Bundesamt für Sicherheit in der Informationstechnik

G 4.59 Nicht-Erreichbarkeit bei VoIP durch NAT

Über seine IP-Adresse kann ein Rechner im Internet eindeutig angesprochen werden. Bei dem zur Zeit hauptsächlich verwendeten Internet Protocol in der Version 4 (IPv4) setzt sich die IP-Adresse aus vier Zahlen zwischen 0 und 255 zusammen, also zum Beispiel 194.95.176.226. Bei dem neueren Internet Protocol in der Version 6 (IPv6) besteht eine IP-Adresse aus acht vierstelligen hexadezimalen Zahlen, wie FEDC:BA98:7654:3210:FEDC:BA98:7654:3210. Ein großer Nachteil der Version 4 gegenüber der Version 6, die sich bisher noch nicht durchgesetzt hat, ist die geringe Anzahl von verfügbaren öffentlichen IP-Adressen. Nur sehr wenige Institutionen erhalten genug IP-Adressen, um jedem Arbeitsplatzrechner eine eigene, statische IP-Adresse zuweisen zu können. Durch Network Address Translation (NAT) kann dieses Problem behoben werden. Dabei benötigt nur das System, das sich zwischen dem öffentlichen und dem privaten Netz befindet, eine oder wenige öffentliche IP-Adressen. Die eigentlichen Arbeitsplatzrechner erhalten interne IP-Adressen, wobei von einer aktiven Netzkomponente (meistens ein NAT-Gateway) bei der Weiterleitung eines Paketes die interne in eine externe IP-Adresse umgewandelt wird.

Für den Medienstrom, der für die Übertragung der Sprachinformation benötigt wird, muss eine neue UDP- bzw. TCP-Verbindung aufgebaut werden. Die hierfür benötigten IP-Adressen und Portnummern werden in den Signalisierungsnachrichten übertragen. Durch NAT werden im UDP- bzw. TCP-Header des Medienstroms die Quell-IP-Adresse im IP-Header und die Quellportnummer modifiziert. Die Angaben über die Quell-IP-Adresse und die Portnummer im Nachrichtenteil der Signalisierungsnachricht bleiben unverändert.

In Folge können keine Medienströme an das VoIP-Telefon, das sich hinter einem NAT-Gateway befindet, gesendet werden. VoIP-Geräte, die sich im Internet befinden, können keinen Medienstrom zu einem hinter einem NAT-Gateway befindlichen VoIP-Telefon senden, da die private IP-Adresse nicht im Internet geroutet wird. Eine Sprachkommunikation ist somit zu VoIP-Geräten, die sich hinter einem NAT-Gateway befinden, weil eine sicherheitskritische Konfiguration erreicht werden soll, nicht möglich, obwohl bei der Signalisierung keine Fehler aufgetreten sind.

Eine Ausnahme bilden Protokolle wie beispielsweise IAX (InterAsterisk eXchange) oder Skype. Bei diesen Protokollen findet sowohl die Signalisierung als auch der Medientransport über eine bestehende Verbindung statt. Da keine zusätzlichen Verbindungen zu den Rechnern im privaten Netz aufgebaut werden müssen, treten die beschriebenen Probleme mit NAT bei dem Einsatz dieser Protokolle nicht auf. Da hiermit aber auch keine Kontrolle am Netzübergang mehr stattfindet, können dadurch andere Sicherheitsprobleme entstehen.

Um eine VoIP-Kommunikation über ein NAT-Gateway hinweg zu ermöglichen, kann der Medienstrom des NAT-Gateways zu den VoIP-Geräten statisch weitergeleitet werden. Dieser Lösungsansatz ist oft bei der Anbindung privater Kunden an SIP-Providern zu finden. Dies kann allerdings zu Problemen führen. Hier baut der Sender, der sich außerhalb des LANs befindet, eine Verbindung zu dem NAT-Gateway über eine reservierte Portnummer auf. Das NAT-Gateway leitet diese zu einem Endgerät, das der Portnummer zugeordnet ist, weiter. Dies setzt voraus, dass die Gesprächsteilnehmer die reservierten Portnummern kennen. Gravierender ist der Nachteil, dass auf die weitergeleiteten Ports der VoIP-Systeme hinter dem NAT-Gateway aus dem öffentlichen Datennetz zugegriffen werden kann.

Stand: Stand 2006