SIP-Trunks schützen: Safety und Security
– bei All-IP

Viele Unternehmen sind noch immer der Meinung, ISDN-Telefonie sei sicherer als IP-Telefonie gewesen. Dass dies ein falscher Mythos ist, lässt sich mit einer genaueren Betrachtung aufzeigen. Für Voice-over-IP steht ein breites Spektrum bewährter Techniken bereit, um eine sehr hohe IT-Sicherheit zu erreichen. Zum Beispiel ist es bei IP-Telefonie möglich, den Sprachverkehr zu verschlüsseln – was bei ISDN nicht ging. Hier ein Überblick darüber, wie SIP-Trunks sicher werden.

Bevor ich in die Details der Best-Practices eingehe, möchte ich auf die allgemeinere Ebene des Risikomanagements kommen. Nur wer sich hier grundlegende Gedanken macht, wird auch im speziellen Fall der IP-Telefonie zielgerichtet vorgehen. Zunächst einmal ist zu fragen:

• Welche Sicherheitsrisiken gibt es überhaupt im Zusammenhang mit IP-Telefonie?
• Und welche Management-Normen müssen die IT-Verantwortlichen beachten, die sich mit diesem Thema beschäftigen und Risiken identifizieren, analysieren und bewerten müssen?

Zum allgemeinen Risikomanagement gibt die ISO 31000 ein Regelwerk vor, an dem sich Geschäftsleitungen orientieren, um allen Anforderungen an Compliance-Regeln und -Normen gerecht zu werden.

Bei IP-Telefonie greifen allerdings weitere Normen: Da Telefonie insbesondere durch die Computer-Telefonie-Integration (CTI) in die Welt der Informationstechnologie (IT) gehört – genauso wie das IP-Protokoll und somit auch ein darauf aufbauender SIP-Trunk – handelt es sich dabei stets um IT-Sicherheit.

Maßgeblich ist somit auch die ISO-27000-Normenreihe, die ein Informationssicherheits-Managementsystem (ISMS) empfiehlt, sowie der „IT-Grundschutzkatalog“, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben hat. Er ist kompatibel zur ISO 27001, die ganz ähnliche Anforderungen beschreibt. Zusätzlich bietet der IT-Grundschutzkatalog aber einen guten Leitfaden für das Vorgehen und die Entwicklung des IT-Sicherheitsplans.

In der Praxis kommt es dann darauf an, die Eintrittswahrscheinlichkeit einer Sicherheitslücke und den potenziellen Schaden, der daraus entstehen kann, realistisch zu schätzen. Können beide als hoch angenommen werden, sollten Unternehmen Maßnahmen entwickeln und umsetzen: Es geht dabei darum, zu akzeptablen Kosten ein vertretbares Restrisiko zu erreichen.

Die Kommunikations- beziehungsweise die Informationssicherheit lässt sich mit zwei Begriffen näher beschreiben:

• Safety umfasst die Betriebssicherheit im Sinne der Verfügbarkeit sowie finanzieller Schadensvermeidung.
• Security beschreibt die Sicherheit vor Angriffen. Dabei geht es um den Schutz aller IP-Komponenten vor Internetangriffen und um die Integrität, Authentizität und Vertraulichkeit der Kommunikation.

• Ein umfassendes Systemmanagement
• Ausschließliche Nutzung sicherer Passwörter
• Schutzmaßnahmen gegen Betrug (Phone-Fraud)
• Trennung von Sprach- und Datennetz
• SIP-Trunk-Signalisierung zusätzlich mit TLS absichern
• Sprachdaten mit SRTP verschlüsseln.

Um die Safety zu erhöhen, also die Betriebssicherheit, empfiehlt sich ein umfassendes System- und Change-Management. Damit kann im Notfall für eine schnelle Reaktion gesorgt werden. Ziel ist es, mit geeigneten organisatorischen und technischen Maßnahmen die Ausfallwahrscheinlichkeit und -dauer zu reduzieren. Alle Systemkomponenten der IT-Telefonie-Infrastruktur sollten dabei im Detail aufeinander abgestimmt sein.
Ist eine hohe oder gar sehr hohe Verfügbarkeit erforderlich, geht es darum, alternative Systeme zur Verfügung zu stellen, die einspringen, wenn das eigentliche System ausfällt. Eine solche redundante Auslegung, die das Ausfallrisiko senkt, besteht bei SIP-Trunks sinnvollerweise aus drei Komponenten:

1. Der Provider liefert den SIP-Trunk mit ortsredundanten Abschlusskomponenten, zum Beispiel Session Border Controller (SBC).
2. IP-Standort­anbindung: Der Kundenstandort wird mit einer zusätzlichen IP-Backup-Leitung angebunden.
3. TK-Anlage des Kunden: Sie terminiert den SIP-Trunk mit mehr als einem Anlagenserver.

