sicherstellung der Vertraulichkeit und Integrität: Verschlüsselung und Hash-Werte Betrachtet man die beiden Sicherheitsgrundwerte Vertraulichkeit und Integrität, so muss zwischen den eigentlichen Sprachdaten und den Signalisierungsdaten unterschieden werden. Betrachten wir zunächst die Sprachdaten. Bei hohem Schutzbedarf ist es zwingend erforderlich, die Sprachdaten verschlüsselt zu übertragen. Aber auch bei normalem Schutzbedarf sollte man diesen Schutz ernsthaft in Erwägung ziehen. Denn ein Abhören der Sprachdaten ist im Vergleich zur klassischen Telefonie deutlich einfacher. Zur Verschlüsselung eignen sich grundsätzlich zwei Verfahren: Sollen zwei VoIP-Inseln über ein unsicheres Netz miteinander verbunden werden, bietet sich in erster Linie die Nutzung eines VPNTunnels an, der i. d. R. mithilfe von IPSec realisiert wird. Ein Abhören auf der Übertragungsstrecke ist damit quasi unmöglich. Diese Empfehlung kommt insbesondere zum Tragen, wenn ein solches VPN bereits besteht, weil es z. B. für die Datenkommunikation zwischen den beiden zu verbindenden Inseln bereits genutzt wird. Für die Verschlüsselung von Sprachdaten, insbesondere innerhalb eines lokalen Netzes, bietet sich darüber hinaus SRTP an, die verschlüsselte Übertragungsvariante des Anwendungsprotokolls RTP. SRTP bietet neben Verschlüsselung auch noch die Authentifizierung des Absenders, die Überprüfung der Integrität und einen Schutz gegen das Wiedereinspielen von Nachrichten. Es sichert damit hinreichend gegen das Abhören und Manipulieren von Datenströmen. Gleichzeitig muss dann jedoch auch das sichere Steuerungsprotokoll SRTCP statt RTCP zum Einsatz kommen. Ein geeignetes Schlüsselmanagement ist hierfür zusätzlich erforderlich. Zur Gewährleistung von Senderauthentizität und Nicht-Abstreitbarkeit wird in der SRTPSpezifikation auf Hash-Werte zurückgegriffen, und nicht etwa auf elektronische Signaturen, da letztere zu hohen Effizienz-Verlusten führen könnten. Ohnehin können die bei VoIP übertragenen Sprachdaten oft ohne Authentifizierung und Integritätsschutz auskommen, nämlich immer dann, wenn die Stimme des Gesprächspartners und der Gesprächsinhalt über die Richtigkeit der übertragenen Daten Aufschluss geben. Auf eine Authentifizierung der RTCP-Nachrichten sollte jedoch auch in diesem Fall nicht verzichtet werden. 14 Bundesamt für Sicherheit in der Informationstechnik ISi-Reihe Sichere IP-Telefonie - ISi-L Schutz der Signalisierungsdaten Neben der sicheren Sprachübertragung ist auch eine Absicherung der Signalisierung notwendig, um z. B. Gebührenbetrug vorzubeugen. Zu diesem Zweck gibt es verschiedene Möglichkeiten, die insbesondere auch vom verwendeten Signalisierungsprotokoll abhängen. Beispielhaft betrachten wir im Folgenden SIP. Ein grundlegendes Problem in der Absicherung von Signalisierungsprotokollen besteht darin, dass i. d. R. mehrere Komponenten (Endgeräte und Server) involviert sind, die jeweils Teile der Signalisierungsnachrichten lesen oder sogar verändern müssen. Daher befürwortet der SIP-Standard für die Signalisierung Hop-to-Hop-Sicherheit unterhalb der Anwendungsschicht. In diesem Fall liegt zwar keine echte Ende-zu-Ende-Sicherheit mehr vor, der Sicherheitsverlust ist jedoch gering, da den an der Kommunikation beteiligten Servern ohnehin vertraut werden muss. Zum Schutz ganzer SIP-Nachrichten (inklusive Header) gibt es darüber hinaus das SIP Tunneling: Die zu schützende SIP-Nachricht wird vollständig als Body einer zweiten, sogenannten „äußeren“ SIP-Nachricht behandelt, signiert und verschlüsselt, und mit einem identischen SIP-Header versehen an den SIP-Proxy gesendet. Zur Verschlüsselung der SIP-Nachrichten können S/MIME oder TLS genutzt werden. Da S/MIME aber leider nur als „optional“ spezifiziert ist, bleibt es fraglich, ob und wann S/MIME in VoIPKomponenten auch wirklich nutzbar sein wird. Alle konformen SIP-Server müssen hingegen schon heute das TLS-Protokoll sowohl mit gegenseitiger Authentifizierung als auch mit Einweg-Authentifizierung unterstützen. Beim Einsatz von TLS muss auf der Transportschicht dann allerdings TCP statt UDP verwendet werden, was zusätzlichen Protokoll-Overhead erzeugt. Der SIP-Standard scheint TLS auch gegenüber IPSec zu bevorzugen und sieht die Unterstützung von IPSec daher nur optional vor. Er lässt notwendige Details offen. Voraussetzung für den breiten Einsatz von IPSec in SIP-Systemen wäre somit die Spezifikation eines entsprechenden IPSecProfils, was derzeit jedoch nicht existiert. 1.5 Fazit Telefonie über IP-Netze verspricht Kosteneinsparungen und einen Gewinn an Komfort, die Verschmelzung bisher getrennter Netze ist daher ein beliebtes Feld für technische Innovationsbestrebungen. Gerade diese Verschmelzung bringt es aber mit sich, dass bei IPTelefonie deutlich mehr Gefährdungen bestehen als in der klassischen Telefonie. Dennoch: VoIP stellt eine ernsthafte Alternative zur klassischen Telefonie dar, sofern systematisch Sicherheitsmaßnahmen umgesetzt werden, um den Gefahren aus IP- und TK-Welt ausreichend zu begegnen. Die zukünftige Entwicklung von VoIP wird wesentlich davon abhängen, ob es gelingt die VoIPSysteme mit der gleichen Verlässlichkeit zu betreiben, die Anwender von ihrem bisherigen Telefoniesystem gewohnt sind. Hierzu gehört neben einer hohen Verfügbarkeit, einer verlässlichen Funktionalität vor allem eine einwandfreie Sprach- und Verbindungsqualität. Geeignete Sicherheitsmaßnahmen sind heute technisch und organisatorisch realisierbar. Allerdings unterstützt nur ein kleiner Teil der aktuell auf dem Markt befindlichen Systeme die erforderlichen Sicherheitsmaßnahmen im erforderlichen Umfang. Die Auswahl sicherer Komponenten ist daher im VoIP-Umfeld derzeit noch besonders wichtig. Bundesamt für Sicherheit in der Informationstechnik 15 ISi-Reihe Sichere IP-Telefonie - ISi-L Ob VoIP aber tatsächlich zu nennenswerten Einsparungen führt, sei dahingestellt. Denn die für einen verlässlichen Betrieb von VoIP-Systemen notwendigen Sicherheitsmaßnahmen sind mit einem ernst zu nehmenden technischen und finanziellen Aufwand verbunden. Innovation hat ihren Preis, wenn man sie sicher gestalten will, um nicht unberechenbare Risiken einzugehen. 16 Bundesamt für Sicherheit in der Informationstechnik ISi-Reihe 2 Sichere IP-Telefonie - ISi-L Stichwort- und Abkürzungsverzeichnis Administrator......................................................................................................................................13 ALG (Application-Level Gateway)..............................................................................................12, 13 Anwendungsschicht................................................................................................................10, 13, 15 Authentifizierung..........................................................................................................8, 11, 12, 14, 15 Authentisierung..............................................................................................................................5, 12 Authentizität.................................................................................................................................10, 11 Backbone..............................................................................................................................................8 Baustein................................................................................................................................................1 Bedrohung......................................................................................................................................9, 10 Betriebssystem............................................................................................................................5, 9, 10 Codec....................................................................................................................................................6 CoS (Class of Services)......................................................................................................................13 CPU (Central Processor Unit)............................................................................................................13 DiffServ (Differentiated Service).......................................................................................................13 DoS (Denial of Service)...............................................................................................................13, 14 E-Mail (Electronic Mail)........................................................................................................2, 5, 6, 12 Ethernet...............................................................................................................................................12 Gefährdung............................................................................................................................5, 9-11, 15 DoS (Denial of Service)...........................................................................................................13, 14 Phishing.........................................................................................................................................11 Sniffing..........................................................................................................................................11 Spam..............................................................................................................................................11 Spoofing.........................................................................................................................................11 Gefährdungsanalyse...................................................................................................................4, 9, 10 Grundarchitektur.............................................................................................................................7, 12 H.323....................................................................................................................................................6 Hardware..........................................................................................................................................7, 9 Hash....................................................................................................................................................14 ICE (Information and Content Exchange)..........................................................................................13 ICMP (Internet Control Message Protocol).......................................................................................10 IDS (Intrusion Detection System)......................................................................................................13 Integrität.................................................................................................................................10, 11, 14 Intranet............................................................................................................................................8, 14 IP (Internet Protocol).............................................................................................................1, 4-13, 15 IPSec (Internet Protocol Security)................................................................................................14, 15 ISDN (Integrated Services Digital Network).................................................................................8, 11 ISi (Internet-Sicherheit).......................................................................................................................... ISi-L (ISi-Leitfaden)........................................................................................................................1 ISi-Reihe......................................................................................................................................1, 8 ISi-S (ISi-Studie).............................................................................................................................1 IT-Sicherheit........................................................................................................................................... Authentizität.............................................................................................................................10, 11 Integrität.............................................................................................................................10, 11, 14 Verfügbarkeit....................................................................................................................5, 8, 10-15 Vertraulichkeit...................................................................................................................10, 11, 14 ITU (International Telecommunication Union)...................................................................................6 ITU-T (Telecommunication Standardization Sector)...........................................................................6 Bundesamt für Sicherheit in der Informationstechnik 17 ISi-Reihe Sichere IP-Telefonie - ISi-L Jitter......................................................................................................................................................7 LAN (Local Area Network)...................................................................................................5, 7, 8, 10 Latenz...................................................................................................................................................6 LDAP (Lightweight Directory Access Protocol)...............................................................................12 MAC (Media Access Control)..............................................................................................................8 MIDCOM (Middlebox Commmunication)........................................................................................13 Middleware...................................................................................................................................10, 12 MIME (Multipurpose Internet Mail Extensions)...............................................................................15 NAT (Network Address Translation).................................................................................................13 Overprovisioning................................................................................................................................13 Paketfilter.....................................................................................................................................12, 13 PAP (Paketfilter - Application-Level Gateway - Paketfilter).............................................................12 Patch.............................................................................................................................................10, 12 PC (Personal Computer).............................................................................................................7, 9, 10 Phishing..............................................................................................................................................11 PoE (Power over Ethernet).................................................................................................................12 Protokoll................................................................................................................................................. H.323................................................................................................................................................6 ICE (Information and Content Exchange).....................................................................................13 ICMP (Internet Control Message Protocol)...................................................................................10 IP (Internet Protocol)........................................................................................................1, 4-13, 15 IPSec (Internet Protocol Security)...........................................................................................14, 15 LDAP (Lightweight Directory Access Protocol)...........................................................................12 RTCP (Real Time Control Protocol).........................................................................................6, 14 RTP (Realtime Transport Protocol).................................................................................6, 9, 13, 14 SIP (Session Initiation Protocol)..........................................................................................6, 13, 15 SRTCP (Secure Real Time Control Protocol)...............................................................................14 TCP (Transmission Control Protocol).......................................................................7, 9, 10, 13, 15 TLS (Transport Layer Security)....................................................................................................15 UDP (User Datagram Protocol)..............................................................................6, 7, 9-11, 13, 15 VoIP (Voice over IP)..............................................................................................................1, 5-16 Proxy.............................................................................................................................................13, 15 Restrisiko............................................................................................................................................14 Risiko..............................................................................................................................................5, 16 Router.........................................................................................................................................7, 9, 14 RTCP (Real Time Control Protocol)..............................................................................................6, 14 RTP (Realtime Transport Protocol)......................................................................................6, 9, 13, 14 Schadprogramm..................................................................................................................................10 Trojanisches Pferd.........................................................................................................................10 Virus...............................................................................................................................................10 Wurm.............................................................................................................................................10 Schlüsselmanagement.........................................................................................................................14 Schutzbedarf...........................................................................................................................10, 12, 14 Schwachstelle..............................................................................................................................5, 9-11 Sicherheits-Gateway.........................................................................................................5, 7, 9, 12, 13 ALG (Application-Level Gateway).........................................................................................12, 13 Paketfilter.................................................................................................................................12, 13 PAP (Paketfilter - Application-Level Gateway - Paketfilter)........................................................12 Sicherheitsgrundwerte..................................................................................................................10, 14 Sicherheitsmaßnahme.........................................................................................................5, 12, 15, 16 18 Bundesamt für Sicherheit in der Informationstechnik ISi-Reihe Sichere IP-Telefonie - ISi-L Signalisierung.............................................................................................................6, 8, 9, 11, 13, 15 SIP (Session Initiation Protocol)..............................................................................................6, 13, 15 Sniffing...............................................................................................................................................11 Softphone..............................................................................................................................5, 7-10, 12 Spam...................................................................................................................................................11 SPIT (Spam over Internet Telephony)...............................................................................................11 Spoofing.............................................................................................................................................11 SRTCP (Secure Real Time Control Protocol)....................................................................................14 SRTP (Secure Real-Time Transport Protocol)...............................................................................6, 14 STUN (Simple Traversal of UDP through NAT)...............................................................................13 Switch.......................................................................................................................................7, 10, 12 TCP (Transmission Control Protocol)............................................................................7, 9, 10, 13, 15 TCP/IP-Referenzmodell......................................................................................................................... Anwendungsschicht...........................................................................................................10, 13, 15 Transportschicht.........................................................................................................5, 7, 10, 13, 15 TK (Telekommunikation)...........................................................................................................5, 8, 15 TLS (Transport Layer Security).........................................................................................................15 Traffic Shaping...................................................................................................................................14 Transportschicht.............................................................................................................5, 7, 10, 13, 15 Trojanisches Pferd..............................................................................................................................10 Trunking...............................................................................................................................................8 TURN (Traversal Using Relay NAT)................................................................................................13 UDP (User Datagram Protocol)..................................................................................6, 7, 9-11, 13, 15 URI (Universal/Uniform Resource Identifier)...................................................................................11 USV (Unterbrechungsfreie Stromversorgung)...................................................................................12 Verfügbarkeit........................................................................................................................5, 8, 10-15 Vertraulichkeit........................................................................................................................10, 11, 14 Virus...................................................................................................................................................10 Vishing...............................................................................................................................................11 VoIP (Voice over IP)..................................................................................................................1, 5-16 VPN (Virtual Private Network)..........................................................................................................14 WAN (Wide Area Network)............................................................................................................5, 8 WLAN (Wireless Local Area Network)...............................................................................................7 Wurm..................................................................................................................................................10 Zertifikat.........................................................................................................................................5, 12 Bundesamt für Sicherheit in der Informationstechnik 19