Voice-over-IP ist durch die Verwendung von IP wesentlich anfälliger für Angriffe als die traditionellen TDM-Telefonie-Netze.

Weiterhin ist die Nutzung von Wireless-LAN attraktiver geworden, die Anzahl der eingesetzten Systeme steigt stetig, wenn auch oft nur punktuell beispielsweise in Meetingräumen oder öffentlich zugänglichen Bereichen eingesetzt. Der Kombination von Wireless-LAN und konvergenten Netzen kommt hier ein besonderes Augenmerk zu, insbesondere das Thema Ersatz bestehender DECT-Systeme durch VoIP-over-WLAN-Systeme stellt Netzwerkverantwortliche vor neue Fragen. Es ergeben sich dabei folgende Probleme, die adressiert werden müssen:

• Sicherheit im WLAN,

• Quality-of-Service und Handover im WLAN sowie

• WLAN-Management und Architektur.

Sicherheit im WLAN

Sicherheit, die sich in Netz- und Diensteverfügbarkeit niederschlägt, gilt insbesondere für Netze, die beispielsweise konsequent eine Sprach-/Datenintegration umsetzen. Das Netz wird noch mehr zum Kern der gesamten Unternehmenskommunikation und muss entsprechend verfügbar sein. Im Gegensatz zu einer getrennten Sprach- und Datenwelt, in der die Gesamtverfügbarkeit als »Parallelschaltung« der beiden Netze berechnet werden kann, ist in einem konvergenten Netz die Gesamtverfügbarkeit nur noch in einer »Reihenschaltung« zu berechnen. Hier bestimmt dann das schwächste Glied in der Kette die Gesamtverfügbarkeit des Systems.

Studien zur Bedrohungslage zeigen, dass zwischen 50 und 80 Prozent der Attacken/Viren/Würmer von internen Systemen und Zugängen heraus erfolgen – zentrale Firewalls und Virenscanner wurden beispielsweise durch einfaches Hereintragen von Viren und Würmern auf mobilen Systemen wie Laptops umgangen. Klar wird, dass sinnvolle Sicherheitskonzepte sowohl auf interne als auch auf externe Angriffe vorbereitet sein müssen. Auch die Geschwindigkeit, mit der neue Generationen von Würmern und Viren sich ausbreiten, steigt rasant an. Code-Red brauchte beispielsweise noch rund 37 Minuten, um die Anzahl der infizierten Systeme zu verdoppeln, SQL-Slammer nur noch 8,5 Sekunden. Zusätzlich ist VoIP durch die Verwendung von IP wesentlich anfälliger für Angriffe als die den traditionellen TDM-Telefonie-Netzen, die verbindungsorientiert, ohne Broadcast-Mechanismen und mit meist proprietärer Betriebssystem- sowie proprietärer Steuerungssoftware ausgestattet sind.

VoIP hingegen basiert auf einem IP-Netz, das durch das Protokoll selbst und die gleichzeitige Verwendung des Netzes für Datendienste den gängigen Hacking-Tools und Angriffen ausgesetzt ist. Die Tools der Script-Kiddies können direkt angewendet werden – alle VoIP-Server, also Gateways oder Communication-Server, setzen auf Standard-Betriebssystemen wie Windows und Linux auf.

Gefragt ist somit ein ganzheitlicher und skalierbarer Ansatz: Eine Ergänzung der bis dato wenigen zentralen Sicherheitssysteme – meist nur Firewalls, Virenscanner und begrenzt auch Intrusion-Detection – um verteilte Authentisierung, automatisierte Regelvergabe und dynamische Antworten bei unbefugtem Zugriff an jedem Ort der Infrastruktur. Diese Kontrolle muss direkt am Access-Switch beziehungsweise WLAN-Access-Point implementiert werden, da ansonsten keine Garantien für die Sicherheit möglich sind. Das gilt auch für die entsprechenden Quality-of-Service-Mechanismen und Management/-Monitoring-Möglichkeiten.

Als Beispiel ist hier die Enterasys-Lösung Secure-Networks zu nennen, die ihr Authentication- und Policy-Management mit der Intelligenz des hauseigenen IDS-Systems Dragon-Intrusion-Defense verbindet, das sowohl Network-IDS/IPS als auch Host-IDS/IPS beinhaltet. Dadurch bekommt man Layer-4-7-Intelligenz an den Access-Switch und Access-Point und ist in der Lage, auch auf komplexe Angriffe auf Applikationsebene – wie über Microsoft-RPC-Remote-Procedure-Call – zu antworten. Die IT-Organisation ist damit in der Lage, direkt auf Bedrohungen zu reagieren: Voll- oder halbautomatisch – dauerhaft oder zeitlich begrenzt.

Das Thema Sicherheit im Wireless-LAN ist nach langer Diskussion nun final gelöst (der seit rund einem Jahr verfügbare Standard WPA-Wifi-Protected-Access hatte hier auch schon eine interoperable Lösung zu bieten): Der Standard 802.11i – auch WPA2 genannt – ist verabschiedet und bietet für alle bis dato existierenden Sicherheitslücken innerhalb der 802.11-Familie eine adäquate Lösung.

Die Authentisierung via 802.1x, die Port-based-Authentication und dessen gängige Methoden EAP-TLS, PEAP und EAP-TTLS (Zertifikats- und Passwort-basiert) stellen neben der eigentlichen Authentisierung die Basis für das Key-Management dar. Die Verschlüsselung ist 128-Bit-AES-basiert. Die Integrität von Daten und Header wird durch Counter-Mode-Encryption (CCM) mit CBC-MAC gewährleistet. Replay-Attacks werden durch ein Initialization-Vector-Sequenzing (IV) mit 48-Bit-IV verhindert.

Quality-of-Service und Handover im WLAN

Im Gegensatz zum Thema Sicherheit ist bei der Quality-of-Service noch nicht alles in »trockenen Tüchern«. Da der entsprechende Standard 802.11e noch nicht verabschiedet ist und sich in der Vergangenheit die Konzepte von Version zu Version des Draft-Standards im Detail geändert haben, muss damit gerechnet werden, dass sich hier noch Verschiebungen bei den einzelnen Herstellern ergeben werden, was den Zeitpunkt der Unterstützung angeht. Einige Access-Points, die QoS-Konzepte aus der Arbeit der Task-Group von IEEE 802.11e implementieren, gibt es inzwischen – jedoch so weit nicht untereinander interoperabel. Weiterhin sind VoIP-Handsets für IEEE 802.11b von verschiedenen Herstellern verfügbar. Im Gegensatz zu der Access-Point-Seite gibt es hier noch keine Implementierungen nach dem Draft-Standard zu IEEE 802.11e – und meist wird noch nicht 802.1x und 802.11i im Sicherheitsbereich unterstützt. Oft werden noch Implementierungen mit proprietären Protokollen wie Spectralink eingesetzt. Die Wifi-Alliance hat hingegen, noch bevor der Standard offiziell verabschiedet wurde, bereits einen Namen für die neue WLAN-Spezifikation 802.11e kreiert. Der neue Wireless-Standard soll als »Wireless Media Extensions«, kurz WME, vermarktet werden. WME soll sich vor allem für Video- und Sprach-Übertragungen eignen und bessere Qualität ermöglichen.

Für den Kanalzugriff (Medium-Access-Control, MAC) sind in IEEE 802.11 zwei Verfahren spezifiziert worden: Die Distributed-Coordination-Function (DCF) ist ein verteilter zufallsgesteuerter Zugriffsmechanismus (Carrier-Sense-Multiple-Access with Collision-Avoidance, kurz: CSMA/CA), der einen Best-Effort-Dienst liefert. Die Point-Coordination-Function (PCF) ist ein zentral gesteuerter Mechanimus, bei dem die beteiligten Stationen in regelmäßigen Abständen durch einen Master – typischerweise einen Access-Point – per Polling ein Senderecht erhalten. Auf diese Weise kann für die beteiligten Stationen eine gewisse Bandbreite zugesichert werden.

Die Implementierung der DCF ist in IEEE 802.11 zwingend vorgeschrieben, die Realisierung der PCF ist jedoch nur als optional klassifiziert. Daher wundert es nicht, dass in allen bekannten Implementierungen lediglich die DCF umgesetzt wurde. Da DCF zufallsgesteuert in einem Shared-Medium wie Wireless-LAN arbeitet, ist bei dieser Technik keine Bandbreitengarantie möglich – die Latenzzeit kann stark schwanken, was für VoIP sehr negative Auswirkungen auf die Sprachqualität hat.

Die Inter-Frame-Spacings (IFS) sorgen zwar schon hier für eine gewisse Priorisierung – die Point-Coordinator-IFS (PIFS) für den PCF-Betrieb und die Short-IFS (SIFS) für die Empfangsbestätigungen (ACKs). Jedoch ist innerhalb der DCF-IFS (DIFS), die von allen Datenübertragungen genutzt wird, keine Differenzierung möglich.

Seit Mai 2000 arbeitet die Task Group »e« der IEEE 802.11 an einer Erweiterung des MAC-Layers, um in einem gewissen Rahmen eine Dienstgüte (QoS) sicherzustellen. Diese Arbeit wird in die Erweiterung IEEE 802.lle münden. Der Standard liegt aktuell lediglich als Draft vor. Wesentlich ist die Forderung der Abwärtskompatibilität zur bisherigen DCF – was der Qualität des Mechanismus nicht gerade gut tut. Neben der abwärtskompatiblen Erweiterung der bisherigen DCF um Priorisierungsmechanismen (Enhanced-DCF, EDCF) wird ein Burst-Modus, eine spezielle Polling-Funktion (Hybrid-Coordination-Function, HCF) und die Möglichkeit des Einsatzes von Forward-Error-Correction (FEC) im MAC-Layer spezifiziert.

Die EDCF wird an folgenden Bereichen Erweiterungen der DCF vornehmen: Statt einer Verkehrsklasse werden acht unterschiedlich priorisierte Verkehrsklassen unterschieden, die auf sogenannte Access-Categories (AC) gemapped werden. An Stelle des bisherigen DCF-Inter-Frame-Spacing, kurz DIFS, wird für je eine Verkehrsklasse ein eigenes Inter-Frame-Spacing festgelegt, das sogenannte Arbitration-Inter-Frame-Spacing, kurz AIFS. Stehen zu einem Zeitpunkt von zwei Stationen Pakete zur unmittelbaren Übertragung an, hat das Paket mit dem kürzeren AIFS automatisch Vorrang vor dem Paket der anderen Station mit dem längeren AIFS. Damit im Vergleich zu den anderen Verkehrsklassen ein Paket einer höher priorisierten Verkehrsklasse im Mittel einen schnellen Kanalzugriff erhält, werden für jede Verkehrsklasse eigene Parameter Cwmin[AC] und Cwmax[AC] für die Berechnung der Größe des Contention-Window (CW) festgelegt. Insgesamt ergeben sich bei dem vorgestellten Verfahren für eine Verkehrsklasse hoher Priorität im Mittel kleinere Werte für CW und damit kürzere Wartezeiten bis zum Zugriff auf das Medium. Als Konsequenz sinkt auch die Varianz der Antwortzeit, was ein entscheidender Faktor bei der Sprachübertragung ist. Bei einer großen Anzahl von Endsystemen kann es jedoch zu einer dramatischen Benachteiligung der unteren Verkehrsklassen kommen. Man wird sehen müssen, wie sich das System im Live-Betrieb bewährt.

Ein weiteres Thema ist für VoIP-over-WLAN der Handover zwischen verschiedenen Zellen – zunächst einmal im gleichen Layer-2-Netz – für Layer-3-Roaming ist nicht wirklich eine brauchbare, standardisierte Lösung in Sicht – einmal abgesehen vom Thema Mobile-IPv4 vs. -v6: Der Client initiiert den Handover, die einzelnen Parameter, wann ein Handover erfolgt, sind auch nicht standardisiert. Zwischen Access-Points wurde auch bis dato keine interoperable Weiterleitung der Client-Information in Bezug auf Sicherheitseinstellungen vorgenommen, was in Verbindung mit 802.1x zum Beispiel zu einer erneuten Authentisierung und damit zum kurzzeitigen Abbruch der Kommunikation geführt hatte. Bei Datenübertragung auf TCP-Basis ist das kein Problem, für VoIP ist das Verfahren aber ungeeignet. Erst in der Erweiterung IEEE 802.llf, die im Juni 2003 verabschiedet wurde, ist ein Inter-Access-Point-Protocol (IAPP) standardisiert worden, welches es bei einem Zellwechsel erlaubt, die Client-spezifischen Informationen über das Distribution-System vom bisherigen Access-Point zum neuen Access-Point zu übertragen. Dieses Verfahren setzt sich jetzt bei den WLAN-Access-Point-Herstellern langsam durch.

WLAN-Management und -Architektur

Insbesondere die Architektur-Diskussion war in der letzten Zeit von zwei Themen geprägt: Traditioneller WLAN-Access-Point oder WLAN-Switches mit zentraler Management-Funktion und günstigen sogenannten Light-Weight-Access-Points (LWAP). Beide Lösungen haben ihre Vor- und Nachteile, ein Nachteil ist jedoch beiden gemeinsam: Das Management und oft auch das Backend-Distribution-System sind von den eigentlichen Switches separat gehalten. Das heißt der Aufwand zum Betrieb eines Netzes und auch die Investution steigen damit stark an. Daran ändern auch die aktuellen WLAN-Switches nichts – diese sollten auch eher als WLAN-(Controller)-Appliances bezeichnet werden.

Daher wird sich wohl mittelfristig eine Technik durchsetzen, die der Verschmelzung von Wired- und Wireless-Access-Rechnung trägt: Die Integration von WLAN-Controller-Funktionen als Software-Option direkt in die bestehenden Ethernet-Switches. Diese Controller übernehmen dann das Management und die Konfiguration der LWAPs und sind voll in das drahtgebundene Management integriert, die Betriebskosten sinken. Die Investitionskosten fallen ebenfalls geringer aus.

Fazit

Sicherheit in konvergenten Netzen ist wie die Sicherheit generell ein mehrstufiges Konzept – die entsprechenden Standards und auch zusätzliche Hersteller-Lösungen sind hier verfügbar, auch im Bereich WLAN. Die Netz-Infrastruktur an sich muss redundant und sicher sowie in der Lage sein, auch Bandbreiten zu garantieren – hier sind die meisten ungelösten Probleme der WLAN-Technologie zu finden. Es wird noch einige Monate dauern, bis sich hier eine echte standardbasierte, interoperable Lösung aufbauen lässt. Nur dann kann eine konvergente WLAN-Lösung auch funktionieren und den Mehrwert bieten, den man sich erhofft hatte.Markus Nispel, Office of the CTO, Enterasys