Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

BSI-Forum : Sicherheit von Voice over IP : Teil 2: Access-Netz und Endkundenanschlüsse

Durch die Verschmelzung der Sprach- und Datenübertragung in einer gemeinsamen All-IP-Infrastruktur ergeben sich neue Bedrohungen für beide Kommunikationswege. Dem Schutz der zentralen Provider-Netze vor externen Angriffen oder schwerwiegenden Ausfällen kommt hierbei eine maßgebliche Bedeutung zu. Jedoch sind weitere Maßnahmen wie die Nutzung von Verschlüsselung oder die Einrichtung einer unabhängigen Stromversorgung aufseiten der Endnutzer notwendig, um insgesamt eine sichere und verlässliche Voice-over-IP-(VoIP)-Kommunikation zu gewährleisten.

Lesezeit 12 Min.

Die Weitverkehrsinfrastruktur und die Backbone-Netze der Provider standen im Fokus des ersten Artikels zur Sicherheit von Voice-over-IP (VoIP) [1]. Wie sich in einer dort vorgestellten BSI-Studie zeigte, weisen diese Bereiche im Hinblick auf Verfügbarkeit, Übertragungsqualität sowie auch den Schutz vor externen Angriffen aktuell ein relativ hohes Sicherheitsniveau auf. Da Schwachstellen in diesem zentralen Bereich erhebliche Auswirkungen nicht nur auf einzelne, sondern gleich eine Vielzahl von Kunden – vom privaten Telefon- und Internetanschluss bis zur gesamten Kommunikation und Datenverarbeitung großer Unternehmen – hätten, besitzt der Schutz des Kernnetzes für jeden Provider natürlich höchste Priorität.

Obwohl einerseits die implementierten Schutzmechanismen eine hohe Hürde darstellen, bilden andererseits die Kernnetze aus Sicht potenzieller Angreifer wegen des zu erzielenden „Impacts“ ein besonders lohnendes Ziel. Allerdings erfordern Attacken auf die zentrale Infrastruktur einen erheblichen technischen und finanziellen Aufwand, sodass ihn sich nur Angreifer mit Zugriff auf Ressourcen leisten können, wie sie fast ausschließlich staatlichen Stellen (z. B. Geheimdiensten) zur Verfügung stehen oder „Hacker“-Gruppen, die in deren Auftrag handeln. Die Szenarien möglicher Angriffe sind bekannt: gigantische Distributed-Denial-of-Service-Attacken (DDoS mit Datenraten von mehreren Tb/s), großflächige Überwachung der Telefon- und Datenkommunikation, Kompromittierung zentraler  Steuerungskomponenten (z. B. Label-Edge-Router) und so weiter.

Angriffe in dieser Größenordnung auf Provider- sowie auch Regierungsnetze beziehungsweise andere kritische Infrastrukturen (z. B. Energieversorger, Banken oder den Gesundheitssektor) sind jedoch nicht VoIP-spezifisch, sondern zielen auf die gesamten Kommunikations- und Versorgungseinrichtungen ganzer Länder und Regionen – sie stehen daher nicht im Fokus dieses Artikels. Wie sich im Folgenden zeigen wird, resultieren Gefährdungen der VoIP-Kommunikation in weit höherem Maße aus Schwachstellen in den eher peripheren Bereichen der Infrastruktur, den sogenannten Access-Netzen sowie auch den internen Netzen der Endnutzer.

Abbildung 1: All-IP-Infrastruktur – die Endkundenanschlüsse auf der linken Seite sind über MSANs an das Kernnetz angeschlossen.

All-IP-Infrastruktur

Das Access-Netz

Die Darstellung der All-IP-Infrastruktur in Abbildung 1 zeigt auf der linken Seite den Access-Bereich, über den der Anschluss der Endkunden an die Provider-Kernnetze erfolgt.

Der Zugang zum Next-Generation-Netz (NGN) und damit zur VoIP-Telefonie kann auf unterschiedlichen Wegen erfolgen. Nach der inzwischen erfolgten Abschaltung fast aller Analog- und ISDN-Anschlüsse dürfte der häufigste Zugangstyp der Breitband-DSL-Anschluss (VDSL) mit einer Übertragungsrate bis 100 Mb/s sein (im Downstream, örtlich auch darüber). Daneben weit verbreitet ist der Kabelanschluss (DOCSIS), der – wo vorhanden – aufgrund höherer Datenraten (bis etwa 500 Mb/s) und preislicher Vorteile als attraktive Alternative zu VDSL gesehen wird.

Eine weitere Zugangsmöglichkeit bietet der Mobilfunk (LTE) mit Übertragungsraten zwischen 10 bis 100 Mb/s. Diese als „VoIP over LTE“ (VoLTE) bezeichnete Technik wird als mobile Lösung (etwa über das Handy) zwar bereits vielfältig genutzt, als Ersatz für einen Festnetzanschluss liegt sie in der Verbreitung jedoch noch weit hinter den vorgenannten Verfahren. Aufgrund der unterschiedlichen Netzanbindung über eine „Luftschnittstelle“ soll VoLTE hier im Folgenden zunächst nicht weiter betrachtet werden.

Im Falle der meisten VDSL-Endkunden ist die physische Anbindung über eine Teilnehmeranschlussleitung (TAL) realisiert, bei größeren gewerblichen Kunden in der Regel über einen sogenannten SIP-Trunk mit bis zu 300 (zuweilen auch mehr) möglichen Sprachkanälen (Concurrent Calls). Bei der Beschreibung der Provider-Kernnetze in [1] wurde ausgeführt, dass diese in der Regel auf einem Hochgeschwindigkeitsnetz aus Lichtwellenleitern (LWL) basieren, mit denen sich derzeit die höchsten Übertragungsraten von bis zu einigen 100 Gb/s erzielen lassen. Konsequenterweise wäre es sinnvoll, die Endkunden über gleichgeartete Leitungen anzubinden, um diesen einerseits die größtmögliche Bandbreite zur Verfügung zu stellen und andererseits einen „Medienbruch“ bei der Datenübertragung zu vermeiden.

Leider sieht die Realität – historisch bedingt – anders aus: Die ganz überwiegende Mehrheit der Haushalte ist nach wie vor über Kupferleitungen an das Telekommunikationsnetz angeschlossen. Da auf die TAL etwa 70 % der Kosten für den gesamten Netzausbau entfallen, wovon die letzten 50 m wiederum den höchsten Anteil ausmachen, wird verständlich, warum ein flächendeckender Austausch der Kupferleitungen gegen Glasfaserverkabelung derzeit insgesamt nur schleppend vorankommt.

Um auf den alten Kupferleitungen einen Breitbandanschluss überhaupt realisieren zu können, müssen diese bei weitaus höheren Frequenzen betrieben werden, als dies zu Zeiten der ISDN-Telefonie notwendig war (Faustregel: je höher die Frequenz eines elektrischen Signals, umso höher der aufmodulierbare Informationsgehalt). Dies hat jedoch zur Folge, dass die nun im MHz-Bereich betriebenen Kupferkabel immer mehr wie Radioantennen wirken und einen Großteil der elektrischen Leistung einfach nach außen abstrahlen. Dies führt zu zwei negativen Konsequenzen: Damit am Ende der Leitung überhaupt noch ein Signal ankommt, darf diese nicht mehr als 50 bis wenige 100 Meter lang sein. Und da die zu jedem Teilnehmer gehörenden Kabel eng gebündelt im Verteilerkasten zusammenlaufen, stören die abgestrahlten Signale einer Leitung die aller anderen; es kommt zu dem Effekt des sogenannten Übersprechens.

Das letztere Problem wird durch die Technik des sogenannten Vectorings behoben: Vereinfacht ausgedrückt analysiert man dabei am Ende eines Hauptkabels, das oft mehrere hundert Einzelleitungen bündelt, die Signale aller Einzelteilnehmer – samt der Fehler durch das Übersprechen – und rechnet mittels informationstheoretischer Korrekturverfahren diese Fehler aus den Signalen wieder heraus. Am Ende erhält man so die originären Daten jedes einzelnen Teilnehmers zurück. Der springende Punkt dabei ist, dass bei dem Verfahren die Endsignale aller parallelen Einzelleitungen benötigt werden und dieses daher nur von einem das Access-Netz betreibenden Provider (in der Regel die Deutsche Telekom AG) durchgeführt werden kann, auch wenn die einzelnen Teilnehmer Kunden bei verschiedenen Providern sind.

 

Glasfaseranbindung

Abbildung 2: Unterschiedliche Ausbaustufen der Glasfaseranbindung von Endkundenanschlüssen an das Access-Netz – Glasfaser bis zum „Bordstein“ (FTTC), bis zum Hausanschluss (FTTB), bis zur Wohnung (FTTH)

Die begrenzte Reichweite der Breitbandübertragung mittels Kupferkabel stellt innerhalb von Ballungsräumen meist kein Problem dar, weil hier die Entfernung jedes Haushalts zur nächsten Betriebsstelle (früher: Vermittlungsstelle) nur wenige hundert Meter beträgt. In weniger dicht besiedelten Gebieten wurde das Problem dagegen zumeist, wie im oberen Teil von Abbildung 2 dargestellt, durch einen Kompromiss gelöst: Während es zwischen dem Endkundenanschluss und dem nächsten Multifunktionsgehäuse (MFG), dem „grauen Kasten an der Straße“ (früher: Kabelverzweigerkasten KVZ), bei der Kupferverkabelung bleibt, wurde das MFG selbst über eine Glasfaserleitung mit der Betriebsstelle verbunden. Diese Lösung nennt sich „Fibre to the Curb“ (FTTC, Curb = Bordstein). Die komfortableren Lösungen, nämlich Glasfaseranschluss bis ans Haus (Fibre to the Building, FTTB) beziehungsweise bis in jeden Haushalt (Fibre to the Home, FTTH) sind aufgrund der hohen Kosten noch relativ selten – meist in Neubaugebieten – zu finden.

Bei Kabelnetzen treten die oben genannten Probleme hinsichtlich der begrenzten Reichweite und des Übersprechens in weit geringerem Maße auf. Grund hierfür ist, dass diese Netze von Anfang an für einen Frequenzbereich bis über 800 MHz ausgelegt wurden, um überhaupt Radio- und Fernsehempfang zu ermöglichen. Im Gegensatz zu den verdrillten Doppeladern der Telefonleitungen werden hier abgeschirmte Koaxialkabel verwendet, die somit auch heute bereits die oben genannten Datenraten von etwa 500 Mb/s ermöglichen.

Wie in [1] bereits erläutert, wurde das früher eigenständige Telefonnetz als ein Dienst unter anderen in die neue All-IP-Infrastruktur eingebettet. Neben der Sprachübertragung lassen sich über heutige Endkundenanschlüsse neben Internet zum Beispiel auch IP-TV und Streaming-Dienste nutzen. Statt des früher üblichen Digital-Subscriber-Line-Access-Multiplexers (DSLAM) terminiert nun daher ein Multi-Service-Access-Node (MSAN) die TAL (siehe Abb. 1) und überträgt die Daten der verschiedenen Dienste an ein Broadband-Network-Gateway (BNG), das die Schnittstelle zum Provider-Kernnetz bildet. Falls Vectoring zum Einsatz kommt, leitet der Betreiber der TAL die Daten der Endkunden anderer Provider in deren jeweilige Netze weiter (Bitstreaming).

Vertraulichkeit

In [1] wurde bereits ausgeführt, dass bei der klassischen Telefonie ein Abhören von Gesprächen durch Anzapfen der Kupferleitung am Hausanschluss relativ einfach möglich war. Wie im letzten Abschnitt erläutert, hat sich durch die Umstellung auf VoIP – zumindest soweit es FTTC-Anschlüsse betrifft (siehe Abb. 2) – hieran nichts wesentlich geändert. Da ein Anzapfen von Lichtwellenleitern technisch weitaus schwieriger ist, ermöglicht ein Ausbau des Glasfasernetzes (möglichst mit FTTH) nicht nur höhere Übertragungsraten, sondern stellt auch einen erheblichen Sicherheitsgewinn dar (siehe aber [3]).

Die sicherste Möglichkeit, um sich vor einem Belauschen von VoIP-Telefonaten zu schützen, besteht jedoch darin, die Sprachdaten zu verschlüsseln. Im Rahmen der BSI-Studie gaben die befragten Provider durchgängig an, im Access-Netz eine Verschlüsselung mit SRTP, der verschlüsselten Version (S = Secure) des VoIP-Daten-Protokolls Real-Time-Transport-Protocol (RTP), sowie Transport-Layer-Security (TLS) für die Signalisierungsdaten (SIP) anzubieten (zu RTP und SIP siehe die Erläuterungen in [1]). De facto wurden diese Möglichkeiten jedoch nicht genutzt, da es bisher keine Home-Router gab, welche mit Verschlüsselung umgehen konnten. Dies änderte sich jedoch in den letzten Monaten, als verschiedene Router-Hersteller, darunter der deutsche Marktführer AVM, in einigen ihrer Produkte die Aktivierung von Verschlüsselung möglich machten (eine ausführliche Darstellung hierzu findet sich in [2]).

Damit haben Unternehmen und Privatpersonen nun prinzipiell die Möglichkeit, ihre Telefonate zu verschlüsseln. Allerdings besteht hierbei die Einschränkung, dass es sich nicht um eine Ende-zu-Ende-Verschlüsselung handelt, sondern verschlüsselt ist lediglich die Verbindung zwischen Endkunde und Provider über das Access-Netz. Bei Kabelnetzen als einem genuinen Broadcast-Medium (jeder angeschlossene Nutzer kann sowohl das Radio- und Fernsehsignal als auch die sonstigen übertragenen Daten empfangen) erfolgte eine Verschlüsselung des gesamten nichtöffentlichen Datenverkehrs (d. h. insbesondere auch der Telefonie) schon immer durch den Netzbetreiber.

Verfügbarkeit

Auch bei einem Stromausfall war im klassischen Festnetz das Telefonieren weiterhin möglich, da dieses über eine redundante Stromversorgung verfügte. Für das All-IP-Netz gilt dies nicht mehr: Fällt beim Kunden der Strom – und damit die Energieversorgung des Home-Routers – aus, so besteht keine Internet- und somit auch keine VoIP-Verbindung mehr. Aus diesem Grunde ist nun auch in Privathaushalten ratsam, was für jede Unternehmens-IT bereits eine Selbstverständlichkeit sein sollte: Durch eine sogenannte „unabhängige Stromversorgung“ (USV) lässt sich dafür sorgen, dass die Komponenten, welche die Internetverbindung aufrechterhalten (also insbesondere der Home-Router), im Notfall zumindest über eine gewisse Zeit (0,5 bis 2 Stunden) weiterhin mit Strom versorgt sind. Praktisch lässt sich eine USV für daheim zum Beispiel in Form einer Akku-gepufferten Steckdosenleiste realisieren, wie sie für um die 100 e im Handel erhältlich ist.

Leider ist die heimische USV zwar eine notwendige, jedoch nicht unbedingt hinreichende Voraussetzung dafür, dass dann im Notfall das Telefonieren über VoIP auch tatsächlich funktioniert. Von einem lokalen Stromausfall sind nämlich – zumindest die „outdoor“ in den Multifunktionsgehäusen an der Straße lokalisierten – MSANs ebenso betroffen wie die privaten Home-Router. Wie im Abschnitt über das Access-Netz ausgeführt, werden beim Einsatz von Vectoring diese aktiven Netzkomponenten in der Regel von der Deutschen Telekom betrieben. Da diese sich jedoch an der BSI-Studie nicht beteiligen wollte, konnten keine belastbaren Aussagen über Art und Dauer einer Notstromversorgung der MSANs erhoben werden. Ob und inwieweit hier mobile Lösungen (Handy oder VoLTE), auf die seitens der Provider gerne als Rückfallposition für Notfälle verwiesen wird, tatsächlich eine zuverlässige Alternative bieten, bleibt mangels verlässlicher Informationen hinsichtlich der Notstromversorgung von Mobilfunkmasten ebenfalls offen.

Eine gegenüber der klassischen Telefonie neue Art von Angriffen auf die Verfügbarkeit, welche sich durch die Einführung von VoIP ergeben hat, sind Denial-of-Service-Attacken wie DoS, DDoS und TDoS (Telephony-DoS). Da nun Sprache- und Datenübertragung an eine über das Internet erreichbare IP-Adresse gekoppelt sind, lässt sich durch ein Fluten dieser Adresse mit (sinnlosen) IP- oder SIP-Paketen der entsprechende Anschluss lahmlegen. Teilweise schützen die befragten Provider ihre Kunden hiervor, indem sie die Kunden-IP-Adresspools in die DDoS-Protection ihres eigenen Kernnetzes integrieren oder bei massenhaften Anrufen als TDoS den Verursacher für eine gewisse Zeit blockieren.

Authentizität

Angriffe wie TDoS sind hauptsächlich deshalb so leicht möglich, weil es bei VoIP dem Anrufenden (A-Teilnehmer) im Prinzip möglich ist, dem Angerufenen (B-Teilnehmer) eine beliebige Rufnummer (User-Provided Number, UPN) anzeigen zu lassen und so seine wahre Identität zu verschleiern. Im gewerblichen Umfeld wird dies – in legitimer Weise – häufig genutzt, damit zum Beispiel Anrufe von Außendienstmitarbeitern eines Unternehmens dem Kunden stets unter der Rufnummer der Firmenzentrale angezeigt werden.

Dieses bereits bei ISDN vorhandene Leistungsmerkmal (CLIP No Screening) kann jedoch auch in Form des sogenannten Call-ID-Spoofings missbraucht werden. So wurden kürzlich zum Beispiel zahlreiche Mitarbeiter in den Filialen einer großen Lebensmittelkette aufgefordert, die Codenummern von Shopping-Karten telefonisch durchzugeben. Wegen des bestimmten Auftretens der Anrufer einerseits, aber vor allem wegen der im Display korrekt angezeigten Rufnummer der Firmenzentrale, fielen die meisten Mitarbeiter auf diesen als „Chef-Masche“ bekannten Trick herein.

In Deutschland dürfen gemäß § 66 k Telekommunikationsgesetz (TKG) nur solche UPNs übermittelt werden, für die der A-Teilnehmer auch ein Nutzungsrecht besitzt (wie z. B. der Außendienstmitarbeiter für die Nummer seiner Unternehmenszentrale). Da bei jedem Anruf neben der frei wählbaren UPN auch eine vom jeweiligen Netzbetreiber des A-Teilnehmers vergebene, nicht änderbare „Network-Provided Number“ (NPN) übermittelt wird, kann ein Missbrauch der UPN – zumindest in ähnlich zum TKG „regulierten Netzen“– stets zum Urheber zurückverfolgt werden. Allerdings gibt es zahlreiche Länder ohne vergleichbare Regulierung der Netze: Dort ist es Kriminellen möglich, auch die NPN zu manipulieren, sodass ein Anruf mit gespoofter Call-ID in solchen Fällen kaum zurückzuverfolgen ist.

Aus Sicht von Unternehmen, wie der oben erwähnten Lebensmittelkette, gibt es neben Maßnahmen zur  Sensibilisierung der Mitarbeiter jedoch auch technische Möglichkeiten, um sich gegen Call-ID-Spoofing zu schützen. Dazu gehört es beispielsweise, die Telefonanlage so zu programmieren, dass Anrufe von außerhalb des Firmennetzes mit einer internen UPN prinzipiell geblockt werden.

Fazit

In seiner aktuellen Form – mit einer Mischstruktur aus alter Kupferverkabelung und moderner Lichtwellentechnik im Access-Bereich – kann das Next-Generation-Netz nur eine Übergangslösung sein. Gegen – zumindest in Form und Ausmaß – neue Bedrohungen wie DoS, TDoS, Call-ID-Spoofing und so weiter, die sich aus der Umstellung der Telefonie auf IP-vermittelte Datenübertragung ergeben, müssen Maßnahmen sowohl seitens der Netzbetreiber als auch der Endkunden selbst ergriffen werden. Hierzu gehört, die Telefonanlagen von Unternehmen wie auch private Home-Router sicher zu konfigurieren und auf dem aktuellen Firmware-Stand zu halten. Wer auf Vertraulichkeit Wert legt, kann neue Möglichkeiten zur Verschlüsselung beim Telefonieren nutzen. Gegen Einschränkungen der Verfügbarkeit bei Stromausfall sollten sowohl private Endnutzer als auch Unternehmen ihre IT mit einer unabhängigen Stromversorgung (USV) absichern.

Literatur
[1] Herbert Blum, Sicherheit von Voice over IP, Teil 1: VoIP-Netze, <kes> 2020#6, S. 32
[2] Alexander Traud, Chiffriert fernsprechen, c‘t 2020/22, S. 18, www.heise.de/select/ct/2020/22/2024813031952762734
[3] Thomas Meier, Gläserne Leitung, Glasfaser-Netzwerke sind verletzlicher als oft gedacht, <kes> 2007 #6, S. 14, online verfügbar auf http://previous.kes.info/archiv/online/07-6-014.htm

Diesen Beitrag teilen: