Sicherheit bei Voice over IP
Lauschangriff
Nicht ohne Tücken
Sicherheit bei Voice over IP
Kaum eine Technik im Internet erlebt derzeit einen so großen Boom wie die Internet-Telefonie. Viele Jahre musste man warten, bis die ersten brauchbaren Angebote auf den Markt kamen ? dafür überschlagen sich jetzt die Anbieter mit Angeboten und liefern sich einen Preiskampf um subventionierte Endgeräte und sinkende Minutenpreise für Gespräche.
Ob 1&1, Freenet oder Web.de ? immer mehr Anbieter drängen auf den Markt, und die Zahl der Nutzer von Voice-over-IP-Diensten nimmt stetig zu. Auch wenn die Internet-Telefonie leicht zu bedienen ist und kostengünstige Telefonate ermöglicht, ist diese nicht ganz ohne Tücken und Fallstricke. Internet Professionell hat für Sie die hilfreichsten Tipps und Tricks rund um Voice over IP zusammengestellt. Ein Schwerpunkt liegt dabei auf dem Thema Internet-Telefonie und Sicherheit. Wie sicher ist die Sprachkommunikation über das Internet und lassen sich VoIP-Gespräche abhören?
Der große Lauschangriff
Sicherheit bei Voice over IP
Die wenigsten Nutzer von Voice-over-IP-Diensten machen sich Gedanken darüber, welchen Weg ihre Sprache nimmt ? Hauptsache sie kommt an. Dabei stellt sich durchaus die Frage, inwieweit man die Gespräche abhören kann.
Im Normalfall werden Datenpakete bei der Internet-Telefonie wie andere Daten auch über das Internet versendet ? dies erklärt auch die Kostenersparnis gegenüber regulären Telefongesprächen. Die Kommunikation über das Internet ist jedoch alles andere als sicher ? die Daten können eingesehen werden, vergleichbar mit dem Versand einer E-Mail, welche theoretisch ebenfalls von jedem gelesen werden kann. Dies ist freilich nicht weiter ungewöhnlich, auch klassische Telefonanschlüsse lassen sich von entsprechenden Behörden ohne größeren Aufwand abhören. Im Gegensatz dazu ist jedoch das »Anzapfen« eines Internet-Telefonats deutlich einfacher und vor allem wegen des Transports durch das Internet ortsungebunden möglich.
Unabhängig davon, wie wahrscheinlich nun ein illegaler Abhörversuch eines VoIP-Gesprächs ist, stellt sich vor diesem Hintergrund durchaus die Frage, ob die Notwendigkeit der effektiven Verschlüsselung des entsprechenden Datenverkehrs nicht in Zukunft eine gewichtige Rolle spielen wird. Wenn Hans-Moritz über einen Voice-over-IP-Dienst seine Großmutter anruft und dieser vom letzten Sonntagsausflug der Familie erzählt, mag die Problematik des Abhörens wohl eher nebensächlich sein. Jedoch nutzt eine immer größere Zahl an Unternehmen die Internet-Telefonie. Das Stichwort Industriespionage spielt hier eine nicht unwichtige Rolle.
Sicherheitsrisiko WLAN
Sicherheit bei Voice over IP
Auch wenn die Daten quasi im Klartext über das Internet übertragen werden, ist das Abhören einer entsprechenden Voice-over-IP-Verbindung mit einer Menge Aufwand und damit einhergehend einer hohen kriminellen Energie verbunden. Der Datenstrom des Gesprächs läuft von Kunde zu Kunde beziehungsweise ins Festnetz vom Kunden zum Termininierungspartner. Hierzu müsste man sich zum Beispiel in eine Hardware-Komponente des DE-CIX (www.de-cix.net ) oder in den DSLAM (Digital Subscriber Line Access Multiplexer) in der Vermittlungsstelle einhacken.
Das große Risiko sind jedoch WLANs, von denen es mehr als genug gibt, die nicht geschützt und daher offen wie ein Scheunentor für jeden zugänglich sind. Und dies betrifft nicht nur Privathaushalte ? auch in Unternehmen arbeiten eine Menge ungesicherter WLAN-Access-Points. Über diese können unter Umständen Gespräche abgehört werden.
Schutz fürs VoIP-Telefon
Sicherheit bei Voice over IP
Doch wie kann man auf Nummer sicher gehen und die Internet-Telefonie absichern? Neben einer Reihe herstellerspezifischer und meist wenig interoperabler Verfahren, welche bereits in den entsprechenden Produkten implementiert sind, wie zum Beispiel in Microsoft Netmeeting, gibt es noch übergreifende Standards.
So kann beispielsweise IPsec die Ende-zu-Ende-Verschlüsselung der IP-Pakete übernehmen. So hat zwar IPsec den Vorteil, dass es unabhängig davon arbeitet, welche Voice-over-IP-Applikation im Einsatz ist. Diese Lösung bringt jedoch einen nicht unerheblichen administrativen Aufwand mit sich. Zudem muss auf der entsprechenden VoIP-Plattform eine IPsec-Implementierung zur Verfügung stehen.
Für die Internet-Telefonie über die H.323-Protokollfamilie steht der Standard H.235 zur Verfügung, welcher sich mit Sicherheitsdiensten für Signalisierungs- und Mediadaten befasst. Jedoch stehen hier die Authentifizierung und Integrität der Signalisierungsnachrichten im Vordergrund. Ein Schutz für die RTCP-Pakete ist dagegen nicht vorgesehen.
Einen weiteren neuen Ansatz untersucht derzeit die Arbeitsgruppe AVT der Internet Engineering Task Force (IETF, www.ietf.org). Dort arbeitet man an dem Standard »The Secure Real-Time Transport Protocol (SRTP)«, RFC 3711 (
ftp://ftp.rfc-editor.org/in-notes/rfc3711.txt). Dabei handelt es sich um ein Protokoll, das für die RTP- und RTCP-Pakete Sicherheitsdienste wie Vertraulichkeit sowie Authentifikation und Integrität bietet.
Praktische Möglichkeiten
Sicherheit bei Voice over IP
Bei den genannten Möglichkeiten handelt es sich jedoch derzeit noch um theoretische Schutzmechanismen. Bei der Nutzung eines Voice-over-IP-Dienstes, wie ihn derzeit viele Internet-Provider anbieten, helfen diese mangels der technischen Möglichkeiten und auch mangels entsprechender Unterstützung der Anbieter nicht weiter.
Es gibt aber auch Möglichkeiten, welche bereits nutzbar sind und einen sicheren Schutz bieten. So verschlüsseln zahlreiche Telefonie-Applikationen die Telefonverbindung, wie zum Beispiel SIPPS von Sippstar ( www.sippstar.com/deu). Dabei handelt es sich zwar um eine proprietäre Verschlüsselungstechnik ? diese erfüllt jedoch ihren Zweck und sorgt für Sicherheit bei VoIP-zu-VoIP-Verbindungen. SIPPS lässt sich im Übrigen problemlos mit Sipgate nutzen. Eine entsprechende Anleitung finden Sie auf der Sipgate-Seite unter
www.sipgate.de/faq.
Ein weiteres Beispiel ist die Telefonie-Software von 1&1 ( www.1und1.de), die ebenfalls Verbindungen verschlüsselt.
Wie geht es weiter?
Sicherheit bei Voice over IP
Auch wenn das Thema Internet-Telefonie und Sicherheit bislang eher stiefmütterlich behandelt wurde, hat diese Thematik durchaus bereits eine gewisse Brisanz. So verlangt zum Beispiel das US-Justizministerium eine entsprechende Regelung zum Abhören. Das FBI moniert so zum Beispiel bereits seit längerem, dass der Bundespolizei die Überwachungsmöglichkeiten nicht ausreichen. Aber auch in der Europäischen Union ist bereits die Einführung von Standards für das Abhören von Voice-over-IP-Gesprächen geplant.
