Bundesamt für Sicherheit in der Informationstechnik

G 4.57 Störungen beim Einsatz von VoIP über VPNs

Für ein Telefonat über VoIP werden sowohl die Signalisierungsinformationen als auch der eigentliche Medienstrom über ein Datennetz gesendet. Für die Transportsicherung dieser Daten auf Protokollebene gibt es Schutzmechanismen, die jedoch nicht von allen Herstellern und Geräten unterstützt werden. Das Verfahren zum Schutz der eigentlichen Sprachkommunikation wird in der Regel von den Endgeräten ausgehandelt. Hierfür kann beispielsweise das Secure Realtime Transport Protocol (SRTP) verwendet werden.

Unterstützen nicht alle Geräte verschlüsselte Protokolle und sollen Gespräche über unsichere Netze übertragen werden, können Virtual Private Networks (VPNs) diesen Schutz gewährleisten. VPNs werden in der Praxis zur Einbindung von einzelnen Mitarbeitern oder zum Zusammenschluss ganzer Netze über ein öffentliches Netz genutzt. Beim Einsatz von VPNs werden ausgewählte oder alle Pakete von einem VPN-Gateway verschlüsselt und je nach Routing-Tabelle an ein entferntes VPN-Gateway übermittelt. Dieses entschlüsselt das Paket und übermittelt es an den Empfänger. Dadurch wird außerdem erreicht, dass sich Sender und Empfänger im gleichen Subnetz befinden, obwohl sie mehrere hundert Kilometer voneinander entfernt sein können.

Durch den Einsatz eines VPNs können sowohl der Signalisierungs- und Medienstrom von VoIP als auch alle weiteren Informationen, wie beispielsweise E-Mails, geschützt werden. Einige Hardphones unterstützen VPNs direkt. Wird ein verschlüsseltes Medientransportprotokoll, wie zum Beispiel SRTP, verwendet, ist es ausreichend, wenn nur der Signalisierungsstrom durch das VPN geschützt wird.

Der Einsatz von VPNs in Verbindung mit VoIP führt jedoch häufig zu Problemen.

Bei Netzen, die neben VoIP-Daten auch andere Informationen übertragen, werden an den Routern und Switches oft VoIP-Nachrichten bevorzugt weitergeleitet. Durch dieses Vorgehen sollen Qualitätsstörungen, wie Aussetzer oder Jitter, vermieden werden. Obwohl hierfür bei IPv4 ein eigenes Feld im IP-Header vorgesehen ist (Type of Service), wird es in der Praxis häufig nicht verwendet. Stattdessen priorisieren die Router die Pakete an Hand ihres Inhalts. Bei einer Verschlüsselung des Inhalts ist dies aber nicht mehr möglich. Als Folge kann es bei der Übertragung von VoIP über VPNs vermehrt zu Störungen der Übertragungsqualität kommen, wenn das Netz zu stark ausgelastet ist.

Die Verwendung von Hiding NAT (Network Address Translation oder Masquerading) kann ebenfalls zu Problemen führen. Im Gegensatz zu statischen NAT wird nicht jeder internen IP-Adresse genau eine öffentliche IP-Adresse zugeordnet, sondern mehrere interne Adressen können eine öffentliche IP-Adresse parallel nutzen. Für dieses Verfahren müssen nicht nur die internen IP-Adressen, sondern auch die Portnummern im IP-Paket durch das NAT-Gateway geändert werden. Diese Änderungen führen dazu, dass die vom VPN-Gateway erzeugte Prüfsumme nicht mehr zu dem neuen Paket passt. Wird die gesamte IP-Nutzlast verschlüsselt, kann dies auch zu Problemen führen.

Pakete, die zur Übermittlung von VoIP-Inhalten genutzt werden, sind meist sehr klein. Würde mit der Übermittlung gewartet werden, bis sich eine bestimmte Anzahl von Bytes angesammelt haben, könnte eine zu große Verzögerung bei der Übertragung entstehen. So ist die eigentliche Nutzlast der IP-Pakete in der Regel zwischen 10 und 40 Bytes groß. Sollen die IP-Pakete durch ein VPN geschützt werden, kommt zusätzlich ein VPN-Header hinzu. Bei IP-Paketen mit einem geringen Umfang stellen die hinzukommenden VPN-Informationen einen signifikanten Overhead dar. Als Folge ergibt sich durch die Aktivierung der VPN-Absicherung eine deutliche Erhöhung des VoIP-Datenaufkommens. Dies kann zu einer Überlastung des LANs oder des WANs führen.

Auch die Ver- und Entschlüsselung der übertragenen Informationen benötigen Ressourcen. Ist das System, dass die Ver- oder Entschlüsselung vornimmt, schwach dimensioniert, kann an dieser Stelle ebenfalls eine Verzögerung in der Übertragung auftreten. Eine solche Erhöhung der Latenzzeit kann zu Aussetzern oder anderen Qualitätsproblemen führen.

Viele Verschlüsselungsarchitekturen für VPN nutzen X.509-Zertifikate oder Pre-Shared-Secrets. Besonders für die zertifikatsbasierte Lösung setzen viele Hersteller derzeit auf proprietäre Ansätze, die untereinander nicht kompatibel sind. Wenn VoIP-Verbindungen zu externen Partnern aufgebaut werden sollen, kann mit diesen daher nicht oder nicht verschlüsselt telefoniert werden.

Stand: Stand 2006

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK