Bundesamt für Sicherheit in der Informationstechnik

M 4.290 Anforderungen an ein Sicherheitsgateway für den Einsatz von VoIP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Wird ein IP-Datennetz für VoIP genutzt, ergeben sich zusätzliche Anforderungen, insbesondere auch an die Sicherheit des Netzes. Oftmals ist die strikte Trennung von Sprach- und Datennetzen nicht möglich, da beispielsweise Softphones von Arbeitsplatzrechnern aus dem Datennetz auf den VoIP-Server im Sprachnetz zugreifen, Groupware-Clients das direkte Wählen von Rufnummern gespeicherter Kontakte aus der Applikation ermöglichen oder VoIP-Server mit Verzeichnisdiensten, wie LDAP (Lightweight Directory Access Protocol) gekoppelt werden. Hinzu kommt eventuell die Vernetzung geografisch getrennter Behörden-, Unternehmens- bzw. Organisationsstandorte, die beispielsweise einen zentralen VoIP-Server für die organisationsweite Kommunikation verwenden und gleichzeitig diese Verbindung für den Austausch von Daten nutzen.

Ein Sicherheitsgateway soll ein internes, sicheres System vor unberechtigten Zugriffen aus einem unsicheren Netz schützen und gleichzeitig berechtigte Zugriffe zu den geschützten Bereichen zulassen. Was als sicheres bzw. unsicheres Netz gilt, welche Ressourcen schützenswert sind und wie sie zu schützen sind, wird in den Sicherheitsrichtlinien der Organisation festgelegt (siehe hierzu auch B 3.301 Sicherheitsgateway (Firewall) ).

Bei der Planung der VoIP-Nutzung sollte überprüft werden, ob das bestehende Sicherheitsgateway für den Einsatz von VoIP angepasst werden kann. Anderenfalls muss ein zusätzliches Sicherheitsgateway hierfür beschafft und installiert werden.

Auswahl und Anforderungen an ein Sicherheitsgateway

Die Leistungsfähigkeit des eingesetzten Sicherheitsgateways bei der Nutzung von VoIP beeinflusst nicht nur den Schutz, sondern auch die Qualität der übertragenen Sprache. Durch die Verarbeitung vieler kleiner Datenpakete, die bei VoIP üblich sind, wird das Sicherheitsgateway stark belastet, wodurch Delay und Jitter der übertragenen Sprachsignale direkt beeinflusst werden.

Werden Signalisierungs- und Sprachdaten über das Sicherheitsgateway hinaus geleitet, sollte ein VoIP-fähiges Sicherheitsgateway verwendet werden, das in der Lage ist, die verwendeten Signalisierungsprotokolle mit dem gesamten Rufauf- und -abbau zu analysieren und die jeweiligen Zustände zu speichern. Anhand der Protokolldaten (z. B. die zu verwendenden UDP-Ports für die mit RTP übertragenen Sprachdaten) werden die benötigten Ports für die Dauer der Kommunikation geöffnet.

Im Weiterem hängt die Auswahl des richtigen Systems von den folgenden Faktoren ab:

  • Wie groß ist das Netz?
  • Welche Systemkomponenten stehen zur Verfügung? Ermöglichen bestehende Switches eine VLAN-Trennung von Sprach- und Datennetzen? Unterstützen bestehende Router Zugriffslisten (ACLs) oder Funktionalitäten von Sicherheitsgateways?
  • Welche Sicherheitsgateways werden bereits im Datennetz eingesetzt?
  • Ist nur eine auf das LAN begrenzte IP-Telefonie oder auch die Internet-Telefonie geplant?
  • Wie umfassend sind die Kenntnisse des betreuenden IT-Personals?
  • Welche VoIP-Systemkomponenten werden eingesetzt?
  • Welcher finanzielle Rahmen steht für die Umsetzung der Sicherheitsziele zur Verfügung?

Konzeption eines Sicherheitsgateways

Unabhängig davon, ob ein bestehendes Sicherheitsgateway für die Nutzung von VoIP verändert oder ob ein neues System beschafft werden soll, kann es aus folgenden Komponenten bestehen:

  • Zustandsloser Paketfilter (Stateless Packet Filter)
    Einfache Paketfilter können auf Routern, Layer-3-Switches bzw. Sicherheitsgateways zur Trennung von Daten- und Sprachnetz eingesetzt werden, wobei ihre Filterfunktionalität gegenüber zustandsbasierenden Filtern bzw. Application Level Gateways deutlich eingeschränkt ist.
  • Zustandsbasierende Filterung (stateful packet inspection)
    Zustandsbasierende Paketfilter können die für eine Kommunikation benötigten Rückpakete dynamisch durchlassen und so ein erhöhtes Maß an Sicherheit für ein Netz bereitstellen. Sie speichern Zustände einer Verbindung ab und können so Rückpakete, die zu einer bestehenden Verbindung gehören, durchlassen, ohne das dafür explizite Zugriffslisten konfiguriert werden müssen.
  • Application Level Gateway ( ALG )
    Ein Application Level Gateway kann im Gegensatz zu den vorgenannten Systemen nicht nur auf IP-Adressen und Ports, sondern auch auf der Applikationsebene filtern. Der Vorteil eines Application Level Gateways macht sich gerade bei der Übertragung von RTP-Paketen bemerkbar. Die für die RTP-Übertragung zu verwendenden UDP-Ports werden im Rahmen der Signalisierung (mittels SDP) zwischen den Endpunkten ausgetauscht. Diese Ports variieren in der Regel bei jedem neuen Gespräch und müssen an dem Sicherheitsgateway freigegeben werden. Da das ALG den Austausch der Protokollnachrichten verfolgt, in denen die IP-Adressen und die zu verwendenden UDP-Ports vereinbart werden, kann es dynamisch Filter anpassen, die den betreffenden RTP-Strom passieren lassen.

Vergleicht man zustandslose Paketfilter, zustandsorientierte Paketfilter und ALGs miteinander, so empfiehlt es sich aufgrund der Vorteile möglichst ein ALG einzusetzen. Um eingehenden RTP-Verkehr zu ermöglichen, müssen zustandslose und zustandsorientierte Sicherheitsgateways große Portbereiche dauerhaft öffnen, damit RTP-Pakete mit Sprachdaten durchgelassen werden können. Eine solche Konfiguration stellt ein erhebliches Sicherheitsrisiko dar.

Application Level Gateways hingegen öffnen nur die tatsächlich benötigten Ports für die Dauer der Kommunikation und bieten daher weniger potentielle Angriffsmöglichkeiten.

Die Verwendung von Protokollen wie IAX (InterAsterisk eXchange) erleichtert die Konzeption des Sicherheitsgateways. Da hierbei sowohl die Signalisierungs- und die Medientransportinformationen über einen Nachrichtenstrom übertragen werden, wird nur ein festgelegter Port benötigt. Aufgrund der fehlenden Portaushandlung müssen keine dynamischen Portfilterungen durchgeführt werden.

Konfiguration eines Sicherheitsgateways

Die bei der Nutzung von VoIP eingesetzten Sicherheitsgateways unterscheiden sich kaum von klassischen Sicherheitsgateways. Für deren Aufbau und sicheren Betrieb sind die im Baustein B 3.301 Sicherheitsgateway (Firewall) beschriebenen Maßnahmen umzusetzen.

Die VoIP-spezifischen Einstellungen müssen analog zu den Maßnahmen aus diesem Baustein vorgenommen werden, wie diese konkret umzusetzen sind, ist der Dokumentation des eingesetzten Produktes zu entnehmen.

Prüffragen:

  • Existiert eine Regelung zur Absicherung des VoIP -Dienstes durch ein Sicherheitsgateway?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK