Sicherheitslösungen für SIP, Teil 2
Die Notwendigkeit von SIP-Sicherheit
Wie bei jeder Netzwerkapplikation müssen auch die Benutzer von SIP-Applikationen vor bekannten Schwachstellen geschützt werden. Zwei Aspekte machen hierbei eine gut durchdachte Sicherheitslösung unabdingbar. Der erste bezieht sich auf das Design von SIP und die Art und Weise, wie es sich aus traditionellen Telekommunikationskonzepten heraus entwickelt hat. Der zweite beruht auf der Einhaltung gesetzlicher Regularien auf Grund der über SIP vermittelten Daten.
SIP-Design
Wie schon beschrieben, dient SIP der Verwaltung von Kommunikation. Wenn SIP beispielsweise in einer VoIP-Applikation zum Einsatz kommt, übernimmt es dieselbe Rolle, die das Protokoll SS7 in der traditionellen Telefonie innehat. Das Signalisierungssystem 7 ist eine Architektur, die den Aufbau, die Weiterleitung, die Abrechnung und den Informationsaustausch des öffentlichen, vermittelten Telefonnetzes unterstützt.
Dies entspricht den Funktionen von SIP, der Unterschied liegt allerdings in der Art und Weise, wie sie implementiert sind, und in ihrer Sichtbarkeit. Bei SS7 handelt es sich um ein Protokoll, das über geschlossene Verbindungen zwischen Vermittlungsstellen übertragen wird. Der Benutzer sieht es nicht und kann es nicht beeinflussen. Tatsächlich haben die meisten Benutzer noch nie etwas von SS7 gehört, obwohl sie es täglich nutzen.
SS7 kommt gar nicht am Endgerät des Benutzers an. Somit benötigt ein Angreifer schon detailliertes Wissen, eine spezielle Ausrüstung und physischen Zugriff auf geschützte Teile des Telefonnetzwerks, um SS7 anzugreifen und normale Telefongespräche zu beeinflussen.
SIP dagegen ist auf der Internet-Applikationsebene implementiert, obwohl es eine sehr grundlegende Funktion erfüllt, nämlich den Aufbau von Verbindungen. Zudem erreicht es das Endgerät und wird für gewöhnlich im Klartext übertragen. Somit kann praktisch jeder Benutzer mit einem handelsüblichen Computer das SIP-Protokoll überwachen oder gar stören.
Die Tatsache, dass essenzielle Funktionen wie „der Aufbau, die Weiterleitung, die Abrechnung und der Informationsaustausch“ derart exponiert sind, erzwingt gesonderte Sicherheitsmaßnahmen in allen SIP-Implementationen.