NSA-Leitfaden zur VoIP-Sicherheit
Die US-Behörde NSA veröffentlicht einen Leitfaden für den sicheren Einsatz von VoIP, Video und UC. Der »Cybersecurity Technical Report« 1.0 verfolgt dabei einen völlig anderen Ansatz als das hierzulande gängige BSI-Klassenmodell zum Schutzbedarf.
Der im Juni 2021 von der National Security Agency (NSA) veröffentlichte Leitfaden »Unified Communications/Voice and Video over IP Systems sicher einsetzen« (frei übersetzt) richtet sich als »Cybersecurity Technical Report« in der Version 1.0 an amerikanische Behörden und Unternehmen, die von der NSA als Teil des »nationalen Sicherheitssystems der USA« eingestuft werden. Er gliedert sich in vier Themenbereiche und beschreibt Best Practices, um die jeweilige Angriffsfläche zu verringern. Der Leitfaden ist eher ein umfangreiches Management Summary als ein tiefgehender Leitfaden. Er bringt keine atemberaubenden Neuerungen mit sich, beinhaltet jedoch umfassend die wichtigsten Sicherheitsthemen. Ganz anders ist der Ansatz des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), das drei Klassen des Schutzbedarfs unterscheidet: Basis, Standard und erhöhter Schutzbedarf. Dadurch kann das BSI mit abgestuften Empfehlungen ein breites Anwenderspektrum mit seinen unterschiedlichen Sicherheitsanforderungen adressieren.
Teil 1: Netzwerkinfrastruktur
Der erste Teil des NSA-Leitfadens behandelt das zugrunde liegende IP-Netz und stellt Gefährdungen durch das Zusammenwachsen von Daten- und Telefonnetz dar. In sehr oberflächlicher Weise kommen Themen wie die Segmentierung von Daten- und Voice-Netz über VLANs sowie QoS und Maßnahmen zur Erhöhung der Verfügbarkeit zur Sprache. Einen zusätzlichen Bereich stellt das Thema »Beschränkung der Kommunikationsbeziehung auf Basis von statuslosen Paketfiltern auf Switches und Routern sowie Firewalls« dar. Auch grundlegende Netzwerkthemen, wie die physische Zugriffssicherung und Netzwerkzugriffskontrolle auf Basis von 802.1X, werden behandelt, jedoch zum Teil auf Basis bereits überholter Sicherheitsverfahren wie reiner Port-Security, also der Begrenzung der MAC-Adressen je Switchport. Positiv zu sehen ist, dass die häufig übersehene Absicherung von Infrastrukturdiensten, wie NTP zur Verteilung einheitlicher Zeitinformationen, DHCP zur IP-Adressvergabe und DNS zur Namensauflösung, enthalten sind.
Teil 2: Perimeterschutz
Im zweiten Teil erfolgt die Behandlung des Perimeters, also der Netzwerkgrenze. Die NSA hält Session Border Controllers (SBCs) an dieser Stelle für essenziell, um Kommunikationsbeziehungen von und nach extern zu steuern und abzusichern. SBCs bieten vielfältige Möglichkeiten, wie beispielsweise Verschlüsselung, Call Admission Control, Protokollvalidierungen und Maßnahmen gegen Denial-of-Service-Attacken. (Anm. d. Redaktion: Weiterführende Informationen zu den Funktionen von Enterprise Session Border Controllers bieten die Schulungen der VAF-wissenswerkstatt.) Konkret sieht die NSA auch eine Verschlüsselung an den Übergängen zu öffentlichen Netzen als zwingend notwendig an und nennt konkret SIP-TLS und SRTP, aber keine minimalen TLS-Versionen oder empfohlenen Verfahren für den Schlüsselaustausch von SRTP. Leider fehlt ebenfalls ein Hinweis auf die fehlende Ende-zu-Ende-Verschlüsselung von SIP-TLS und SRTP. Es gibt hingegen eine klare Empfehlung zur netzwerkseitigen Positionierung von SBCs sowie von Signalisierungs- und Mediengateways in einem besonders geschützten Netzbereich (DMZ).
Teil 3: Zentrale Vermittlungseinheit
Im dritten Teil geht es um die Absicherung der zentralen Vermittlungseinheit des VoIP-Systems, die als Enterprise Session Controller bezeichnet wird (nicht zu verwechseln mit Session »Border« Controller). Hier gibt es eine Empfehlung zur Authentifizierung und Autorisierung vor beispielsweise einer Einleitung eines Anrufaufbaus, um die Legitimität der Kommunikationsverbindung zu prüfen. Aber auch generische Empfehlungen, wie die Anpassung von Default-Kennwörtern und die Aktivierung von Loggings und Backupprozessen auf diesen Systemen, finden Erwähnung.
Aber auch die Systemhärtung in Form der Deaktivierung nicht benötigter Dienste wird behandelt. Wie bereits im VAF Report 1/2019 dargelegt, sollten Managementzugriffe auf die Systeme nur verschlüsselt erfolgen, und dies bei gleichzeitiger Deaktivierung aller unverschlüsselten Zugänge. Die Ablage der zugrunde liegenden Schlüssel zum Zweck der Verschlüsselung sollte nicht ungeschützt im Klartext auf den Servern erfolgen.
Teil 4: VoIP- und UC-Endgeräte
Teil 4 beschäftigt sich mit den Gefährdungen von Endgeräten. Auch hier gibt es die Empfehlung, nur die benötigten Funktionen aktiviert zu lassen, regelmäßig signierte Patches einzuspielen und die Endgeräte, (nicht bei Softphones) falls möglich, in ein dediziertes Voice/UC-VLAN zu sortieren. Die Installation von Drittanbietersoftware auf den Geräten sollte sehr restriktiv geregelt oder verboten sein. Zudem ist die Möglichkeit einer Kommunikation mit Servern im öffentlichen Internet zu unterbinden. Falls die Notwendigkeit der vorgenannten Kommunikation für Zusatzdienste besteht, sollte dies nur über einen Proxy in einer DMZ möglich sein. Auch auf die Gefährdung eines Abhörangriffs durch Mikrofone in sensiblen Räumen wird mit Hinweis auf die physikalische Trennung des Mikrofons am Telefon über einen Schalter hingewiesen, was in der Praxis teils schwierig zu bewerkstelligen ist, da die benötigten Bauteile nicht auf dem Standardmarkt erhältlich sind. Firmware- und Konfigurationsdateien für Endgeräte sollten zusätzlich nur aus einer vertrauenswürdigen Quelle stammen und eine entsprechende Signatur enthalten. Web-Interfaces sollten nur temporär bei Bedarf aktiv sein. Eine Empfehlung zur Deaktivierung sonstiger unverschlüsselter Protokolle, wie beispielsweise SNMP (bis Version v2c) und Telnet, ist ebenfalls enthalten.
Ein unter Systemintegratoren und Administratoren immer wieder kontrovers diskutiertes Thema stellt die Nutzung von integrierten Switches in Telefonendgeräten dar. Sollte ein Kunde dies fordern, so sollte der integrierte Switch zumindest die VLAN-Trennung erlauben, was bei den meisten Telefonen im Unternehmensumfeld auch möglich ist. Die NSA empfiehlt die Deaktivierung dieses Switches. Sie rät auch vom Einsatz der Bluetooth-Technologie in Telefonen generell ab.
Interessant ist die Empfehlung der NSA, beim Einsatz von Softphones auf PCs oder Notebooks diese in ein dediziertes Daten-Softphone-VLAN zu segmentieren und nur aus diesem Netz VoIP-Datenverkehr zu erlauben – sie gibt aber zu, dass dies beim massenhaften Einsatz nicht praktikabel ist. In diesem Fall sollte der Traffic zwischen Daten- und Voice-Netzen zumindest restriktiv gefiltert sein.
Fazit und Hinweis auf BSI-Empfehlungen
Für die meisten Anwender und Integratoren in Deutschland stellt der NSA-Leitfaden mangels Verbindlichkeit keine maßgebliche Richtlinie dar. Für viele Hersteller, die auf den US-Markt schauen, dürfte sich das jedoch anders darstellen. Generell interessant ist es zu sehen, wie die NSA das Themenfeld der Cybersicherheit bei VoIP/UC mit hohem Schutzbedarf angeht.
Wer nach entsprechend dem konkreten Schutzbedarf (Basis, Standard oder erhöhter Schutzbedarf) des Kunden abgestuften Empfehlungen und nach tiefer gehenden Beschreibungen der Maßnahmen sucht oder schlicht ein deutschsprachiges Dokument als Grundlage benötigt, findet dies wie oben erwähnt beim BSI. Primär für VoIP-Endgeräte und die zentralen IP-Vermittlungssysteme wurde der Baustein »NET.4.2 VoIP« des IT-Grundschutzkompendiums erst im Jahr 2021 überarbeitet. Der Baustein »NET.4.1 TK-Anlagen« befasst sich allgemein mit TK-Anlagen und ist nicht spezifisch auf VoIP ausgelegt. Wer sich mit erhöhten Sicherheitsanforderungen konfrontiert sieht, sollte zusätzlich die Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf (BSI TL-02103) des BSI beachten. Diese ist in Version 2.0 zwar bereits aus dem Jahr 2014, enthält jedoch noch immer gültige und gute Empfehlungen mit konkreten Fallbeispielen.
Quellen:
National Security Agency (NSA) Cybersecurity Technical Report: Deploying Secure Unified Communications/Voice and Video over IP Systems,
Version 1.0; Juni 2021, 42 Seiten, www.nsa.gov
Bundesamt für Sicherheit in der Informationstechnik: BSI Index Grundschutz Kompendium Edition 2021, Baustein NET.4.1 TK-Anlagen,
Baustein NET.4.2 VoIP, www.bsi.bund.de
Benjamin Pfister: Sicherheitsaspekte der TK-Fernwartung: Überblick zur aktuellen Technik. In: VAF Report, Nr. 1/2019, S.16–23
Zum Autor:
Benjamin Pfister ist Sachgebietsleiter Kommunikation der Stadt Kassel und Gründer seiner Firma Pfister IT-Beratung. Gemeinsam mit dem VAF arbeitet er an Empfehlungen des AMEV mit und schreibt als Experte Fachartikel in VAF-Publikationen.
Veröffentlicht am: 03.11.2021