Bundesamt für Sicherheit in der Informationstechnik

M 5.137 Einsatz von NAT für VoIP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

NAT (Network Address Translation) ermöglicht das Übersetzen von privaten/internen IP-Adressen in öffentliche/externe IP-Adressen. Bei dieser Adressumwandlung werden durch ein entsprechendes NAT-Gateway private Quell-IP-Adressen und die dazugehörigen privaten Quell-Ports in öffentliche Quell-IP-Adressen mit öffentlichen Quell-Ports übersetzt. Damit das NAT-Gateway Rückpakete bzw. eingehende Pakete, die an die öffentliche IP-Adresse gerichtet sind, an den richtigen internen Host weiterleiten kann, unterhält es eine entsprechende Zuordnungstabelle zwischen öffentlichen IP-Adressen/Ports und privaten IP-Adressen/Ports.

Durch NAT werden im UDP- bzw. TCP-Header des Medienstroms die Quell-IP-Adresse und die Quell-Portnummer modifiziert. Die Angaben über die Quell-IP-Adresse und den Quell-Port im Nachrichtenteil der Signalisierungsnachricht bleiben dagegen unverändert. Als Folge können keine Medienströme an ein VoIP-Telefon, das sich hinter einem NAT-Gateway befindet, gesendet werden. VoIP-Geräte, die sich im Internet befinden, können keinen Medienstrom zu einem VoIP-Telefon senden, das sich hinter einem NAT-Gateway befindet, da die private IP-Adresse nicht ins Internet geroutet wird.

In den folgenden Abschnitten werden Möglichkeiten aufgezeigt, die einen VoIP-Betrieb in einer NAT-Umgebung ermöglichen.

MIDCOM

MIDCOM steht für Middlebox Commmunications und ist ein Entwurf der IETF, der eine Lösung für die NAT- und Firewall-Problematik im Zusammenhang mit VoIP bietet. Ein MIDCOM-System besteht aus einer Middlebox und einem Server, der die Middlebox steuert bzw. konfiguriert. Der Steuerungsserver ist ein VoIP-Server (H.323-Gatekeeper, SIP-Proxy, etc.), der sich im Signalisierungspfad befindet und den Austausch der SDP-Daten (Session Description Protocol) verfolgt. Anhand dieser Daten steuert der Server über das MIDCOM-Protokoll die Middlebox (NAT-Gateway, Firewall), die die Zuordnungen in die NAT-Tabelle einträgt und die entsprechenden Ports öffnet. In der folgenden Abbildung ist die MIDCOM-Architektur skizziert.

Da der Steuerungsserver selbst mit dem Internet kommunizieren muss, ist dieser Server ebenfalls durch eine Firewall zu schützen. Ein erfolgreicher Angriff auf den Steuerungsserver ermöglicht unter Umständen weitere Angriffe, insbesondere auf die von ihm kontrollierte Middlebox (NAT-Gateway, Firewall). Dies kann weitere erhebliche Gefährdungen nach sich ziehen.

Session Border Controller

Da sich MIDCOM noch im Entwurfsstadium befindet, haben Hersteller begonnen, proprietäre Lösungen auf den Markt zu bringen, die die NAT- und Firewall-Problematik lösen. Diese Session Border Controller bieten häufig Zusatzfunktionen, wie beispielsweise die Überwachung von Service Level Agreements (SLA), Rufannahmesteuerung (Call Admission Control) und Gebührenermittlung (Billing). Die Systeme werden als Appliances oder Server angeboten. Die folgende Abbildung zeigt ein Beispiel des Einsatzes eines Session Border Controllers, der aus einem Signalisierungs- und einem RTP-Proxy besteht.

Sämtlicher Verkehr (Signalisierung und Medienstrom) läuft in diesem Beispiel über den Session Border Controller. Dem VoIP-Telefon B ist die tatsächliche IP-Adresse des VoIP-Telefons A nicht bekannt.

UPnP

UPnP (Universal Plug and Play) ist ein Industriestandard, der vor allem im Heimbereich immer größere Verbreitung findet. Mit der UPnP-Architektur soll die Vernetzung von PCs und Endgeräten (beispielsweise Drucker, Scanner, WLAN Access Points) vereinfacht werden. Durch UPnP können Applikationen die öffentliche IP-Adresse des NAT-Gateways lernen, die zu verwendenden NAT-Zuordnungen vorgeben und nach der Beendigung einer Sitzung wieder entfernen. Es kann auch eine so genannte Lease Time vorgegeben werden, die die Dauer der Gültigkeit einer NAT-Zuordnung festlegt. Werden mehrere NAT-Gateways hintereinander geschaltet, kann mit UPnP kein NAT-Durchgang erzielt werden.

STUN

Mit Hilfe von STUN (Simple Traversal of User Datagram Protocol (UDP) Through NATs) wird Endsystemen, die sich hinter einem NAT-Gateway befinden, ermöglicht, ihre öffentliche IP-Adresse zu ermitteln und die NAT-Zuordnung des Gateways zu lernen. Symmetric NAT wird von STUN jedoch nicht unterstützt. Die NAT-Zuordnungen werden bei VoIP im Signalisierungsprotokoll übertragen, so dass eingehende RTP-Ströme an die entsprechende NAT-Zuordnung adressiert werden, um so das VoIP-Telefon zu erreichen, das sich hinter dem NAT-Gateway befindet. Die STUN-Technologie wird bereits von vielen VoIP-Telefonen unterstützt und von den meisten VoIP-Providern angeboten.

TURN

TURN (Traversal Using Relay NAT) erlaubt Systemen hinter einem NAT-Gateway bzw. einer Firewall, eingehende TCP- und UDP-Verbindungen zu empfangen. Gleichzeitig wird verhindert, dass diese Möglichkeit für den Betrieb von öffentlich erreichbaren Servern, wie Webserver oder E-Mail-Server, genutzt werden kann, indem je Kombination aus IP-Adresse und Port nur eine Sitzung zu einem Peer erlaubt wird. Im Gegensatz zu STUN können mit TURN auch Systeme hinter symmetrischen NAT-Gateways eingehende Verbindungen empfangen. TURN ist ein einfaches Client/Server-Protokoll, wobei die Authentisierung auf der Basis von Passwörtern erfolgt.

ICE

Da bei TURN sämtliche Medienströme über den TURN-Server geführt werden, ist es sinnvoll, einen TURN-Server nur dann einzusetzen, wenn mit STUN der Empfang eingehender Verbindungen nicht möglich ist. ICE (Interactive Connectivity Establishment) stellt eine Methode für SIP dar, um einen NAT-Durchgang auf Grundlage mehrerer über SDP bekannt gegebener Adressen zu ermöglichen, wobei auf die Protokolle STUN, TURN, RSIP und MIDCOM zurückgegriffen wird. Es wird davon ausgegangen, dass einem Client mehrere Adressen (beispielsweise von STUN oder TURN gelernte Adressen) zur Verfügung stehen, über die er Medienströme empfangen kann. Da die Endsysteme nicht wissen, welche Adresse funktioniert, werden die Adressen nacheinander nach ihrer Priorität geprüft, wobei die Adresse mit der höchsten Priorität als erstes getestet wird. Die Prioritäten werden anhand der geringsten Kosten und dem Maximum an QoS (Quality of Service) festgelegt und dann nacheinander innerhalb des SDP aufgeführt. ICE ist für SIP konzipiert, funktioniert jedoch auch mit RTSP und H.323 und ermöglicht, dass ein Endgerät unabhängig von der NAT-Umgebung betrieben werden kann.

Wird das LAN über einen NAT-Gateway an das Internet angeschlossen, ist zu empfehlen, eine der vorgestellten Mechanismen auszuwählen. Die Entscheidung ist zu dokumentieren.

Prüffragen:

  • Wird NAT (Network Adress Translation) im Rahmen des VoIP -Betriebs eingesetzt?

  • Ist die VoIP -Architektur gemäß der Sicherheitsrichtlinie nach dem Stand der Technik abgesichert?

  • Wird die Kommunikation der VoIP -Komponenten über Verfahren und Protokolle nach dem Stand der Technik umgesetzt?

Stand: 13. EL Stand 2013