VoIP-Security überfordert Admins

[Redaktion]

VoIP-Security überfordert Admins
Welches Kraut ist gegen die Unsicherheit gewachsen?

Mit VoIP lassen sich die Arbeitsprozesse schneller und effektiver machen, was zu einer erheblichen Kosteneinsparung führen kann. Setzt man die Anlage richtig auf, so kann je nach Unternehmensgröße sogar ein zweistelliger Prozentsatz bei produktiven Kosten eingespart werden. Aber die Sicherheit wird angesichts dieser Zahlen oft außer Acht gelassen. Experten sprechen davon, dass die Einführung die gesamte Sicherheitsarchitektur einer Firma ad absurdum führen kann. Der Verweis vieler Hersteller auf die Firewall erscheint angesichts dessen wie Hohn. Und bei der Gruppe der möglichen Nutzer hält sich die Angst vor dem Neuen mit einer gefährlichen Sorglosigkeit die Waage.

Quelle und ganzer Artikel: silicon.de

 

[koehler]

Vorallem dieser Satz brachte mich zum Lachen:

Das sei einfach durch das Einbringen eines Hubs irgendwo im Datenstrom zu bewerkstelligen - "und der Lauschangriff kann beginnen".

Wer, ausser den Admins die sowieso das Sicherheitskonzept eines Betriebs
aus den Angeln heben können, hat Zugriff auf die Netzwerkarchitektur
eines Unternehmens. Einfacher und übliche Praxis bei Betriebsspionage
ist es direkt die Telefonanlage anzuzapfen. Bei VoIP gibt es jetzt schon
Verschlüsselung für Jedermann, bei der traditionellen Telefonie legt man
dafür richtig Cash auf den Tisch des Hauses.

Gruß
Michael

 

[Borsti67]

Hi Michael,

denke mal, da geht es eher um die Kommunikation nach draußen, oder?
Da der Firmen-Admin nicht mehr ganz viel Einfluß.

 

[docfred]

Und genau hier liegt auch das Sicherheitsproblem ;-)

Unternehmen, die VoIP auch für ausgehende Gespräche nutzen sollten die IT- und Sicherheitsverantwortlichen fristlos entlassen oder dürfen sich nicht wundern, wenn Konkurrenten ihre Angebote regelmäßig unterbieten oder technische Entwicklungen vorweg greifen.

 

[koehler]

Borsti,

noch schwieriger wird es die Datenwege extern abzuhören. Die
Sicherheitskonzepte der Colocation Betreiber sind extrem, da
kannst du nicht einfach hingehen und an den Kabeln fummeln.


Docfred,

sehr kurz gegriffen, kannst du das mal präzisieren ?

Gruß

Michael

 

[docfred]

SIP-Verbindungen sind unverschlüsselt. Und im Gegensatz zum Telefonnetz muss ich mich nirgends physikalisch in die Leitung einklinken um da mit zu hören. Es reicht, wenn ich es schaffe, dass der Traffic über einen Server läuft auf den ich Zugriff habe. Und dies zu bewerkstelligen ist nicht soooo schwer für jemanden, der es drauf anlegt. Telefonleitungen abzuhören ist für Nicht-Regierungsbehörden so gut wie unmöglich, solange sie es nicht direkt um jeweiligen Unternehmen versuchen.

Um es mal ganz allgemein zu halten.

 

[Honk]

SIP-Verbindungen sind unverschlüsselt.

Kann man aber über's Firmen-VPN laufen lassen.
Um das zu implementieren könnte man z.B. die Administratoren einsetzen, anstatt sie zu kündigen.
Welche Verschlüsselung wird denn deiner Meinung nach beim öffentlichen Telefonnetz angewendet? Wie würdest du dieses Problem angehen?

Und im Gegensatz zum Telefonnetz muss ich mich nirgends physikalisch in die Leitung einklinken um da mit zu hören. Es reicht, wenn ich es schaffe, dass der Traffic über einen Server läuft auf den ich Zugriff habe.

Ich finde, es ist relativ egal, ob man ein VoIP-Gateway oder ein Telefon-Gateway knackt. Kenne mich damit aber auch nicht so gut aus, wie du. Daher meine Frage:
Glaubst du das geht mit Telefon-Gateways oder Telefon-Anlagen nicht?

Und dies zu bewerkstelligen ist nicht soooo schwer für jemanden, der es drauf anlegt.

Mag sein, ich glaube aber, dass es auch in der Welt der herkömmlichen Telefonie Wirtschaftsspionage gibt. Wenn der Hacker vom Fach ist...

Um es mal ganz allgemein zu halten.

Eigentlich war etwas mehr Präzision gefragt :wink:

Grundsätzlich bin ich aber auch der Meinung, dass das Thema Security auch bei den VoIP-Providern etwas stiefmütterlich behandelt wird. Bietet mitlerweile irgendein Provider Sprachverschlüsselung via SRTP oder TLS an?

Gruß,

 

[docfred]

SIP-Verbindungen sind unverschlüsselt.

Kann man aber über's Firmen-VPN laufen lassen.

Es ging hier um Gespräche die das Unternehmen nach aussen führt. Nicht innerhalb oder zwischen einzelnen Standorten die selbstverständlich in bestehende tunnels integriert werden konnten.

Welche Verschlüsselung wird denn deiner Meinung nach beim öffentlichen Telefonnetz angewendet? Wie würdest du dieses Problem angehen?

Wo hast du die Möglichkeit das öffentliche Telefonnetz abzugreifen ohne entweder a) Leitungen auszubuddeln b) in eine Vermittlungsstelle oder einen Verteiler einzubrechen und die richtige Leitung herauszufinden?

Ich finde, es ist relativ egal, ob man ein VoIP-Gateway oder ein Telefon-Gateway knackt.

Siehe oben. Auf den IP-Verkehr im Internet hat eigentlich jeder(!) unverschlüsselten Zugriff und sowohl IP-Spoofing als auch die Manipulation von Routingtables ist kein Kunstwerk für entsprechende Fachkräfte

Mag sein, ich glaube aber, dass es auch in der Welt der herkömmlichen Telefonie Wirtschaftsspionage gibt. Wenn der Hacker vom Fach ist...

Klat gibt es die. Aber mit VoIP über das Internet macht man ihnen die Arbeit unverhältnismäßig einfach.

 

[koehler]

SIP-Verbindungen sind unverschlüsselt.

Kann man aber über's Firmen-VPN laufen lassen.

Es ging hier um Gespräche die das Unternehmen nach aussen führt. Nicht innerhalb oder zwischen einzelnen Standorten die selbstverständlich in bestehende tunnels integriert werden konnten.

Geh mal davon aus, dass sich Firmen zu ihren Voice Service Provider auch einen
Tunnel legen können und die Rede ist, wie du schon sagst, nicht von Privatleuten
die über Provider telefonieren die sich auf Privatkunden mit weniger sensiblen
Gesprächsinhalten spezialisiert haben.

Zudem ist es jetzt auch nur noch eine Frage der Zeit bis sich TLS auch für
Privatkunden durchsetzt. Microsoft beschreitet diesen Weg seit LCS 2003
mit TLS sowie KERBEROS statt MD5 Handshake. Die neue Version 2005
setzt hier die Messlatte ganz nach oben, und wird seinen Weg über Angebote
im managed hosted und single user Bereich auch zu kleineren Unternehmen
und Privatleuten finden.


Gruß

Michael

 

[docfred]

Nenn mir einen (Business)VoIP-Anbieter, der verschlüsselte Verbindungen nicht nur zu sich selbst sondern auch durchs restliche Netz anbietet. Mir ist momentan zumindest keiner geläufig.

Das hapert ja schon allein daran, dass wenn man bsp. einen anderen VoIP-Anschluss eines anderen Anbieters anruft, dieser idR keine Verschlüsselung anbietet/akzeptiert. D.h. es kommt entweder keine oder eine unverschlüsselte Verbindung zustande. Dann müsste auch nicht nur die Anmeldung und die Strecke von dir zum eigenen Anbieter verschlüsselt werden sondern auch zu den Übergabepunten ins eigentliche Telefonnetz wenn man reguläre Anschlüsse anruft usw. usw.

 

[koehler]

Du vermischt bei deiner Argumentation Geschäfts- und Privatkunden
Modelle die sich in ihrer Anwendung unterscheiden.

Geschäftskunden haben in erster Linie Interesse daran Standorte
zu vernetzen und günstig in das Festnetz zu telefonieren. In
beiden Fällen kann Sicherheit gewährleistet werden. In dem
Fall wo das Gespräch in das Festnetz geht hört am Übergabepunkt
(PSTN Gateway) die Sicherheit im allgemeinen auf. Unsichere VoIP
Gespräche lassen sich durch Regeln vermeiden.

Privatkunden wollen internet-Telefonie und Leute in anderen VoIP
Netzen umsonst anrufen, da spielt Sicherheit weniger eine Rolle.


Gruß

Michael

 

[docfred]

Von Privatkunden spreche ich überhaupt nicht und die Standortverknüpfung habe ich auch bereits explizit ausgeklammert. Es geht mir rein um die Telefonie ins Festnetz und dazu siehe oben:

Wenn ein externer VoIP-Anbieter verwendet wird, welcher bietet Verschlüsselte Anmeldung und verschlüsselte Gespräche bis zum Gateway?
Wie soll eine sichere Verbindung zu anderen VoIP-Anschlüssen gewährleistet werden, wenn die Gegenstelle keine Verschlüsselung anbietet?

Darauf habe ich noch keine Antwort erhalten.

 

[koehler]

Es geht mir rein um die Telefonie ins Festnetz

Wie soll eine sichere Verbindung zu anderen VoIP-Anschlüssen gewährleistet werden, wenn die Gegenstelle keine Verschlüsselung anbietet?

Sorry, aber das widerspricht sich oder ist unzureichend dargelegt.

Wie kann es dir nur um Telefonie in das Festnetz gehen wenn du
dich auch mit der Frage beschäftigst wie sicher eine VoIP Gegenstelle ist.

Um dir aber darauf zu Antworten:
VoIP Gegenstellen sind auch dann sicher, wenn Geräte benutzt werden
die TLS oder andere Chiffre können wie z. B das Snom320 und um
Argumenten die Luft zu nehmen die auf im Punkt Sicherheit auf
mangelhafte Produktpaletten von anderen Geräteherstellern verweisen
füge ich gleich hinzu: wer Sicherheit will der muss kaufen was da ist.

Wenn ein externer VoIP-Anbieter verwendet wird, welcher bietet Verschlüsselte Anmeldung und verschlüsselte Gespräche bis zum Gateway?

Es gibt 2 Anbieter die Sicherheit zb. VPN anbieten, bei anderen
Provider die auch Geschäftskunden betreuen heisst es: nachfragen.


Gruß

Michael

 

[docfred]

Es geht mir rein um die Telefonie ins Festnetz

Wie soll eine sichere Verbindung zu anderen VoIP-Anschlüssen gewährleistet werden, wenn die Gegenstelle keine Verschlüsselung anbietet?

Sorry, aber das widerspricht sich oder ist unzureichend dargelegt.

Gut. Ersetze "Telefonie ins Festnetz" mit "Telefonie ausserhalb des Unternehmens und dessen Standorte"

VoIP Gegenstellen sind auch dann sicher, wenn Geräte benutzt werden
die TLS oder andere Chiffre können wie z. B das Snom320 und um
Argumenten die Luft zu nehmen die auf im Punkt Sicherheit auf
mangelhafte Produktpaletten von anderen Geräteherstellern verweisen
füge ich gleich hinzu: wer Sicherheit will der muss kaufen was da ist.

Damit kann ich für mich einen Grundstein legen. Aber meinem Geschäftspartner kann ich kaum vorschreiben, was er verwendet und nachfragen geht auch nicht.

Es gibt 2 Anbieter die Sicherheit zb. VPN anbieten, bei anderen
Provider die auch Geschäftskunden betreuen heisst es: nachfragen.

Und die wären? Wie oft muss ich eigentlich noch fragen? :mrgreen:

 

[koehler]

Gut. Ersetze "Telefonie ins Festnetz" mit "Telefonie ausserhalb des Unternehmens und dessen Standorte"

Zu allgemein, bitte präzisieren.

Damit kann ich für mich einen Grundstein legen. Aber meinem
Geschäftspartner kann ich kaum vorschreiben, was er verwendet und nachfragen
geht auch nicht.

Ich zitiere mich mal: "Unsichere VoIP Gespräche lassen sich durch Regeln vermeiden."

Oder auf eine andere Art geantwortet:
Wenn dein "Geschäftspartner" keine Sicherheit will dann kann das "geschäftliche Gespräch"
nicht so wichtig sein.

Es gibt 2 Anbieter die Sicherheit zb. VPN anbieten, bei anderen
Provider die auch Geschäftskunden betreuen heisst es: nachfragen.

Und die wären?
Wie oft muss ich eigentlich noch fragen? :mrgreen:

Du weisst wie man eine Suchmaschine bedient ? Gut!


Insgesamt sehe ich mich durch die Diskussion mit docfred darin
bestätigt, dass die Presse nach Themen wie "wie telefoniere ich billiger
mit VoIP" und "Achtung, die VoIP Spammer kommen" jetzt den
Laienmarkt mit dem Thema "Hilfe, jetzt kommen auch noch die
VoIP Hacker" sättigen.

Nur das dumme daran ist, es gibt bereits erprobte Mittel gegen
die bösen VoIP Junx. Aber statt darüber aufzuklären beziehen
einige Autoren zuerst dazu Stellung was passieren könnte wenn
es das Rad nicht geben würde.


Gruß,

Michael

 

[docfred]

Zu allgemein, bitte präzisieren.

Was ist daran zu allgemein wenn man zwischen "Gespräche innerhalb des Firmennetz" und "Gespräche ausserhalb des eigenen Einflussbereichs" unterscheidet?

Ich zitiere mich mal: "Unsichere VoIP Gespräche lassen sich durch Regeln vermeiden."

Und die Regel lautet dann wohl
if (destination!=eigenes Netz)
{switch to PSTN;}

?

Oder auf eine andere Art geantwortet:
Wenn dein "Geschäftspartner" keine Sicherheit will dann kann das "geschäftliche Gespräch" nicht so wichtig sein.

Du fragst also jeden deiner Gesprächspartnr, ob er gerade über VoIP telefoniert und wenn ja, wie er angebunden ist? Aha.

Du weisst wie man eine Suchmaschine bedient ? Gut!

Keine Antwort ist auch eine Antwort.

Fühlt man sich ja schon fast wie in einem Linuxforum hier ...

Insgesamt sehe ich mich durch die Diskussion mit docfred darin
bestätigt, dass die Presse nach Themen wie "wie telefoniere ich billiger
mit VoIP" und "Achtung, die VoIP Spammer kommen" jetzt den
Laienmarkt mit dem Thema "Hilfe, jetzt kommen auch noch die
VoIP Hacker" sättigen.

Drehen wir den Spieß um und sagen:

Insgesamt sehe ich mich durch die Diskussion mit koehler darin
bestätigt, dass eingefleischte VoIP-Nutzer die vorhandenen Sicherheitsrisiken für geschäftliche Nutzer ignorieren und sogar leugnen indem sie von angeblichen Lösungen für die Probleme reden aber diese Ansätze dann in einem Nebel von Andeutungen verbergen

:roll:

Das bringt die Diskussion wirklich weiter :wink:

 

[Robinson]

Insgesamt sehe ich mich durch die Diskussion mit koehler darin bestätigt, dass eingefleischte VoIP-Nutzer die vorhandenen Sicherheitsrisiken für geschäftliche Nutzer ignorieren und sogar leugnen indem sie von angeblichen Lösungen für die Probleme reden aber diese Ansätze dann in einem Nebel von Andeutungen verbergen

@docfred: Glaube Köhler einfach und hoffe, dass Dir jemand anderes die zwei Provider nennen kann. Köhler ist national und international so tief im VoIP-Geschäft involviert, dass er Dir wahrscheinlich keine Provider nennen kann, ohne mit Ärger von der Konkurrenz rechnen zu müssen.

Schau Dir seine Seite an und Du wirst den fachlichen Unterschied merken.

 

[docfred]

Würde ich einfach so glauben, könnte ich auch Linkspartei.WASG wählen :mrgreen:

Und auf seiner Seite (welche ich bereits besucht habe) finde ich auch keine Antworten auf meine - wohl berechtigte - Fragen.