Die Sicherheitsexperten des X-Force-Teams von Internet Security Systems (ISS) deckten jetzt Schwachstellen in dem von Cisco Systems angebotenen Cisco Call Manager auf. Die Software stellt in VoIP-Installationen des Herstellers alle erforderlichen Sprach- sowie Datendienste bereit und übernimmt dabei Grundfunktionen wie Anrufsignalisierung oder Rufweiterleitung. Unternehmen, die ihre Infrastrukturen mit ISS-Produkten schützen, sind bereits per automatischem Update umfassend vor möglichen Angriffen auf ihr Telekommunikations-system geschützt. Sollten andere Sicherheitslösungen als die von ISS zum Einsatz kommen, ist der Abruf der von Cisco zu diesem Thema im Internet unter nachfolgendem Link veröffentlichten Informationen anzuraten:
http://www.cisco.com/....
Der komplette ISS X-Force-Bericht zu den entdeckten Schwachstellen ist im Internet unter der folgenden Adresse abrufbar: http://xforce.iss.net/....
Unzureichender Schutz kann schwere Folgen nach sich ziehen
Angreifer, welche die jetzt in VoIP-Infrastrukturen entdeckten Schwachstellen nutzen, können während eines kritischen Anrufverarbeitungsprozesses einen Heap Overflow auslösen und damit einerseits die Voraussetzung für Denial-of-Service-Attacken schaffen sowie andererseits einen vollständigen Ausfall von Call Servern verursachen. Dies ermöglicht ihnen zum einen, Anrufe umzuleiten oder abzuhören. Zum anderen können sie unberechtigten Zugang zum Netzwerk und mit VoIP-Produkten betriebenen Systemen erlangen. Die Beeinträchtigung des Betriebs von VoIP-Netzinfrastrukturen und -Systemen führt im schlimmsten Fall nicht nur zur Offenlegung vertraulicher Informationen. Ebenso ist mit Produktivitätseinbußen und weiteren Netzwerkgefährdungen zu rechnen.
Schutz von VoIP-Systemen wird stiefmütterlich behandelt
Voice-over-IP zählt derzeit zu den Technologien, denen Analysten hohe Wachstumsraten zusprechen. Gartner zu Folge soll es sich alleine in Nordamerika bei 97 Prozent der bis zum Jahr 2007 neu installierten Telefonsysteme um reine oder hybride VoIP-Produkte handeln. Durch den Einsatz dieser Lösungen können Unternehmen bestehende auf dem IP-Protokoll basierende Datennetzwerke anstelle herkömmlicher Telefonleitungen für die Kommunikation nutzen. Die auf diese Weise zu erzielenden Kosteneinsparungen sprechen dafür, dass sich VoIP mittel- bis langfristig in großem Stil am Markt durchsetzt.
Doch trotz der für den Anwender einfachen Handhabung verbergen sich hinter der neuen Technologie komplexe Protokolle, Anwendungen und Geräte, die nach einer umfassenden Absicherung verlangen. Aus diesem Grund warnt ISS schon jetzt nachdringlich vor möglichen Sicherheitsrisiken, die mit der Einführung von VoIP-Produkten einhergehen. Damit nimmt sich der Hersteller bereits heute einem Thema an, das von den meisten Unternehmen noch unterschätzt und von vielen im VoIP-Marktsegment aktiven Anbietern gerne verschwiegen wird.
Um auf VoIP-Systeme betreffende Sicherheitsrisiken hinzuweisen, veröffentlichte ISS kürzlich einen detaillierten Bericht. Dieser legt dar, wie sich VoIP-Infrastrukturen effizient absichern lassen. Ebenso finden Unternehmen hier zahlreiche Tipps zum Schutz ihrer Installationen. Das vollständige Dokument ist im Internet unter der folgenden Adresse abrufbar:
http://xforce.iss.net/....
Zitat
„Die Kommunikation über VoIP-Infrastrukturen ist inzwischen auch hierzulande keine Zukunftsmusik mehr. Immer mehr Unternehmen gehen dazu über, ihre bestehenden Umgebungen aufzurüsten oder komplett neue Systeme zu installieren. Dies ist nicht weiter verwunderlich, denn die Senkung der Telefongebühren und die Optimierung bestehender Kommunikationsinfrastrukturen sprechen für VoIP. Weitere Pluspunkte sind sicherlich in dem hohen Funktionsumfang bei gleichzeitig einfacherem Administrationsaufwand zu sehen. Doch VoIP-Informationen werden ebenso wie die Daten vieler weiterer unternehmensentscheidender Anwendungen über unterschiedliche Netzwerke und das öffentlich zugängliche Internet transportiert. Dementsprechend ist mit den gleichen Sicherheitsrisiken zu rechnen, denen auch andere einstmals neue Kommunikationsformen (zum Beispiel E-Mail) oder auch Datenbanken und Server ausgesetzt waren und sind.“
Jörg Lamprecht, Geschäftsführer der Internet Security Systems GmbH
http://www.cisco.com/....
Der komplette ISS X-Force-Bericht zu den entdeckten Schwachstellen ist im Internet unter der folgenden Adresse abrufbar: http://xforce.iss.net/....
Unzureichender Schutz kann schwere Folgen nach sich ziehen
Angreifer, welche die jetzt in VoIP-Infrastrukturen entdeckten Schwachstellen nutzen, können während eines kritischen Anrufverarbeitungsprozesses einen Heap Overflow auslösen und damit einerseits die Voraussetzung für Denial-of-Service-Attacken schaffen sowie andererseits einen vollständigen Ausfall von Call Servern verursachen. Dies ermöglicht ihnen zum einen, Anrufe umzuleiten oder abzuhören. Zum anderen können sie unberechtigten Zugang zum Netzwerk und mit VoIP-Produkten betriebenen Systemen erlangen. Die Beeinträchtigung des Betriebs von VoIP-Netzinfrastrukturen und -Systemen führt im schlimmsten Fall nicht nur zur Offenlegung vertraulicher Informationen. Ebenso ist mit Produktivitätseinbußen und weiteren Netzwerkgefährdungen zu rechnen.
Schutz von VoIP-Systemen wird stiefmütterlich behandelt
Voice-over-IP zählt derzeit zu den Technologien, denen Analysten hohe Wachstumsraten zusprechen. Gartner zu Folge soll es sich alleine in Nordamerika bei 97 Prozent der bis zum Jahr 2007 neu installierten Telefonsysteme um reine oder hybride VoIP-Produkte handeln. Durch den Einsatz dieser Lösungen können Unternehmen bestehende auf dem IP-Protokoll basierende Datennetzwerke anstelle herkömmlicher Telefonleitungen für die Kommunikation nutzen. Die auf diese Weise zu erzielenden Kosteneinsparungen sprechen dafür, dass sich VoIP mittel- bis langfristig in großem Stil am Markt durchsetzt.
Doch trotz der für den Anwender einfachen Handhabung verbergen sich hinter der neuen Technologie komplexe Protokolle, Anwendungen und Geräte, die nach einer umfassenden Absicherung verlangen. Aus diesem Grund warnt ISS schon jetzt nachdringlich vor möglichen Sicherheitsrisiken, die mit der Einführung von VoIP-Produkten einhergehen. Damit nimmt sich der Hersteller bereits heute einem Thema an, das von den meisten Unternehmen noch unterschätzt und von vielen im VoIP-Marktsegment aktiven Anbietern gerne verschwiegen wird.
Um auf VoIP-Systeme betreffende Sicherheitsrisiken hinzuweisen, veröffentlichte ISS kürzlich einen detaillierten Bericht. Dieser legt dar, wie sich VoIP-Infrastrukturen effizient absichern lassen. Ebenso finden Unternehmen hier zahlreiche Tipps zum Schutz ihrer Installationen. Das vollständige Dokument ist im Internet unter der folgenden Adresse abrufbar:
http://xforce.iss.net/....
Zitat
„Die Kommunikation über VoIP-Infrastrukturen ist inzwischen auch hierzulande keine Zukunftsmusik mehr. Immer mehr Unternehmen gehen dazu über, ihre bestehenden Umgebungen aufzurüsten oder komplett neue Systeme zu installieren. Dies ist nicht weiter verwunderlich, denn die Senkung der Telefongebühren und die Optimierung bestehender Kommunikationsinfrastrukturen sprechen für VoIP. Weitere Pluspunkte sind sicherlich in dem hohen Funktionsumfang bei gleichzeitig einfacherem Administrationsaufwand zu sehen. Doch VoIP-Informationen werden ebenso wie die Daten vieler weiterer unternehmensentscheidender Anwendungen über unterschiedliche Netzwerke und das öffentlich zugängliche Internet transportiert. Dementsprechend ist mit den gleichen Sicherheitsrisiken zu rechnen, denen auch andere einstmals neue Kommunikationsformen (zum Beispiel E-Mail) oder auch Datenbanken und Server ausgesetzt waren und sind.“
Jörg Lamprecht, Geschäftsführer der Internet Security Systems GmbH