In diesem Zusammenhang stellt sich freilich auch die Frage, inwieweit Gespräche bereits jetzt ohne Wissen des Teilnehmers belauscht werden. Auch wenn es technisch komplizierter ist ? die entsprechenden staatlichen Stellen haben diese Möglichkeiten.
Auch wenn die Gefahr des Abhörens einer Voice-over-IP-Verbindung über das Internet ? abgesehen von entsprechenden strafverfolgenden Behörden ? nur schwer möglich und eher theoretischer Natur ist, stellt diese in Zeiten immer beliebterer WLAN-Verbindungen eine nicht unerhebliche Gefahr dar. Aber auch von Mitarbeitern innerhalb des verkabelten Firmennetzes kann eine entsprechende Gefahr ausgehen.
Anbieter von Diensten für VoIP haben diese Problematik jedoch bereits erkannt und sind nach eigenen Angaben bemüht, an der Verabschiedung entsprechender Standards mitzuwirken. In Zukunft ist zu erwarten, dass immer mehr VoIP-Anbieter ihre Netze zusammenschalten. Daher muss eine einheitliche Regelung her.
Darüber hinaus sollte man festhalten, dass Verschlüsselung nichts ist, was primär die Anbieter von Diensten für die Internet-Telefon angeht. Hauptsächlich ist dies eine Angelegenheit, die im Verantwortungsbereich der entsprechenden Hard- und Software-Hersteller liegt, die sich auf einen gemeinsamen Standard einigen müssen. Einige Anbieter von VoIP-Hardware haben jedenfalls den Trend zur Sicherheit erkannt: So unterstützen zum Beispiel die Telefone von Snom (
www.snom.com) bereits SIPS ? SIP over SSL over TCP, RFC 3546 (
ftp://ftp.rfc-editor.org/in-notes/rfc3546.txt).
Follow up
Sicherheit bei Voice over IP
Neue Kommunikationsformen auf Basis des Internet sind den gleichen Gefahren ausgesetzt wie deren Verfahren E-Mail & Co. So hat es ? um beim Beispiel E-Mail zu bleiben ? auch hier einige Zeit gedauert, bis man die mangelnden Möglichkeiten an Sicherheit erkannte und entsprechende Lösungen zur Verfügung standen. Dass bei der E-Mail die durchaus vorhandenen Möglichkeiten der Verschlüsselung noch immer kaum benutzt werden ? meist aus Gründen der Bequemlichkeit ? steht jedoch auf einem anderen Blatt.
Tipps und Tricks zu Voice over IP
Sicherheit bei Voice over IP
Zwangstrennung bei Providern
Bei manchen Voice-over-IP-Anbietern wie zum Beispiel Sipgate erhalten Sie eine eigene Rufnummer für Voice-over-IP-Dienste. Unter dieser Nummer sind Sie jedoch nur dann erreichbar, wenn Ihr VoIP-Telefon auch online ist. Trennt Ihr Internet-Provider nach einer gewissen Zeit der Inaktivität die Verbindung, laufen Anrufe an die entsprechende Nummer ins Leere. Daher sollten Sie Ihren Router dahingehend konfigurieren, dass die Internet-Verbindung dauerhaft aufrechterhalten bleibt und gegebenenfalls nach einer Trennung sofort wieder hergestellt wird ? zum Beispiel nach der häufig unvermeidbaren Zwangstrennung nach 24 Stunden. Einige Anbieter wie zum Beispiel Sipgate bieten Ihren Kunden übrigens eine entsprechende Voice-Mailbox an, auf die ein Anrufer eine Nachricht bei Nichterreichbarkeit hinterlassen kann.
Transfervolumen für Telefonate
Zeitbasierte Internet-Zugänge eignen sich kaum für die Nutzung der Internet-Telefonie. Die vergleichsweise hohen Minutengebühren machen in der Regel die Kostenvorteile von VoIP-Diensten zunichte. Aber auch bei Volumentarifen sollte man bei der Auswahl eines entsprechenden Zugangs die Internet-Telefonie und das daraus resultierende Datenvolumen nicht außer Acht lassen. Während eines Gesprächs fallen durchschnittlich rund 8 kBit Datenvolumen pro Sekunde und Richtung an. Bei einem einstündigen Telefonat kommen so rund 80 MByte an Volumen zusammen.
Einige Internet-Provider mit VoIP-Diensten bieten Ihren Kunden monatlich Freiminuten zum Telefonieren an. Beachten Sie, dass auch für diese kostenfreien Gespräche Datenvolumen anfällt ? aber auf Ihre Kosten.
Firewall für VoIP konfigurieren
Eine gut konfigurierte Firewall sollte sämtlichen Datenverkehr blocken und nur diejenigen Datenpakete durchlassen, die Sie explizit erlaubt haben. Dies hat zur Folge, dass Voice-over-IP-Dienste in der Regel erst einmal nicht funktionieren, da die Pakete der Firewall unbekannt sind und daher geblockt werden beziehungsweise von Ihnen noch nicht freigegeben wurden. Da die Einstellungen für die Server bei jedem Anbieter verschieden sind, können wir Ihnen an dieser Stelle keine generelle Regel für Ihre Firewall geben. Die entsprechenden Webseiten einiger Anbieter mit näheren Informationen finden Sie hier:
– 1&1:
faq.1und1.com/access/voip/21.html
– Sipgate:
www.sipgate.de/faq
– Web.de:
hilfe.freephone.web.de
Notruf und Sonderrufnummern
Bei der Nutzung von Voice-over-IP-Diensten sollte man beachten, dass viele Anbieter die Nutzung von Sonderrufnummern wie 0180x nicht unterstützen. Die Notrufnummern 110 sowie 112 werden noch von keinem Anbieter unterstützt. Das Problem besteht darin, dass der Anbieter nicht weiß, wo Sie sich genau befinden und an welche Notruf-Leitstelle ein Anruf weitergeleitet werden soll.
Ein Testbetrieb mit der Notrufnummer 110 läuft derzeit bei Sipgate. Kunden aus Düsseldorf können im Konfigurationsmenü im Internet für den Polizei-Notruf die Düsseldorfer Vorwahl 0211 festlegen. Abgehende Gespräche an die 110 werden dann an die Düsseldorfer Leitstelle weitergeleitet. Dies nutzt Ihnen freilich nur dann, wenn Sie sich bei einem Notfall auch in dieser Stadt aufhalten. Wenn Sie Ihr Telefon zum Beispiel in München über das Internet mit dem Sipgate-Server verbunden haben, kann es bei einem Notfall etwas länger dauern, bis die Münchener Schutztruppe von den Düsseldorfer Kollegen verständigt wurde.
Neue Möglichkeiten für Spam
In Deutschland zum Glück noch weitgehend unbekannt, aber in den USA bereits ein bekanntes und weit verbreitetes Problem: Spit. Die findigen Anbieter von Potenzpillen, Vergrößerungen diverser Körperteile und dubioser Kredite haben eine neue Art des Spams für sich entdeckt: Spam over Internet Telephony, kurz Spit. In den Vereinigten Staaten werden bereits die ersten VoIP-Nutzer durch entsprechende »Telemarketingfirmen« angerufen und belästigt.Und das seitens der Werbenden aus gutem Grund: Ein Anruf über VoIP kostet einen Spammer so gut wie gar nichts. Gleichzeitig nimmt die Zahl der Nutzer der Internet-Telefonie stetig zu ? man braucht also nur alle möglichen Rufnummerkombinationen eines Anbieters durchzuprobieren.
Wie bei E-Mail-Adressen sollten Sie also darauf achten, dass Ihre VoIP-Kennung nicht in die falschen Hände gerät. Vor allem die kommenden Enum-Kennungen dürften der Traum eines jeden Spam-Versenders sein. Enum-Kennungen sind nicht nur auf Voice over IP beschränkt, sondern können mit allen möglichen Diensten wie E-Mail oder Fax verbunden werden. So macht Werben Spaß ? eine Nummer für alles.