Wege zum sicheren VoIP

Verschlüsselung und Endgeräte

Die VPN-Technik sichert allerdings nur den Übertragungsweg der Sprachdaten. Zur Sicherstellung einer umfassenden End-to-End-Security sind daher noch weitere Schritte nötig. So müssen einerseits die Sprachdaten verschlüsselt werden. Andererseits ist dafür zu sorgen, dass auch die entsprechenden Signalisierungsdaten verschlüsselt werden.

Dies trifft insbesondere auf das allgegenwärtige SIP (Session Initiation Protocol) zu. Letzteres ist für die Session-Kontrolle zuständig, also beispielsweise die Registrierung der Endgeräte, den Rufaufbau und den Rufabbau. Wenn SIP im Einsatz steht, tauschen die Endgeräte verschiedene Nachrichten miteinander und mit den Applikationsservern aus. Weil die SIP-Nachrichten aber textbasiert und meist als Klartext gesendet werden, könnten sie leicht abgefangen, gefälscht und manipuliert werden.

Weiterer Handlungsbedarf besteht bei der Codierung des Administrationsverkehrs: VoIP-Komponenten lassen sich über verschiedene Protokolle wie HTTP, Telnet, SSH oder HTTPS administrieren, von denen einige die Benutzer- und Passwortdaten ebenfalls als Klartext übertragen, also sehr leicht abhörbar sind. Für eine sichere Verwaltung der VoIP-Komponenten müssen die administrativen Verbindungen entweder verschlüsselt werden oder über einen gesonderten Netzbereich erfolgen.

Überdies müssen alle Endgeräte wie VoIP-Telefone und Softphones am PC in das Sicherheitskonzept miteinbezogen werden. Denn VoIP-Endgeräte können durch Manipulationen der Konfigurationen oder der Firmware das gesamte Netz in die Knie zwingen. Dies lässt sich verhindern, indem Änderungen an der Konfiguration nur zentral über eine Applikation an einzelnen Geräten oder an Gerätegruppen erlaubt sind.