M 4.288 Sichere Administration von VoIP-Endgeräten
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Wie die VoIP-Middleware müssen auch die VoIP-Endgeräte zahlreiche Sicherheitsvorgaben erfüllen. Ein Unterschied zwischen den Sicherheitsmaßnahmen der Middleware besteht darin, wie diese sicher konfiguriert werden.
Vertrauenswürdige Firmware-Updates
Viele VoIP-Endgeräte bieten die Möglichkeit zum automatischen Update ihrer Firmware. Es muss sichergestellt werden, dass neue Firmware nur nach erfolgreicher Überprüfung der Authentizität und Integrität des Codes auf die Endgeräte aufgespielt wird. Falls der Hersteller für die Updates Prüfsummen zur Verfügung stellt oder die Update-Pakete digital signiert, müssen die Prüfsummen oder Signaturen vor der Installation überprüft werden. Stellt der Hersteller keine Prüfsummen bereit, muss sichergestellt sein, dass Updates nur über vertrauenswürdige Quellen bezogen werden.
Vertrauenswürdiges Konfigurieren und Digitale Zertifikate
Die meisten VoIP-Endgeräte bieten verschiedene Möglichkeiten zur Konfiguration. Beispiele hierfür sind die lokale Konfiguration am Endgerät, die Web-basierte Konfiguration durch Zugriff auf einen im Endgerät integrierten Webserver sowie die automatische Konfiguration durch "Ziehen" (Pull) der Konfiguration von einem http(s)- oder TFTP-Server.
Die lokale Konfiguration wird in der Praxis selten eingesetzt. Sie sollte mit einem Passwort geschützt sein. Falls sie nicht genutzt werden soll, sollte sie deaktiviert werden. Der Zugang zur Web-basierten Konfiguration sollte ebenfalls nur mit einem Passwort möglich sein und über eine gesicherte Verbindung, beispielsweise über SSL oder TLS, erfolgen. Ein zusätzlicher Schutz wird durch die Verwendung eines Client-Zertifikats zur Authentisierung der Clients erreicht.
Die automatische Konfiguration über einen TFTP-Server sollte nicht gewählt und stattdessen deaktiviert werden, da sie nicht ausreichend sicher ist. Insbesondere die automatische Auswahl eines TFTP-Servers während des DHCP-Bootvorganges bietet zahlreiche Angriffsmöglichkeiten.
Eine automatische Konfiguration sollte grundsätzlich über einen https-Server erfolgen. Der https-Server sollte sich mit einem Zertifikat authentisieren, das vom Endgerät vor dem Laden der Konfiguration überprüft werden kann. Üblicherweise wird das Server-Zertifikat bei der Erstinbetriebnahme manuell auf die Endgeräte installiert.
Sicherheitsfunktionalität
Viele VoIP-Telefone bieten die Möglichkeit zur passwortbasierten ein- oder mehrstufigen Zugangskontrolle (z. B. personenbezogenes Login oder Passwort für Amtsberechtigung). Es ist zu entscheiden, ob die Benutzer nur mit einer vorherigen Anmeldung das Telefon benutzen dürfen. Bei aktiviertem Passwortschutz sollten dann nur Notrufdienste zur Verfügung stehen. Um eine Nutzung durch unautorisierte Personen zu verhindern, müssen die Benutzer dann auch bei kurzfristiger Abwesenheit das Telefon sperren.
Sicherheitsfunktionalitäten, wie beispielsweise Anmeldepasswörter oder Passwörter für Amtsberechtigungen, müssen vor dem Produktiveinsatz ausführlich getestet werden, ob sie auch korrekt implementiert sind. Diese Authentisierungsmechanismen sollten von den Benutzern verwendet werden. Allerdings müssen sie über die Schwächen informiert werden. Anderenfalls besteht die Gefahr, dass nur eine Scheinsicherheit besteht.
Softphones werden in der Regel auf einem Standard-PC, der weitere Aufgaben erfüllt, betrieben. Dieser muss ebenfalls so administriert werden, dass er ein angemessenes IT-Sicherheitsniveau erreicht. Hierzu gehören beispielsweise auch Maßnahmen, dass das Mikrofon nicht durch Dritte aktiviert werden kann. Wird diese Anforderung nicht umgesetzt, könnte das Mikrofon durch einen Angreifer zum Abhören missbraucht werden.
Durch die umfangreiche Angriffsfläche, die komplexe Arbeitsplatzsysteme bieten können, dürfen bei einem hohen oder sehr hohen Schutzbedarf keine Softphones eingesetzt werden.
In der Dokumentation der Komponenten sind oft Informationen zu finden, welche weiteren Sicherheitsfunktionen unterstützt werden. Es ist zu dokumentieren, welche Sicherheitsfunktionen aktiviert wurden.
Ergänzende Kontrollfragen:
- Ist sichergestellt, dass Updates und Patches weder bei der Übertragung zwischen Hersteller und Kunden noch innerhalb des lokalen Datennetzes manipuliert werden können?
- Wurde, wenn möglich, überprüft, dass das Mikrofon bei einem Softphone nicht von Dritten aktiviert werden kann?
- Ist dokumentiert worden, welche Sicherheitsfunktionen die Endgeräte bieten und welche davon genutzt werden?