Sicherheitslösungen für SIP, Teil 2

Regularien und SIP-Datenaustausch

Industriezweige, die am stärksten von den technischen und kommerziellen Vorteilen von SIP-Diensten profitieren, gehören zu den Früheinsteigern in die Technologie. Dazu zählen Firmen und Abteilungen mit hohem Telefonaufkommen, wie beispielsweise Finanzinstitute oder Callcenter. Auch Letztere müssen sich mit gesetzlichen Auflagen beschäftigen. So gilt in den USA beispielsweise der „Gramm-Leach-Bliley Act“, der Firmen unter anderem dazu zwingt, bei einem Bruch der Sicherheit jeden potenziell betroffenen Benutzer zu informieren. Allein diese Bestimmung sollte Anreiz genug sein, weit reichende Sicherheitsmaßnahmen zu ergreifen.

Angriffsvektoren

Für gewöhnlich werden SIP-basierte Applikationen als Bestandteil einer ganzen Anwendungsumgebung implementiert und eingeführt, da SIP zunächst die Integration von Sprachkommunikation und E-Mail ermöglicht, und im Folgenden Zusatzdienste wie Instant Messaging. Dazu kommt noch die Option, ortsunabhängig erreichbar zu sein.

Das bedeutet aber auch, dass Angriffe auf SIP-Komponenten nicht zwangsläufig über das SIP-Protokoll erfolgen müssen, der Angriff kann durchaus von einer E-Mail mit schädlichem Inhalt ausgehen. Ebenso ist die Gegenrichtung denkbar, also die Übermittlung von Schadcode via SIP, um E-Mail-Systeme oder andere Netzwerkkomponenten anzugreifen. Der Angriffsvektor und das Ziel des Angriffs müssen also nicht zwangsläufig identisch sein.

Integrierte Messaging-Applikationen, wie beispielsweise der Live Communications Server von Microsoft, ziehen eine Reihe ähnlicher Dienste zusammen, die jedoch über komplett verschiedene Mechanismen zur Auslieferung verfügen. Hier steigt das Risiko von applikationsübergreifenden Angriffen massiv an.

Insgesamt lässt sich feststellen, dass man SIP-Sicherheit nicht isoliert betrachten darf. Jegliche Sicherheitslösung muss in ein Konzept eingebettet sein, das alle Komponenten einer integrierten Messaging-Applikation adressiert.