Datenklau bei Voice over IP ist erschreckend simpel

Maßnahmen gegen das Abhören von VoIP-Gesprächen

| Autor / Redakteur: Andreas Lauterbach / Andreas Donner

Mittels ARP Poisoning lassen sich Man-in-The-Middle-Attacken relativ einfach durchführen.
Mittels ARP Poisoning lassen sich Man-in-The-Middle-Attacken relativ einfach durchführen.

Das Belauschen fremder Gespräche ist ein altbekanntes Phänomen. Die Methoden und Werkzeuge, die dafür nötig sind, ändern sich jedoch permanent. Im Zeitalter von Voice over IP (VoIP) ist das Erfassen fremder Daten mitunter recht einfach – Sicherungsmaßnahmen sind daher zwingend erforderlich.

Eine gelebte Möglichkeit zum Abhören von VoIP-Verbindungen ist es beispielsweise, eine Schwachstelle des Address Resolution Protokolls (ARP) auszunutzen. Denn jeder Client verfügt über eine Tabelle der MAC-Adressen und der zugewiesenen IP-Adressen. Diese Tabellen lassen sich „vergiften“, was als ARP Poisoning bezeichnet wird. Damit sind die gefürchteten Man-in-The-Middle-Attacken (MitM) auf relativ einfache Weise durchführbar.

Erschreckend hierbei ist, dass weder profunde Kenntnisse über das Protokoll oder Linux noch das Beherrschen von Commandlines nötig sind. Vielmehr reichen ein Windows-PC mit Netzzugang und ein frei verfügbares Tool wie Ettercap mit grafischer Oberfläche völlig aus.

Mittels der Befehle „Sniffing“ und „Scan for Hosts“ lässt sich nun herausfinden, wer sich gerade aktiv im Netz befindet. Sobald der Eindringling auf eine für ihn interessante IP gestoßen ist, kann er diese als „Target“ definieren und sich als „MitM“ zwischen Client und Default Gateway schalten. Der komplette IP Traffic läuft dann über den PC des Angreifers. Der Client bemerkt davon auch im laufenden Betrieb nichts. Mit dem frei verfügbaren Wireshark Network Protocol Analyzer lassen sich die VoIP-Daten nun aufzeichnen und hörbar machen.

Viele Unternehmen wissen ebenso wenig von dieser Gefahr wie davon, wie man sich umfassend davor schützen kann.

Zugriffskontrolle: Wer befindet sich im Unternehmensnetzwerk?

Trotz Zugangskontrolle ist das Unternehmensnetzwerk grundlegend für jedes Endgerät mit einem Netzwerkanschluss empfänglich. Mit 802.1X ist von der IEEE jedoch ein Standard veröffentlicht worden, der eine Authentifizierung am Netzwerk ermöglicht.

Wird dann ein neues Endgerät am Netzwerk angeschlossen, kann dessen Identität (oder die des Benutzers) so anhand von Zugriffsdaten oder einem digitalen Zertifikat überprüft werden. Darüber hinaus lassen sich Endgeräte über 802.1X zusätzlich durch restriktive Zugriffsregeln abschotten.

Da viele Endgeräte eine automatisierte Konfiguration der Netzwerkschnittstelle für den 802.1X-Standard über eine lange Zeit nicht unterstützt haben, war der Verwaltungsaufwand für viele Unternehmen jedoch sehr hoch. Inzwischen bieten aber viele Betriebssysteme die Möglichkeit, die Konfiguration automatisiert durchzuführen.

802.1X ist bereits zwei Mal überarbeitet worden, um bekannte Sicherheitslücken zu schließen. Der aktuelle Standard bietet die Unterstützung von 802.1AE MAC Security, wodurch eine Verschlüsselung zwischen Endgerät und Access Switch möglich wird. Diese Erweiterung ist wichtig, um vor Angreifern mit genauer Kenntnis des 802.1X-2004-Standards zu schützen, wird allerdings bisher von nahezu keinem Betriebssystem unterstützt.

Schutz vor ARP Poisoning im LAN

Im Zuge eines umfassenden Schutzes sollten alle ARP-Pakete im Datennetz auf ihre Gültigkeit geprüft werden. Dabei werden nur ARP-Pakete mit einer gültigen Zuordnung der IP-Adresse zu einer MAC-Adresse von den LAN-Switches weitergeleitet; ungültige ARP- Pakete werden verworfen. Dieser Schutzmechanismus ist inzwischen von allen renommierten Switch-Herstellern unter Bezeichnungen wie „Dynamic ARP Inspection“ oder „ARP Protection“ erhältlich.

Die LAN-Switches benötigen zur Überprüfung der ARP-Pakete zunächst für jeden Host eine Referenz mit der korrekten Zuordnung der IP- zur jeweiligen MAC-Adresse. Hierzu werden die Daten eines Schutzmechanismus zur Sicherung des DHCP-Protokolls, das DHCP Snooping, genutzt. DHCP Snooping sorgt dafür, dass nur autorisierte DHCP-Server IP-Adressen an die Clients im Datennetz eines Unternehmens verteilen können. Die LAN-Switches überwachen hierzu die Pakete der DHCP- Server an die Clients. In diesen Paketen finden die LAN-Switches alle Daten, die sie benötigen, um die ARP-Pakete auf ihre Gültigkeit hin zu überprüfen.

Dynamic ARP Inspection setzt jedoch die Verwendung von DHCP Snooping und damit den Einsatz des DHCP-Protokolls voraus. Werden IP-Adressen statisch vergeben, muss die Zuordnung der IP-Adressen zu den MAC-Adressen im Switch hinterlegt werden.

Zudem ist die Untersuchung der DHCP- und ARP-Pakete sehr CPU-intensiv. Damit können LAN-Switches Denial-of-Service-Attacken (DoS) zum Opfer fallen. Außerdem muss bei Planung und Einsatz der Dynamic ARP Inspection beachtet werden, dass bei falscher Konfiguration Verbindungsabbrüche drohen.

Verschlüsselung

Das Verschlüsseln von Datenströmen ist ein bewährtes Mittel, um diese vor unerlaubtem Mitlesen zu schützen. Was bei anderen Kommunikationsprotokollen schon längst etabliert ist, sollte auch beim Transport der sensiblen Sprachdaten über das IP-Netz eingesetzt werden. So gilt die Verwendung von HTTPS anstelle von HTTP und SFTP statt FTP als selbstverständlich. Bei der Übertragung von VoIP-Daten wird jedoch in vielen Fällen auf eine Verschlüsselung verzichtet. Dabei ist das Verfahren nicht allzu kompliziert.

Für eine verschlüsselte Übertragung von Sprachdaten im IP-Netzwerk kann das Secure Real-Time Transport Protocol (SRTP), die verschlüsselte Variante des Real-Time Transport Protocol (RTP), eingesetzt werden. Die Daten werden dabei nach dem Advanced Encryption Standard (AES), einem symmetrischen Kryptoverfahren, verschlüsselt.

Dabei ist zu beachten, dass für die Verschlüsselung der Sprachdatenströme auch der dafür notwendige Schlüssel ausgetauscht werden muss. Dies geschieht in der Regel beim Verbindungsaufbau über das Signalisierungsprotokoll, das selbst ebenso verschlüsselt sein muss. SIP – das neben vielen bei VoIP-Lösungen eingesetzten proprietären Signalisierungsprotokollen häufigste Standardprotokoll – lässt sich über Transport Layer Security (TLS) und SIP Secure (SIPs) verschlüsseln.

Fazit

Die Absicherung des VoIP-Datenverkehrs ist unverzichtbar – und innerhalb der Firmengrenzen mit den genannten Maßnahmen 802.1X, ARP Inspection und Verschlüsselung auch machbar. Bei allen Vorkehrungen muss jedoch klar sein, dass die Verschlüsselung meistens am Gateway ins öffentliche Netz endet. Eine End-to-End-Verschlüsselung mit externen Gesprächsteilnehmern ist daher kaum möglich.

So ist es durchaus denkbar, dass die komplette VoIP-Telefonie innerhalb eines Firmennetzes zwar verschlüsselt und sicher ist, der externe Gesprächspartner jedoch in einer unverschlüsselten VoIP-Umgebung telefoniert. Damit ist das Gespräch in dessen Netz ebenso nicht vor unliebsamen Mithörern geschützt wie auf seinem Weg durch das öffentliche Netz.

Darin unterscheidet sich VoIP nicht von der traditionellen Telefonie. Mit den geeigneten Maßnahmen lässt sich das Risiko bei dieser innovativen Technologie jedoch deutlich minimieren.

Über den Autor

Andreas Lauterbach, Senior VP Consulting & Design, Siemens Enterprise Communications
Andreas Lauterbach, Senior VP Consulting & Design, Siemens Enterprise Communications

Andreas Lauterbach ist Senior Vice President Consulting & Design bei Siemens Enterprise Communications

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 30667980 / Security)