Mit dieser Dreifach-Redundanz lässt sich eine höhere und durchgängigere Redundanz des Sprachanschlusses erreichen, als es mit ISDN-Sprachanschlüssen möglich war.

Die gefährlichsten Sicherheitslücken entstehen durch schlecht gesicherte TK-Anlagen beziehungsweise SIP-Trunks – insbesondere dadurch, dass voreingestellte Passwörter nicht geändert, oder schwache Passwörter gewählt wurden. Damit können Hacker Zugang zu TK-Anlagen erhalten und hohe Telefonkosten – zum Beispiel durch Verbindungen zu ausländischen Servicenummern – verursachen.
Die einfachsten Maßnahmen gegen solchen Phone-Fraud bestehen darin, Auslandsrufnummern weitgehend zu sperren, regelmäßige Betriebssystem-Updates der TK-Anlage durchzuführen und vor allem sichere Passwörter – insbesondere für die Administration – zu etablieren. Darüber hinaus kann es erforderlich sein, spezifische Gefahrenmuster zu überwachen und Schwellwerte zu implementieren und unerwartete Ereignisse sofort zu melden.

Im Voice-over-IP-Umfeld empfiehlt es sich, zusätzlich zur Implementierung von Firewalls und anderen standardmäßigen IT-Sicherheits­maßnahmen, den Sprach- und Datenverkehr zu separieren.
Im Netzwerk eines Unternehmens erfolgt dies am besten auf Layer 2 per VLAN (Virtual Local Area Network)-Technologie im Ethernet-Switch. In Unternehmen mit einem sehr hohen Schutzbedarf können die Sprach- und Datennetze sogar physikalisch getrennt werden.

Bekanntermaßen können die Daten eines ISDN-Anschlusses nicht verschlüsselt werden. In der Welt der IP-Telefonie dagegen ist dies möglich, nämlich mit Hilfe von TLS (Transport Layer Security) sowie SRTP (Secure Real Time Protocol).
Verschlüsselt wird dabei die Kommunikation zwischen einer TK-Anlage und dem Next Generation Network (NGN) des IP-Telefonie-Providers. Das gilt sowohl für die Signalisierungs- als auch für die Sprachdaten.

Modell der Transport- und Anschluss-Ebenen: Um die Verfahren besser zu verstehen, kann man sich das zugrunde liegende Modell gemäß nachfolgendem Bild vergegenwärtigen.

• Zu unterscheiden sind grundsätzlich die vier Transport- bzw. Anschluss-Ebenen (Schichten, Englisch: Layer): Physik (Layer 1, z. B. DSL oder WLL), Daten-Link (2, z. B. Ethernet), Netzwerk (3, IP-Protokoll) und Transport (4, z. B. TCP und UDP) und darüber die drei Dienst-Ebenen: Sitzung (5, z. B. SIP und RTP), Präsentation (6, z. B. Codec G.711) und Applikation (7, hier Audio).
• Bei der Verschlüsselung der Sprachdaten wird auf dem ISO/OSI-Layer 5 das Standard RTP- (Real Time Protocol) durch das abgesicherte SRTP-Protokoll (Secure Real Time Protocol) ersetzt – im Bild mit der grünen 1 markiert.
• Bei der SIP-Signalisierung wird auf dem ISO/OSI-Layer 4 das Standard-TCP (Transmission Control Protocol) durch das TLS-(Transport Layer Security)-Protokoll ersetzt – im Bild mit der grünen 2 markiert.
• Damit wird die Sprachverbindung zum eigenen Provider geschützt. Sind beide Voice-Teilnehmer beim selben Provider – das gilt beispielsweise auch für ein standortübergreifendes Firmennetzwerk – ist sogar die gesamte Kommunikation verschlüsselt.
• Für ein Unternehmen mit mehreren Standorten bietet sich darüber hinaus an, ein geschlossenes Firmennetzwerk zu etablieren. Dazu wird die VPN-Technologie IP-MPLS genutzt (im Bild mit der grünen 3 markiert). Dieses schottet die gesamte IP-Kommunikation zwischen den Unternehmensstandorten gegen das Internet ab. Besteht ein sehr hoher Schutzbedarf, ist dabei eine zusätzliche Verschlüsselung nach dem IPsec-Standard möglich (im Bild mit der grünen 4 markiert).
• Auf dem gleichen Layer 3 wirkt auch die neuere SD-WAN-Technologie, die Plusnet wie alle anderen hier genannten Security- und Safety-Verfahren liefern kann.

Zuletzt aktualisiert am 1. Juli 2021