M 2.376 Trennung des Daten- und VoIP-Netzes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Haustechnik, Leiter IT

Verantwortlich für Umsetzung: Administrator, Haustechnik, Leiter IT

IP-Telefonie ermöglicht das Telefonieren über existierende IP-Datennetze. Jedoch können zur Erhöhung von Skalierbarkeit, Dienstqualität (QoS), Administrierbarkeit und Sicherheit die Datennetze von den Sprachnetzen auch logisch getrennt werden. Es muss überprüft werden, ob eine Trennung von Daten- und VoIP-Netz erforderlich ist. Eine Trennung ist sinnvoll, wenn Daten- und VoIP-Netz einen unterschiedlichen Schutzbedarf haben.

Trennung der Netze über VLANs

Lokale Netze können physikalisch durch aktive Netzkomponenten oder logisch durch eine entsprechende VLAN-Konfiguration, also über virtuelle lokale Netze (Virtual Local Area Networks), segmentiert werden. Eine logische Trennung kann mit VLAN-Technologie auf der Ebene 2 mit VLAN-fähigen Switches aufgebaut werden (siehe auch M 2.277 Funktionsweise eines Switches). VLANs alleine bieten jedoch keinen Schutz vor Angreifern, die sich mit ihrem IT-System (PC, Laptop oder Server) physikalisch an ein VLAN anschließen. Da die Netzdose, also der VLAN-Port, des Telefons jedem unmittelbar zugänglich ist, könnte ein Angreifer direkt die Telefone im VLAN angreifen, indem er z. B. anstatt eines Telefons seinen PC mit dem VLAN verbindet.

Aus diesem Grunde sollten weitere, über die logische Netztrennung hinausgehende Maßnahmen getroffen werden, um derartigen Angriffe zu begegnen.

Physikalische Trennung der Netze

Bei erhöhten Sicherheitsanforderungen kann eine komplette physikalische Trennung des Sprachnetzes vom Datennetz sinnvoll sein. Die physikalische Trennung von Daten- und Sprachnetzen verringert deutlich die Angriffsmöglichkeiten. Außerdem kann bei dem Ausfall eines Netzes, beispielsweise durch den Ausfall der aktiven Netzkomponenten oder einem Kabelbruch, weiterhin über das verbleibende Netz kommuniziert werden. Durch die Trennung hat die Auslastung des Datennetzes keinen Einfluss auf die Auslastung des Sprachnetzes.

Probleme einer Trennung

Bei einer konsequenten Trennung des VoIP-Netzes vom IP-Datennetz können in der Praxis allerdings anderswo zusätzliche Aufwände entstehen:

Diese Probleme können aber durch entsprechende Gateways zwischen dem Daten- und Sprachnetz gelöst werden. Für viele Dienste könnte ein Proxy-Server im Sprachnetz betrieben werden, von dem die Anfragen aus dem Sprachnetz in das Datennetz weitergeleitet werden.

Schutz der Ports

Sollen Hardphones oder andere VoIP-Endgeräte, über die nur telefoniert werden soll, eingesetzt werden, ist darauf zu achten, dass von den Netzanschlüssen, mit denen diese Geräte verbunden sind, ausschließlich die vorgesehen VoIP-Verbindungen aufgebaut werden können. Anderenfalls könnte ein Angreifer ein mobiles IT-System an die Netzdose für das TK-Endgerät anschließen und Zugriff auf nicht für ihn bestimmte Informationen und Dienste erhalten. Ein Beispiel hierfür ist ein Telefon in einer nicht dauerhaft beaufsichtigten Umgebung, wie einer Tiefgarage. Dieser Schutz kann durch entsprechende Filterregeln an den aktiven Netzkomponenten erfolgen.

Je nach Schutzbedarf können zusätzliche Maßnahmen, wie Authentisierung nach IEEE 802.1X, eingesetzt werden, um einen sichereren Betrieb zu gewährleisten. Es muss aber berücksichtigt werden, dass eine dynamische oder statische Zuordnung der MAC-Adresse zu einem (Switch) Port oder einer VLAN-Zugriffsliste keinen ausreichenden Schutz darstellt, da MAC-Adressen leicht gefälscht werden können.

Prüffragen: