DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Abschied vom alten Telefon

So gelingt der sichere Umstieg auf Internet-Tele­fonie

Bis Ende 2018 möchte die Telekom alle alten ana­logen und ISDN-Anschlüsse auf Internet-basierte Netze umstellen (All-IP-Umstellung). Mit der Über­führung der her­kömm­lichen Anschlüsse in All-IP-Netze reihen sich Sprach­daten dann erstmals flä­chen­de­ckend in die Riege IP-basierter Anwen­dungen wie Email, Chat oder Surfen im Internet ein. Dies bringt viel­schichtige neue Anfor­de­rungen an die Netz­wer­kin­fra­struktur mit sich. Neben einem All-IP-fähigen Router und dem Vor­han­densein geeig­neter Qua­litäts-Mecha­nismen (Quality-of-Service, QoS), muss nicht zuletzt die Netz­werk­si­cherheit auf den Prüf­stand gestellt werden.

Welche Kom­po­nenten für moderne Kom­mu­ni­kation zusam­men­spielen

Grund­sätzlich spielen Fire­walls eine zen­trale Rolle, wenn es um die Absi­cherung von Netz­werken geht. Sie schützen das lokale Netz vor unbe­fugtem Zugriff, indem sie den durch­lau­fenden Verkehr über­wachen und regel­ba­sierend ent­scheiden, ob bestimmte Daten­pakete durch­ge­lassen werden.

Bei Sprach­pa­keten (Voice over IP, VoIP) gelangen Fire­walls jedoch an ihre Grenzen. Der Grund liegt darin, dass Sprach­da­ten­pakete (SIP-Pakete) die benutzten Ports dyna­misch aus­handeln und in den über­tra­genen Nutz­daten über­mitteln. Einfach alle Ports für VoIP und Mul­ti­media-Anwen­dungen „per se“ zu öffnen, ist keine gute Idee. So bieten alle VoIP-End­geräte als mit der Außenwelt ver­bundene „Mini-Rechner“ Zugang zum internen (Firmen-)Netz. Oder sie könnten – ent­spre­chend mani­pu­liert – leicht zum Abhören oder Mit­schneiden von Gesprächen, bei­spiels­weise durch ein von außen gesteu­ertes Akti­vieren der Mikrofone, miss­braucht werden. Um dieser Schwach­stelle ent­ge­gen­zu­wirken, ist eine saubere Trennung des (unsi­cheren) externen Internets vom (sicheren) internen Netz erfor­derlich. Hier­durch kommt eine für viele neue Kom­po­nente ins Spiel: der Session Border Con­troller.

Funk­ti­ons­weise

Ein „Session Border Con­troller“ (SBC) kon­trol­liert den Auf- und Abbau soge­nannter Sit­zungen („Ses­sions“) an der Netz­werk­grenze („Border“) (Abb.). Hoch­wertige, pro­fes­sio­nelle All-IP-Router verfügt bereits über einen inte­grierten SBC. Im Gegensatz zu einer Firewall ist ein SBC in der Lage, an der Netz­werk­grenze Echtzeit-SIP-Kom­mu­ni­kation im Bereich der Signa­li­sie­rungs­daten (Control Plane) bei­spiels­weise der Ruf­nummer und der Sprach- bezie­hungs­weise Medi­a­daten (Data Plane) zu unter­suchen. Er steuert den Aufbau, die Durch­führung und den Abbau von Tele­fo­naten und die dazu­ge­hö­rigen Daten­ströme bezüglich Signa­li­sierung und Medi­en­daten wie Sprache oder Video.

Als Proxy („Stell­ver­treter“) für SIP-Kom­mu­ni­kation ter­mi­niert ein SBC zunächst jede Session, also bei­spiels­weise einen extern ein­ge­henden Anruf, und setzt anschließend eine neue Session für das interne Gespräch auf. Bei diesem Vorgang werden Signa­li­sie­rungs­daten und Media Streams unter­sucht, vali­diert und gege­be­nen­falls trans­for­miert. Dabei kommen die Vor­teile eines SBCs in den Bereichen Sicherheit und Qua­lität zum Tragen:

Abb.: Funk­ti­ons­weise eines Session Border Con­trollers

Nur bekannte und unter­stützte Steue­rungs­be­fehle werden wei­ter­ge­leitet. Dabei bietet der SBC als Appli­ka­tions-Firewall Zugangs­schutz für Sprache, Video und Mul­ti­media. Er über­wacht erlaubte Ses­sions und ver­steckt ihren topo­lo­gi­schen Ursprung, wie bei­spiels­weise interne Adressen von Servern und Tele­fonen. Darüber hinaus schützt der SBC die Ver­trau­lichkeit von Echtzeit-Sprach­daten gegen Abhören, Mit­schneiden und Man-in-the-Middle-Attacken durch die optionale Ver­schlüs­selung per SRTP (Secure Real-Time Transport Pro­tocol). Wenn Telefone im internen Netz, am ISDN oder am Analog-Port einer TK-Anlage keine ver­schlüs­selte Sprach­te­le­fonie können, kann der SBC die Tele­fonie zur „Ver­mitt­lungs­stelle“ (Pro­vider) dennoch ver­schlüsseln und wieder ent­schlüsseln. So können VoIP-Daten selbst dann ver­schlüsselt werde, wenn es die Telefone nicht können. Vor­aus­setzung hierfür ist jedoch, dass die Gegen­stelle – bei­spiels­weise ein SBC auf Pro­vi­der­seite – die so ver­schlüs­selten Pakete wieder ent­schlüsseln kann. Ebenso werden aus­ge­hende Signa­li­sie­rungs­daten im SIPS (Session Initiation Pro­tocol Secure) ver­schlüsselt und bei Eingang ent­spre­chend ent­schlüsselt.

Ende-zu Ende-Ver­schlüs­selung?

Auf diese Weise wird aller­dings nur die Ver­bindung zwi­schen Anrufer und dem Pro­vider ver­schlüsselt. Um eine durch­gängige Ver­schlüs­selung zwi­schen beiden Teil­nehmern zu erreichen, sollten sie idea­ler­weise beim gleichen Pro­vider regis­triert sein. Dies gewähr­leistet aber nicht eine durch­gängige Ende-zu-Ende-Ver­schlüs­selung. Der Grund ist poli­tisch: In den meisten Ländern muss der SBC des Pro­viders die Daten ent­schlüsseln können um Sicher­heits­be­hörden gege­be­nen­falls Zugriff auf den durch­ge­lei­teten Daten­verkehr geben zu können.

Eine durch­gängige Ver­schlüs­selung lässt sich somit nur durch eine direkte, ver­schlüs­selte Ver­bindung zwi­schen den Session Border Con­trollern der Gesprächs­teil­nehmer, bei­spiels­weise mit einem Vir­tu­ellen Pri­vaten Netzwerk (VPN-Tunnel), erreichen. Vor­aus­setzung ist aller­dings eine garan­tierte Backdoor-Freiheit der ver­wen­deten Pro­dukte. Spe­zielle Software auf mobilen Geräten bietet eben­falls Mög­lich­keiten zur durch­gän­gigen Ende-zu-Ende-Ver­schlüs­selung.

Ein Kommentar zu So gelingt der sichere Umstieg auf Internet-Telefonie

  • Thomas_M sagt:

    Ein span­nender Ein­blick, der mir viele neue Hin­ter­grund­in­for­ma­tionen liefert. So kann ich jetzt ein Grund­ver­ständnis für Absi­che­rungs­me­cha­nismen ent­wi­ckeln. Ich ver­traue grund­sätzlich den Anbietern und Her­stellern von VoIP Anlagen [werb­licher Hinweis und externe Ver­linkung ent­fernt Anm. Redaktion]. Dennoch ist es gut zu wissen wie genau die Über­tragung und Abischerung im Detail funk­tio­niert. Besonders wichtig finde ich, dass Tele­fonate über VoIP die Firewall sehr stark bean­spruchen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Eckhart Traber, LANCOM Systems

Eckhart Traber beschäftigt sich seit 1985 mit Com­putern und Netz­werken. Nach unter­schied­lichen Berufs­sta­tionen war der stu­dierte Elektro-Inge­nieur von 1995 bis 2000 als Redakteur und Test­labor-Leiter beim Fach­ma­gazin „PC Pro­fes­sionell“ tätig. Danach wurde er Pres­se­sprecher bei der ELSA AG und ist seit der Gründung der LANCOM Systems GmbH in 2002 als Pres­se­sprecher für den Netz­werk­her­steller tätig. Er ist Autor zahl­reicher Fach­ar­tikel.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.