Bundesamt für Sicherheit in der Informationstechnik

M 2.376 Trennung des Daten- und VoIP-Netzes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Haustechnik, Leiter IT

Verantwortlich für Umsetzung: Administrator, Haustechnik, Leiter IT

IP-Telefonie ermöglicht das Telefonieren über existierende IP-Datennetze. Jedoch können zur Erhöhung von Skalierbarkeit, Dienstqualität (QoS), Administrierbarkeit und Sicherheit die Datennetze von den Sprachnetzen auch logisch getrennt werden. Es muss überprüft werden, ob eine Trennung von Daten- und VoIP-Netz erforderlich ist. Eine Trennung ist sinnvoll, wenn Daten- und VoIP-Netz einen unterschiedlichen Schutzbedarf haben.

Trennung der Netze über VLANs

Lokale Netze können physikalisch durch aktive Netzkomponenten oder logisch durch eine entsprechende VLAN-Konfiguration, also über virtuelle lokale Netze (Virtual Local Area Networks), segmentiert werden. Eine logische Trennung kann mit VLAN-Technologie auf der Ebene 2 mit VLAN-fähigen Switches aufgebaut werden (siehe auch M 2.277 Funktionsweise eines Switches ). VLANs alleine bieten jedoch keinen Schutz vor Angreifern, die sich mit ihrem IT-System (PC, Laptop oder Server) physikalisch an ein VLAN anschließen. Da die Netzdose, also der VLAN-Port, des Telefons jedem unmittelbar zugänglich ist, könnte ein Angreifer direkt die Telefone im VLAN angreifen, indem er z. B. anstatt eines Telefons seinen PC mit dem VLAN verbindet.

Aus diesem Grunde sollten weitere, über die logische Netztrennung hinausgehende Maßnahmen getroffen werden, um derartigen Angriffe zu begegnen.

Physikalische Trennung der Netze

Bei erhöhten Sicherheitsanforderungen kann eine komplette physikalische Trennung des Sprachnetzes vom Datennetz sinnvoll sein. Die physikalische Trennung von Daten- und Sprachnetzen verringert deutlich die Angriffsmöglichkeiten. Außerdem kann bei dem Ausfall eines Netzes, beispielsweise durch den Ausfall der aktiven Netzkomponenten oder einem Kabelbruch, weiterhin über das verbleibende Netz kommuniziert werden. Durch die Trennung hat die Auslastung des Datennetzes keinen Einfluss auf die Auslastung des Sprachnetzes.

Probleme einer Trennung

Bei einer konsequenten Trennung des VoIP-Netzes vom IP-Datennetz können in der Praxis allerdings anderswo zusätzliche Aufwände entstehen:

  • Die VoIP-Komponenten benötigen Zugriff auf Benutzerdatenbanken, wie LDAP -Verzeichnisse, die sich typischerweise bereits im Datennetz befinden, aber bei einer Netztrennung eventuell doppelt gepflegt werden müssten.
  • Die Verwaltung des VoIP-Netzes, wie die Namensauflösung über DNS , erfordert in der Regel den Zugriff auf das Datennetz.
  • Die Administration der VoIP-Komponenten kann bei einer konsequenten Trennung der Netze aufwendiger sein, beispielsweise da Software-Aktualisierungen der VoIP-Komponenten dann nicht mehr über ein Datennetz übertragen werden können, beispielsweise über SFTP , sondern vor Ort eingespielt werden müssen. Auch eine Remote-Konfiguration von VoIP-Komponenten, beispielsweise über SSH oder SHTTP, setzt einen Anschluss an ein Datennetz oder separate IT-Systeme zur Konfiguration voraus.

Diese Probleme können aber durch entsprechende Gateways zwischen dem Daten- und Sprachnetz gelöst werden. Für viele Dienste könnte ein Proxy-Server im Sprachnetz betrieben werden, von dem die Anfragen aus dem Sprachnetz in das Datennetz weitergeleitet werden.

  • Weitere Probleme bei der Netztrennung stellen die Nutzung von Multifunktionsgeräten, wie VoIP-Telefone mit integrierten Mail-Client, oder die weit verbreiteten Softphones dar. Diese Endgeräte benötigen sowohl Zugriff auf das Sprach- als auch auf das Datennetz.
    Ein Ansatz zur Lösung wäre, diese Geräte in einem dafür angelegten logischen Netz zu betreiben. Eine physikalische Trennung ist hier nicht möglich.
  • Um den Aufwand der Verkabelung zu verringern, besitzen viele Hardphones einen integrierten "Miniswitch". Dabei wird das Telefon direkt an die Netzdose angeschlossen und ein weiteres IT-System, wie der Arbeitsplatzrechner, wird mit dem Telefon verbunden.
    Diese Anordnung verhindert die physikalische Trennung des Sprach- vom Datennetz. Für eine logischen Trennung muss der Access-Switch die beiden an einem Switchport angeschlossenen Geräte unterscheiden können. Dies ist beispielsweise über die MAC-Adresse oder durch eine IEEE 802.1X-Anmeldung möglich.

Schutz der Ports

Sollen Hardphones oder andere VoIP-Endgeräte, über die nur telefoniert werden soll, eingesetzt werden, ist darauf zu achten, dass von den Netzanschlüssen, mit denen diese Geräte verbunden sind, ausschließlich die vorgesehen VoIP-Verbindungen aufgebaut werden können. Anderenfalls könnte ein Angreifer ein mobiles IT-System an die Netzdose für das TK-Endgerät anschließen und Zugriff auf nicht für ihn bestimmte Informationen und Dienste erhalten. Ein Beispiel hierfür ist ein Telefon in einer nicht dauerhaft beaufsichtigten Umgebung, wie einer Tiefgarage. Dieser Schutz kann durch entsprechende Filterregeln an den aktiven Netzkomponenten erfolgen.

Je nach Schutzbedarf können zusätzliche Maßnahmen, wie Authentisierung nach IEEE 802.1X, eingesetzt werden, um einen sichereren Betrieb zu gewährleisten. Es muss aber berücksichtigt werden, dass eine dynamische oder statische Zuordnung der MAC-Adresse zu einem (Switch) Port oder einer VLAN-Zugriffsliste keinen ausreichenden Schutz darstellt, da MAC-Adressen leicht gefälscht werden können.

Prüffragen:

  • Erfordert der Schutzbedarf eine Trennung des Daten- und VoIP -Netzes?

  • Haben Geräte, die für VoIP und Datendienste genutzt werden Zugriff auf das Datennetz und das VoIP-Netz?

  • Können von Netzanschlüssen für VoIP -Endgeräte nur VoIP-Verbindungen aufgebaut werden?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK