Warum die Unternehmens-Firewall oft nicht vor Cyber-Attacken auf Telefonanlagen schützt?
Kurz gesagt: Ein Session Border Controller ist die Antwort. Eine dedizierte SIP Application Firewall, welche explizit zur Absicherung IP-basierter Sprachübertragung im öffentlichen Internet dient. Der Einsatz von Firewalls für den Datenverkehr in Unternehmen ist selbstverständlich - die Absicherung der Anwendung „Sprachkommunikation“ bisher (leider) noch nicht. Anbei drei wichtige Punkte, die sie dabei im Blick behalten sollten.
Empfehlung des Bundesamts für Sicherheit in der Informationstechnik
Die Kommunikation mit dem öffentlichen Fernsprechnetz läuft grundsätzlich über SIP-Trunks. Für die Absicherung dieser Verbindung empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz eines Session Border Controllers, um eine sichere Trennung der Netze zwischen Provider und Kunde herzustellen.
Das für die VoIP Kommunikation verwendet SIP-Protokoll ist inzwischen knapp 20 Jahre alt. Es ist ähnlich aufgebaut wie das Hypertext Transfer Protocol (http). Die Kommunikation zwischen dem Kundennetz und dem Provider erfolgt in der Regel unverschlüsselt. Eine sichere Anmeldung und Verwaltung der Verbindung zwischen dem „firmen-internen“ und „externen-öffentlichen“ Netzen ist unabdingbar.
Dringend zu empfehlen ist auch die Verschlüsselung für Signalisierung (SIP Pakete) und die eigentlichen Sprachdaten (RTP). Über den SBC kann man auch Telefonanlagen absichern, die keine Möglichkeit zur Verschlüsselung bereitstellen. Angriffe, die insbesondere auf das Session Initiation Protocol (SIP) abzielen, das heißt auf die Sprachkommunikation, sind leider keine Seltenheit.
Appliance oder Virtualisierung
Alternativ zur Vor-Ort Appliance können Kunden – die Wert auf zentrale Cloud-Services, mit Flexibilität und Skalierbarkeit legen – selbstverständlich ein SBC-Deployment z. B. in der Microsoft Azure Cloud aufsetzen. Der SIP Trunk wird dabei zentral terminiert und über die Azure Cloud werden Infrastructure as a Service (IaaS) Komponenten bereitgestellt. Eine Rufnummern-Aufteilung und Anschaltung an verschiedene lokale TK-Anlagen kann sichergestellt werden. Stabilität und Verfügbarkeit, sowie die Sprachübertragung in Echtzeit über die Azure Cloud ist bereits gelebte Praxis.
Anbindung von Microsoft Teams an das öffentliche Fernsprechnetz
Im Zuge der Verbreitung von Microsoft Teams haben Session Border Controller noch eine weitere wichtige Aufgabe bekommen. Durch die Funktion Microsoft Direct Routing können Teams Anwender eine Verbindung mit dem öffentlichen Fernsprechnetz aufbauen. Für die sichere Anbindung an die Microsoft 365 Cloud werden von Microsoft zertifizierte SBCs eingesetzt, die eine Kompatibilität zum SIP Provider herstellen.
Ein komplettes Cloud-Szenario: Firmenrufnummer per SIP Trunk – Aufteilung von Nebenstellen und Rufnummernhaushalt via SBC – und Telefonieren mit Microsoft Teams ist bereits in vielen Kundenprojekten umgesetzt.
Security & Update Services
Wie bei allen IT-Produkten empfiehlt es sich, einen regelmäßigen Security & Update Services für den SBC aufzusetzen. Ob Security Advisories, Minor- oder Major Releases – durch Managed Services wird proaktiv auf neue Updates geprüft und diese in das System eingespielt. Damit werden die Grundsätze des IT-Sicherheitsgesetzes V2.0 regelmäßig und zuverlässig ausgeführt. Das System ist dadurch immer auf dem aktuellen vom Hersteller empfohlenen Security-Patch-Level Stand (was übrigens bei einer Regelung im Schadensfall mit ihrer Cyber-Versicherung zwingend notwendig ist).
Bildnachweis: ©insta_photos
Kommentare