Checkliste für mehr SIP-Sicherheit: SIP Trunks absichern

Eine große Gefahr bei SIP Trunking ist Gebührenbetrug. Wir zeigen Ihnen, mit welchen Maßnahmen für die Security Sie auf der sicheren Seite sind.

Anmerkung der Redaktion: Im fünften Teil unserer Artikelserie zu den Grundlagen von SIP Trunking sehen wir uns...

die Security-Herausforderungen an, die VoIP mit sich bringt und wie man sie meistert. In den anderen Beiträgen der Reihe finden Sie wichtige Informationen zu weiteren Themen. Dazu gehören ein Vergleich von SIP mit PRI, wie Sie den optimalen SIP Provider finden und ältere Hardware nutzen. Außerdem informieren wir Sie über die benötige Bandbreite für VoIP und SIP Trunking. Im vierten Artikel gehen wir auf die Vorteile von SIP Trunking ein.

Wie bei den meisten IT-Technologien gibt es auch bei SIP Trunking Sicherheitsbedenken. In erster Linie geht es hier um Gebührenbetrug. Es ist eher unwahrscheinlich, dass böswillige Hacker ein älteres Telefonsystem angreifen und darauf Zugriff bekommen. Bei SIP-basierten Systemen lassen sich die Angriffe gegen IP-Adressen richten, die wiederum zum Telefonsystem gehören. Somit ist es wahrscheinlicher, dass man solche Systeme übernehmen und internationale Anrufe tätigen kann.

In Sachen Sicherheit bei SIP Trunking muss man einige Punkte beachten. Die meisten Security-Anbieter adressieren sie mit einer mehrschichtigen Herangehensweise. Das ist eine effiziente Methode, um die Telefonsysteme isolieren und schützen zu können. Ebenso gilt das für den Kommunikationspfad zum SIP-Service-Provider. Dieser mehrschichtige Schutz verhindert, dass man bei der Sicherheit alles auf eine Karte setzen muss. Man sollte zum Beispiel nicht eine einzelne Firewall einsetzen, um damit die gesamte Infrastruktur zu schützen. Das wird leider sehr oft so gehandhabt.

Natürlich sind die Anbieter auch oft für Gebührenbetrug verantwortlich. Entweder sind ihre Systeme in diesen Fällen fehlerhaft oder per Standard mit Mechanismen konfiguriert, die eben nicht gegen Gebührenbetrug schützen.

Nachfolgend finden Sie einige Tipps für mehr SIP-Sicherheit. Wir zeigen Ihnen, welche Bereiche Sie ändern oder umkonfigurieren sollten, damit es keine bösen Überraschungen gibt.

Verwenden Sie komplexe Passwörter für Ihren SIP Trunk: SIP-Trunk-Provider setzen Authentifizierung voraus, damit eingehende und ausgehende Anrufe über den SIP Trunk möglich sind. Verwenden Sie auf jeden Fall komplexe Passwörter für den Authentifizierungsprozess mit dem SIP-Provider.

Begrenzen Sie den Zugriff auf das Telefonsystem: Nur bestimmte Leute von spezifischen Standorten sollten Zugriff auf das Telefonsystem haben. In den meisten Fällen befindet sich das System ungünstig im gleichen Netzwerk und virtuellen LAN (VLAN) wie anderer Netzwerk-Traffic. Stellen Sie immer sicher, dass Telefonsysteme in einem separaten VLAN isoliert und korrekte VLAN Security Policies konfiguriert sind. Weitere Informationen finden Sie in diesem Artikel zum Thema VLAN Security auf Firewall.cx.

Vermeiden Sie Port Forwarding: Die einfachste und gefährlichste Methode einen SIP Trunk zum Provider zu verknüpfen ist ein sogenanntes Forwarding der notwendigen Ports (TCP/UDP 5060 und 5061). Das würden Sie in der Firewall realisieren und direkt zum Telefonsystem durchleiten. Port Forwarding ist extrem gefährlich und Sie exponieren damit möglicherweise kritische Teile Ihres Netzwerks an die Öffentlichkeit.

Verwenden Sie ein Intrusion Detection System (IDS): Ein IDS hilft bei der Erkennung und der Abschwächung von Angriffen auf Ihre Systeme. Mit einem korrekt konfigurierten IDS überwachen Sie sämtliche Kommunikation mit Ihrem SIP-Provider. Das IDS sollte einen Administrator automatisch alarmieren, sobald ein Angriff entdeckt wurde.

Sichern Sie Ihren SIP Trunk gegen Gebührenbetrug ab: Bevor Anwender einen internationalen Anruf tätigen können, sollten Sie erst eine Art geheimen Code eingeben müssen. Das ist einfach, aber sehr effizient, um Gebührenbetrug im Zusammenhang mit internationalen Anrufen zu vermeiden.

Akzeptieren Sie SIP Traffic nur von Ihrem SIP-Provider: Blockieren Sie Traffic von allen externen Quellen auf das Telefonsystem und erlauben Sie nur den von Ihrem SIP Provider. Damit limitieren Sie Zugriff auf das Telefonsystem. Auf diese Weise minimieren Sie die Gefahren unautorisierter Zugriffe.

Verschlüsseln Sie Traffic mit TLS und RTP: Transport Layer Security (TLS) lässt sich für die Verschlüsselung des Signals (SIP TCP) und Authentifizierung verwenden. Real Transport Protocol (RTP) können Sie für die Media-Verschlüsselung einsetzen. TLS und RTP stellen ein hohes Niveau an Verschlüsselung zur Verfügung. Allerdings müssen beide Methoden sowohl vom Telefonsystem als auch dem SIP-Trunk-Provider unterstützt werden.

Aktualisieren Sie Ihre Security-Systeme und halten diese damit auf dem neuesten Stand: Die Sicherheitssysteme auf dem aktuellen Stand zu halten, ist sehr wichtig. Das gilt vor allen Dingen dann, wenn IDS, Intrusion Prevention System (IPS) und Firewalls involviert sind. Damit bessern Sie Fehler aus, verhindern Exploits und stopfen Sicherheitslöcher, die entdeckt und von Ihrem Security-Anbieter geflickt wurden.

Sichern Sie Ihre Systeme ständig: Es kommt nicht darauf an, wie komplex oder einfach Ihr Telefonsystem und die Systeme für die Security sind. Stellen Sie immer sicher, dass Sie ein gültiges und aktuelles Backup haben.

Beim Thema Netzwerksicherheit können Sie niemals sicher genug sein, wenn Sie mit dem Internet verbunden sind. Die Kommunikationskanäle und die Firma auf der sicheren Seite zu halten, gehört zum Tagesgeschäft und sollte niemals vernachlässigt werden. Im Internet lauern jede Menge Angreifer und Gefahren.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Februar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Unified Communications

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close