M 4.290 Anforderungen an ein Sicherheitsgateway für den Einsatz von VoIP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Wird ein IP-Datennetz für VoIP genutzt, ergeben sich zusätzliche Anforderungen, insbesondere auch an die Sicherheit des Netzes. Oftmals ist die strikte Trennung von Sprach- und Datennetzen nicht möglich, da beispielsweise Softphones von Arbeitsplatzrechnern aus dem Datennetz auf den VoIP-Server im Sprachnetz zugreifen, Groupware-Clients das direkte Wählen von Rufnummern gespeicherter Kontakte aus der Applikation ermöglichen oder VoIP-Server mit Verzeichnisdiensten, wie LDAP (Lightweight Directory Access Protocol) gekoppelt werden. Hinzu kommt eventuell die Vernetzung geografisch getrennter Behörden-, Unternehmens- bzw. Organisationsstandorte, die beispielsweise einen zentralen VoIP-Server für die organisationsweite Kommunikation verwenden und gleichzeitig diese Verbindung für den Austausch von Daten nutzen.

Ein Sicherheitsgateway soll ein internes, sicheres System vor unberechtigten Zugriffen aus einem unsicheren Netz schützen und gleichzeitig berechtigte Zugriffe zu den geschützten Bereichen zulassen. Was als sicheres bzw. unsicheres Netz gilt, welche Ressourcen schützenswert sind und wie sie zu schützen sind, wird in den Sicherheitsrichtlinien der Organisation festgelegt (siehe hierzu auch B 3.301 Sicherheitsgateway (Firewall) ).

Bei der Planung der VoIP-Nutzung sollte überprüft werden, ob das bestehende Sicherheitsgateway für den Einsatz von VoIP angepasst werden kann. Anderenfalls muss ein zusätzliches Sicherheitsgateway hierfür beschafft und installiert werden.

Auswahl und Anforderungen an ein Sicherheitsgateway

Die Leistungsfähigkeit des eingesetzten Sicherheitsgateways bei der Nutzung von VoIP beeinflusst nicht nur den Schutz, sondern auch die Qualität der übertragenen Sprache. Durch die Verarbeitung vieler kleiner Datenpakete, die bei VoIP üblich sind, wird das Sicherheitsgateway stark belastet, wodurch Delay und Jitter der übertragenen Sprachsignale direkt beeinflusst werden.

Werden Signalisierungs- und Sprachdaten über das Sicherheitsgateway hinaus geleitet, sollte ein VoIP-fähiges Sicherheitsgateway verwendet werden, das in der Lage ist, die verwendeten Signalisierungsprotokolle mit dem gesamten Rufauf- und -abbau zu analysieren und die jeweiligen Zustände zu speichern. Anhand der Protokolldaten (z. B. die zu verwendenden UDP-Ports für die mit RTP übertragenen Sprachdaten) werden die benötigten Ports für die Dauer der Kommunikation geöffnet.

Im Weiterem hängt die Auswahl des richtigen Systems von den folgenden Faktoren ab:

Konzeption eines Sicherheitsgateways

Unabhängig davon, ob ein bestehendes Sicherheitsgateway für die Nutzung von VoIP verändert oder ob ein neues System beschafft werden soll, kann es aus folgenden Komponenten bestehen:

Vergleicht man zustandslose Paketfilter, zustandsorientierte Paketfilter und ALGs miteinander, so empfiehlt es sich aufgrund der Vorteile möglichst ein ALG einzusetzen. Um eingehenden RTP-Verkehr zu ermöglichen, müssen zustandslose und zustandsorientierte Sicherheitsgateways große Portbereiche dauerhaft öffnen, damit RTP-Pakete mit Sprachdaten durchgelassen werden können. Eine solche Konfiguration stellt ein erhebliches Sicherheitsrisiko dar.

Application Level Gateways hingegen öffnen nur die tatsächlich benötigten Ports für die Dauer der Kommunikation und bieten daher weniger potentielle Angriffsmöglichkeiten.

Die Verwendung von Protokollen wie IAX (InterAsterisk eXchange) erleichtert die Konzeption des Sicherheitsgateways. Da hierbei sowohl die Signalisierungs- und die Medientransportinformationen über einen Nachrichtenstrom übertragen werden, wird nur ein festgelegter Port benötigt. Aufgrund der fehlenden Portaushandlung müssen keine dynamischen Portfilterungen durchgeführt werden.

Konfiguration eines Sicherheitsgateways

Die bei der Nutzung von VoIP eingesetzten Sicherheitsgateways unterscheiden sich kaum von klassischen Sicherheitsgateways. Für deren Aufbau und sicheren Betrieb sind die im Baustein B 3.301 Sicherheitsgateway (Firewall) beschriebenen Maßnahmen umzusetzen.

Die VoIP-spezifischen Einstellungen müssen analog zu den Maßnahmen aus diesem Baustein vorgenommen werden, wie diese konkret umzusetzen sind, ist der Dokumentation des eingesetzten Produktes zu entnehmen.

Prüffragen: